Active Directory 联合身份验证服务 (AD FS) 使用多项不同技术中的术语,包括证书服务、Internet 信息服务 (IIS)、Active Directory 域服务 (AD DS)、Active Directory 轻型目录服务 (AD LDS) 以及 Web 服务 (WS-*)。下表对这些术语进行说明。

术语 描述

帐户联合服务器

位于帐户伙伴组织的企业网络中的联合服务器。帐户联合服务器基于用户身份验证向用户颁发安全令牌。服务器对用户进行身份验证,将相关属性和组成员身份信息从帐户存储中提出,然后生成并签署要返回给用户的安全令牌(用于它自身的组织中,或者发送到伙伴组织)。

帐户联合服务器代理

位于帐户伙伴组织的外围网络中的联合服务器代理。帐户联合服务器代理从通过 Internet 登录的客户端(或从外围网络)收集身份验证凭据,并将这些凭据传递给帐户联合服务器。

帐户伙伴

联合身份验证服务所信任的联合身份验证伙伴,它向其用户(即,帐户伙伴组织中的用户)提供安全令牌,这样它们可以访问资源伙伴中基于 Web 的应用程序。

Active Directory 联合身份验证服务 (AD FS)

Windows Server 2003 R2、Windows Server 2008 和 Windows Server 2008 R2 中的一个组件,该组件提供 Web 单一登录 (SSO) 技术,这样只需在一次联机会话的有效期内,就可对一位用户访问多个 Web 应用程序进行身份验证。AD FS 通过跨安全和企业边界安全共享数字标识和权限来实现此功能。AD FS 支持 WS 联合身份验证被动请求者配置文件 (WS-F PRP)。

AD FS Web 代理

用于创建启用 AD FS 的 Web 服务器的 AD FS 可安装角色服务。AD FS Web 代理会结合考虑应用程序特定的访问控制设置,使用由有效的联合服务器签署的传入安全令牌和身份验证 Cookie,以允许或拒绝用户对受保护的应用程序的访问。

启用 AD FS 的 Web 服务器

运行 Windows Server 2003 R2、Windows Server 2008 或 Windows Server 2008 R2 并使用适当的 AD FS Web 代理软件(声明感知代理或基于 Windows 令牌的代理)进行配置的 Web 服务器,在针对本地承载的、基于 Web 的应用程序进行身份验证或授予联合访问权限时,该 Web 服务器必不可少。

声明

服务器生成的与客户端有关的语句(例如名称、标识、密钥、组、权限或功能)。

声明感知应用程序

根据 AD FS 安全令牌中提供的声明执行授权的 Microsoft ASP.NET 应用程序。

声明映射

映射、删除或筛选或者在不同声明集之间传递声明的操作。

客户端帐户伙伴发现网页

在 AD FS 无法自动确定应对用户进行身份验证的帐户伙伴时,该网页与用户进行交互,以确定用户所属的帐户伙伴。

客户端身份验证证书

在 AD FS 中,联合服务器代理用于对联合身份验证服务进行客户端身份验证的证书。

客户端注销网页

AD FS 执行注销操作时,启动用于为用户提供注销已执行的可视反馈的网页。

客户端登录网页

AD FS 收集客户端凭据时,启动用于进行用户交互的网页。客户端登录网页可以使用任何必要的商业逻辑来确定要收集的凭据类型。

联合应用程序

启用 AD FS 的基于 Web 的应用程序,这表示联合用户可以访问它。

联合用户

其帐户位于帐户伙伴组织中的某个用户,他可以访问位于资源伙伴组织中的联合应用程序。

联合身份验证

已建立联合身份验证信任的一对领域或域。

联合服务器

已配置为承载 AD FS 的联合身份验证服务组件、并运行 Windows Server 2003 R2、Windows Server 2008 或 Windows Server 2008 R2 的计算机。联合服务器可以对来自其他组织中用户帐户的身份验证请求进行身份验证或传送它们,或者对来自 Internet 上任意位置的客户端的身份验证请求进行身份验证或传送它们。

联合服务器代理

已配置为承载 AD FS 的联合身份验证服务代理组件、并运行 Windows Server 2003 R2、Windows Server 2008 或 Windows Server 2008 R2 的计算机。联合身份验证服务代理在 Internet 客户端和位于企业网络的防火墙后面的联合服务器之间提供中间代理服务。

联合身份验证服务

用于创建联合服务器的 AD FS 的可安装角色服务。安装该服务时,联合身份验证服务提供令牌来响应对安全令牌的请求。可以配置多个联合服务器为单一联合身份验证服务提供容错和负载平衡。

联合身份验证服务代理

用于创建联合服务器代理的 AD FS 的可安装角色服务。安装该服务时,联合身份验证服务代理角色服务使用 WS-F PRP 协议从浏览器客户端和 Web 应用程序收集用户凭据信息并代表它们将信息发送到联合身份验证服务。

组织声明

组织命名空间中,中间或标准化形式的声明。

被动客户端

可以使用 Cookie 的超文本传输协议 (HTTP) 浏览器(可以支持受到广泛支持的 HTTP)。Windows Server 2003 R2、Windows Server 2008 和 Windows Server 2008 R2 中的 AD FS 只支持被动客户端,并且符合 WS-F PRP 规范。

资源帐户

在 AD DS 中创建的、用于映射到单一联合用户的单一安全主体(通常是一个用户帐户)。联合基于 Windows NT 令牌的应用程序时,资源帐户是必需的,因为基于 Windows 令牌的代理必须引用资源伙伴林中的 Active Directory 安全主体来构建 Windows NT 访问令牌,从而增强对应用程序的访问控制权限。

资源联合服务器

资源伙伴组织中的联合服务器。资源联合服务器通常基于由帐户联合服务器颁发的安全令牌向用户颁发安全令牌。服务器:

  • 接收到安全令牌。

  • 验证签名。

  • 基于其信任策略转换组织声明。

  • 基于传入安全令牌中的信息生成新的安全令牌。

  • 签署要返回给用户并最终返回给 Web 应用程序的新令牌。

资源联合服务器代理

位于资源伙伴组织的外围网络中的联合服务器代理。资源联合服务器代理为 Internet 客户端执行帐户伙伴发现,并且它会将传入安全令牌重定向至资源联合服务器。

资源组

传入组声明(来自帐户伙伴的 AD FS 组声明)映射到的、在 AD DS 中创建的单一安全组。将联合用户映射到资源组之后,启用 AD FS 的 Web 服务器可以基于指定给资源组的安全标识符 (SID) 的访问权限对基于 Windows NT 令牌的应用程序做出授权决定。

资源伙伴

信任联合身份验证服务的联合身份验证伙伴,它为帐户伙伴中的用户可以访问的基于 Web 的应用程序(即资源伙伴组织中的应用程序)颁发基于声明的安全令牌。

安全令牌

表示一个或多个声明的加密签名数据单元。在 AD FS 中,已签名的安全令牌指示颁发安全令牌的联合服务器已成功验证联合用户的真实性。

安全令牌服务 (STS)

颁发安全令牌的 Web 服务。STS 根据它信任的证据对信任它的用户(或对特定的收件人)发出声明。若要传递信任,服务需要提供证明,例如证实具备有关安全令牌或安全令牌集知识的签名。服务本身可以生成令牌,也可以依靠独立的 STS 颁发包含自己的信任语句的安全令牌。这是信任中介的基础。在 AD FS 中,联合身份验证服务是 STS。

服务器身份验证证书

启用 AD FS 的 Web 服务器、联合服务器和联合服务器代理使用服务器身份验证证书来保护 Web 服务通信,以在它们自己中间以及与 Web 客户端之间进行通信。

服务器场

在 AD FS 中,负载平衡联合服务器、联合服务器代理或承载 AD FS Web 代理的 Web 服务器的集合。

单一登录 (SSO)

对身份验证序列的优化,可以消除最终用户重复登录操作的负担。

令牌签名证书

一个 X.509 证书,联合服务器使用其关联的公钥/私钥对对联合服务器产生的所有安全令牌进行数字签名。

统一资源标识符 (URI)

标识抽象资源或物理资源的字符的精简字符串。URI 在征求意见文档 (RFC) 2396 (https://go.microsoft.com/fwlink/?LinkId=48289)(可能为英文网页)中说明。在 AD FS 中,URI 用于唯一标识伙伴和帐户存储。

验证证书

代表令牌签名证书的公钥部分的证书。验证证书存储在信任策略中并由一个组织中的联合服务器所使用,用于验证传入安全令牌是否已由组织的场中和其他组织中的有效联合服务器所颁发。

Web 服务

(WS-*)

基于行业标准的 Web 服务体系结构的规范,例如简单对象访问协议 (SOAP)、XML、Web 服务描述语言 (WSDL) 和通用描述、发现和集成 (UDDI)。WS-* 为向扩展的企业提供完整、可互操作的商业解决方案奠定了基础,包括管理联合身份和安全的能力。

Web 服务模型所基于的理念是:企业系统使用不同语言、不同编程模型编写,在许多不同类型的设备上运行和访问。Web 服务用于构建可以简单有效地通过 Internet 相互连接和交互的分布式系统,无论系统使用什么语言编写或在什么平台上运行。

Web Services 安全性(WS-安全性)

说明如何将签名和加密标头附加到 SOAP 消息上的一系列规范。此外,WS-安全性说明如何将安全令牌(包括 X.509 证书和 Kerberos 票证等二进制安全令牌)附加到消息上。在 AD FS 中,Kerberos 为安全令牌签名时使用 WS-安全性。

基于 Windows NT 令牌的应用程序

依靠 Windows NT 令牌执行用户授权的 Windows 应用程序。

WS 联合身份验证

定义用于协调信任的模型和消息集以及跨不同信任领域的标识和身份验证信息的联合的规范。

WS 联合身份验证规范识别信任领域上的标识和身份验证请求的两个来源:

  • 主动请求者,如启用 SOAP 的应用程序

  • 被定义为 HTTP 浏览器的被动请求者,这些浏览器可以支持受到广泛支持的 HTTP,例如 HTTP 1.1

WS 联合身份验证被动请求者配置文件 (WS-F PRP)

WS-联合身份验证规范的实现方式,为被动客户端(例如 Web 浏览器)如何应用联合身份验证框架提供了一个标准的协议。在此协议中,Web 服务请求者应接受新的安全机制并且可以与 Web 服务提供方进行交互。

请参阅


目录