Active Directory Federation Services (AD FS) 是 Windows Server(R) 2003 R2、Windows Server 2008 及 Windows Server 2008 R2 作業系統中的一項功能,可提供 Web 單一登入 (SSO) 技術,以供在單一線上工作階段期間對多個網頁應用程式驗證某個使用者。AD FS 可在安全性與企業界限之間安全地共用數位識別與授權權限 (或「宣告」),藉以完成此作業。
AD FS 中的功能
在 Windows Server 2008 及 Windows Server 2008 R2 中,AD FS 包含了 Windows Server 2003 R2 中所沒有的新功能。若要深入了解這些新功能,請參閱 Windows Server 2008 中的<AD FS 新功能>(
以下是 AD FS 的一些重要功能:
-
同盟與 Web SSO
若組織使用了 Active Directory 網域服務 (AD DS),即可透過組織安全性或企業界限內的 Windows 整合式驗證機制,享受到 SSO 功能的便利性。AD FS 擴充此功能至網際網路方向的應用程式。這使得客戶、夥伴與供應商在存取組織的網頁應用程式時,將能享受同等高效率的 Web SSO 使用經驗。除此之外,亦可在多個組織中部署同盟伺服器,以促進夥伴組織之間的商務對商務 (B2B) 同盟交易。如需 AD FS 同盟的相關資訊,請參閱了解同盟設計。
-
Web 服務 (WS)-* 互通性
AD FS 所提供的同盟識別管理解決方案,可與其他支援 WS-* Web 服務架構的安全性產品交互操作。AD FS 利用 WS-* 的同盟規格 (稱為 WS 同盟) 來達成此目的。透過 WS-同盟規格,未使用 Microsoft(R) Windows(R) 識別模型的環境也可與 Windows 環境結盟。如需 WS-* 規格的相關資訊,請參閱AD FS 的資源。
-
可延伸架構
AD FS 提供了支援安全性聲明標記語言 (SAML) 1.1 權杖類型與核心 Kerberos 驗證 (在「具有樹系信任的同盟 Web SSO」設計中) 的可延伸架構。AD FS 亦可執行宣告對應,例如,使用自訂企業邏輯做為存取要求中的變數,藉以修改宣告。組織可利用此擴充性修改 AD FS,使其能與目前的安全性基礎結構與企業原則並存。如需修改宣告的相關資訊,請參閱了解宣告。
延伸 AD DS 至網際網路
許多組織皆以 AD DS 做為主要識別與驗證服務。透過 Windows Server 2003 Active Directory 與 Windows Server 2008 及 Windows Server 2008 R2 AD DS,即可在兩個或更多 Windows Server 2003、Windows Server 2008 或 Windows Server 2008 R2 樹系之間建立樹系信任,以便存取其他企業單位或組織的資源。如需樹系信任的相關資訊,請參閱<網域與樹系信任的運作方式>(
但在某些設計中,樹系信任並非可行的方式。例如,組織間的存取有時必須限定於少數的幾個人,而非樹系中的每個成員。
透過 AD FS 的運用,組織將可擴充現有的 Active Directory 基礎結構,透過網際網路來存取信任夥伴所提供的資源。這些信任的夥伴可包括外部協力廠商,或相同組織中的其他部門或是分公司。
AD FS 支援透過網際網路進行的分散式驗證與授權。AD FS 可整合至組織或部門現有的存取管理解決方案中,以將組織中所使用的宣告轉譯為同盟內一致同意的宣告。AD FS 可建立及驗證在組織間移動的宣告,並保護其安全性。它也可以稽核及監視各組織與部門間的通訊活動,以進一步確保交易的安全性。
如需 AD FS 的相關概觀資訊,請參閱下列主題: