Active Directory Federation Services (AD FS) 會用到數種不同技術中的詞彙,包括憑證服務、網際網路資訊服務 (IIS)、Active Directory 網域服務 (AD DS)、Active Directory 輕量型目錄服務 (AD LDS) 以及 Web 服務 (WS-*)。下表將說明這些詞彙。
| 詞彙 | 描述 |
|---|---|
|
帳戶同盟伺服器 |
位於帳戶夥伴組織公司網路中的同盟伺服器。帳戶同盟伺服器根據使用者驗證將安全性權杖發給使用者。伺服器驗證使用者,從帳戶存放區提取相關屬性與群組成員資格資訊,然後產生和簽署安全性權杖送回使用者,可用於自己的組織或傳送給夥伴組織。 |
|
帳戶同盟伺服器 Proxy |
位於帳戶夥伴組織周邊網路中的同盟伺服器 Proxy。帳戶同盟伺服器 Proxy 從透過網際網路登入的用戶端 (或從周邊網路) 收集驗證認證,然後將那些認證傳送至帳戶同盟伺服器。 |
|
帳戶夥伴 |
同盟夥伴是受 Federation Service 信任以提供這些安全性權杖給其使用者 (也就是帳戶夥伴組織中的使用者),使他們能夠存取資源夥伴中的網頁應用程式。 |
|
Active Directory Federation Services (AD FS) |
Windows Server 2003 R2、Windows Server 2008 及 Windows Server 2008 R2 中的元件可提供 Web 單一登入 (SSO) 技術,以供在單一線上工作階段期間對多個網頁應用程式驗證某個使用者。AD FS 可在安全性與企業界限之間安全地共用數位識別與授權權限,藉以完成此作業。AD FS 支援 WS-同盟被動式要求者設定檔 (WS-F PRP)。 |
|
AD FS 網路代理程式 |
AD FS 的可安裝角色服務,可用來建立啟用 AD FS 的網頁伺服器。在考量應用程式特定的存取控制設定時,AD FS 網路代理程式使用有效的同盟伺服器所簽署的連入安全性權杖與驗證 Cookie,以允許或拒絕使用者存取受保護的應用程式。 |
|
啟用 AD FS 的網頁伺服器 |
執行 Windows Server 2003 R2、Windows Server 2008 或 Windows Server 2008 R2 的網頁伺服器,設定適當的 AD FS 網路代理程式軟體 (宣告感知代理程式或 Windows 權杖型代理程式),這對於驗證和授權本機裝載的網頁應用程式的同盟存取權是必要的。 |
|
宣告 |
伺服器針對用戶端所做的陳述,例如名稱、識別、機碼、群組、權限或能力等。 |
|
宣告感知 (Claims-Aware) 應用程式 |
根據 AD FS 安全性權杖中所含的宣告而執行授權的 Microsoft ASP.NET 應用程式。 |
|
宣告對應 |
在不同的宣告集之間對應、移除或篩選,或傳送宣告等動作。 |
|
用戶端帳戶夥伴探索網頁 |
當 AD FS 無法自動判定應由哪個帳戶夥伴驗證使用者時,與使用者互動以判定使用者所屬之帳戶夥伴的網頁。 |
|
用戶端驗證憑證 |
在 AD FS 中,同盟伺服器 Proxy 用來為 Federation Service 驗證用戶端的憑證。 |
|
用戶登出網頁 |
當 AD FS 執行登出作業時,系統所啟動用以通知使用者已執行登出的視覺化網頁。 |
|
用戶登入網頁 |
當 AD FS 收集用戶端認證時,系統所啟動用以與使用者互動的網頁。用戶登入網頁可使用任何必要的企業邏輯來判定要收集的認證類型。 |
|
同盟應用程式 |
啟用 AD FS 的網頁應用程式,表示同盟使用者可以存取該應用程式。 |
|
同盟使用者 |
帳戶存在帳戶夥伴組織中的使用者,可存取資源夥伴組織中的同盟應用程式。 |
|
同盟 |
已建立同盟信任的一組領域或網域。 |
|
同盟伺服器 |
執行 Windows Server 2003 R2、Windows Server 2008 或 Windows Server 2008 R2 的電腦,已經設定為裝載 AD FS 的 Federation Service 元件。同盟伺服器可從其他組織的使用者帳戶,或可能位於網際網路任何位置的用戶端,驗證或路由要求。 |
|
同盟伺服器 Proxy |
執行 Windows Server 2003 R2、Windows Server 2008 或 Windows Server 2008 R2 的電腦,已經設定為裝載 AD FS 的 Federation Service Proxy 元件。同盟伺服器 Proxy 提供媒介 Proxy 服務,位於網際網路用戶端與公司網路防火牆後端的同盟伺服器之間。 |
|
Federation Service |
AD FS 的可安裝角色服務,可用來建立同盟伺服器。完成安裝時,Federation Service 可在收到安全性權杖要求時,提供權杖做為回應。多重同盟伺服器可設定為提供單一 Federation Service 的容錯以及負載平衡。 |
|
Federation Service Proxy |
AD FS 的可安裝角色服務,可用來建立同盟伺服器 Proxy。安裝時,Federation Service Proxy 角色服務會使用 WS-F PRP 通訊協定,從瀏覽器用戶端與網頁應用程式收集使用者認證,並代表這些用戶端與應用程式傳送資訊給 Federation Service。 |
|
組織宣告 |
位於組織命名空間內的中繼或標準形式的宣告。 |
|
被動用戶端 |
可廣泛支援 HTTP 以及利用 cookie 的一種超文字傳輸通訊協定 (HTTP) 瀏覽器。Windows Server 2003 R2、Windows Server 2008 及 Windows Server 2008 R2 中的 AD FS 僅可支援被動用戶端,且必須遵循 WS-F PRP 規格。 |
|
資源帳戶 |
單一安全性主體 - 通常是在 AD DS 中建立的使用者帳戶,可用來對應至單一同盟使用者。在聯盟 Windows NT 權杖型應用程式時需要資源帳戶,因為 Windows 權杖型代理程式必須參照資源夥伴樹系中的 Active Directory 安全性主體,以建置 Windows NT 存取權杖,而強化應用程式的存取控制權限。 |
|
資源同盟伺服器 |
資源夥伴組織中的同盟伺服器。資源同盟伺服器通常根據帳戶同盟伺服器所發出的安全性權杖,將安全性權杖發給使用者。伺服器:
|
|
資源同盟伺服器 Proxy |
位於資源夥伴組織周邊網路中的同盟伺服器 Proxy。資源同盟伺服器 Proxy 執行網際網路用戶端的帳戶夥伴探索,然後將連入安全性權杖重新導向資源同盟伺服器。 |
|
資源群組 |
在 AD DS 中建立的單一安全性群組,是連入群組宣告 (來自帳戶夥伴的 AD FS 群組宣告) 所對應的群組。同盟使用者對應至資源群組之後,啟用 AD FS 的網頁伺服器可根據指派給資源群組的安全性識別碼 (SID) 的存取權限,執行 Windows NT 權杖型應用程式的授權決策。 |
|
資源夥伴 |
信任 Federation Service 發出網頁應用程式的宣告型安全性權杖的同盟夥伴,這些應用程式也就是資源夥伴組織中的應用程式,帳戶夥伴中的使用者可以存取這些網頁應用程式。 |
|
安全性權杖 |
表示一或多個宣告的加密編譯簽署資料單位。在 AD FS 中,已簽署的安全性權杖指出發出安全性權杖的同盟伺服器已經成功確認同盟使用者的真實性。 |
|
安全性權杖服務 (STS) |
發行安全性權杖的 Web 服務。STS 會根據它所信任的證據,向任何信任它的人員 (或特定的收件者) 進行確認。若要了解對方是否可以信任,服務必須要有證明,例如可證明安全性權杖或安全性權杖集之識別的簽章。服務本身就可以產生權杖,或者它也可以依賴個別的 STS,以其本身的信任陳述發行安全性權杖。這會形成信任仲介的基礎。在 AD FS 中,Federation Service 即為 STS。 |
|
伺服器驗證憑證 |
啟用 AD FS 的網頁伺服器、同盟伺服器以及同盟伺服器 Proxy,使用伺服器驗證憑證來保護在它們之間和網頁用戶端之間通訊的網頁服務流量的安全。 |
|
伺服器陣列 |
在 AD FS 中,它是負載平衡同盟伺服器、同盟伺服器 Proxy,或裝載 AD FS 網路代理程式之網頁伺服器的集合。 |
|
單一登入 (SSO) |
避免一般使用者的重複登入動作造成系統負擔的最佳化驗證順序。 |
|
權杖簽署憑證 |
它是 X.509 憑證,同盟伺服器使用其關聯的公開/私密金鑰組,對同盟伺服器產生的所有安全性權杖執行數位簽署。 |
|
統一資源識別項 (URI) |
可識別抽象資源或實體資源的壓縮字串。URI 的相關說明位於要求建議 (RFC) 2396 ( |
|
驗證憑證 |
代表權杖簽署憑證的公開金鑰部分的憑證。驗證憑證存放在信任原則中,組織中的同盟伺服器用它來確認組織陣列與其他組織中的有效同盟伺服器已經發出連入安全性權杖。 |
|
Web 服務 (WS-*) |
一種以業界標準為基礎的 Web 服務架構規格,這些標準包括簡單物件存取通訊協定 (SOAP)、XML、Web 服務描述語言 (WSDL),以及通用描述、探索與整合 (UDDI)。WS-* 為規模較大的企業提供了適當的基礎,可締造完整、相容的商務解決方案,其中包括管理同盟識別與安全性的能力。 Web 服務模型的基本概念是,企業系統是以不同的語言撰寫、使用不同的程式設計模型,並在多種不同類型的裝置上執行及存取。Web 服務是一種建置分散式系統的工具,這些系統可透過網際網路輕易而有效地彼此連接與互動,而無需考量系統原本的撰寫語言或執行平台類型。 |
|
Web 服務安全性 (WS-安全性) |
描述如何將簽章與加密標頭附加到 SOAP 訊息中的一系列規格。此外,Web 服務安全性亦描述如何將安全性權杖附加到訊息中,這些安全性權杖包括二進位安全性權杖,例如 X.509 憑證與 Kerberos 票證。在 AD FS 中,當 Kerberos 簽署安全性權杖時,就會使用 Web 服務安全性。 |
|
Windows NT 權杖型應用程式 |
依賴 Windows NT 權杖來執行使用者授權的 Windows 應用程式。 |
|
WS-同盟 |
定義一套模型與一組訊息的規格,這個規格可在各種不同信任領域之間,仲介識別與驗證資訊的信任與同盟。 WS-同盟規格可在信任領域之間識別兩種識別與驗證要求來源:
|
|
WS-同盟被動式要求者設定檔 (WS-F PRP) |
WS-同盟規格的一種執行方式,可提供標準通訊協定以指定被動式用戶端 (如網頁瀏覽器) 應如何套用同盟架構。透過此通訊協定,Web 服務要求者應可接受新的安全性機制,並能夠與 Web 服務提供者進行互動。 |