Informazioni sui concetti principali relativi ad AD FS
È consigliabile conoscere i concetti importanti per Active Directory Federation Services e acquisire familiarità con il relativo set di funzionalità.
Suggerimento
Per altri collegamenti alle risorse di AD FS, vedere Informazioni sui concetti relativi ad AD FS.
Terminologia di ADFS usata in questa guida
Termine di ADFS | Definizione |
---|---|
Organizzazione partner account | Organizzazione partner federativo rappresentata da un trust del provider di attestazioni nel Servizio federativo. L'organizzazione partner account include gli utenti che accederanno alle applicazioni basate sul Web nel partner risorse. |
Server federativo di account | Server federativo nell'organizzazione partner account. Il server federativo di account rilascia token di sicurezza agli utenti in base all'autenticazione utente. Il server autentica l'utente, estrae gli attributi rilevanti e le informazioni sull'appartenenza a gruppi dall'archivio attributi, include queste informazioni in attestazioni e genera e firma un token di sicurezza (che contiene le attestazioni) da restituire all'utente, che potrà usarlo nella propria organizzazione o inviarlo a un'organizzazione partner. |
Database di configurazione di ADFS | Database usato per archiviare tutti i dati di configurazione che rappresentano una singola istanza di ADFS o il Servizio federativo. I dati di configurazione possono essere archiviati in un database SQL Server o usando la funzionalità Database interno di Windows disponibile inWindows Server 2016, Windows Server 2012 e 2012 R2 e Windows Server 2008 e 2008 R2. È possibile creare il database di configurazione di AD FS per SQL Server usando lo strumento da riga di comando Fsconfig.exe o per Database interno di Windows con la Configurazione guidata server federativo di AD FS. |
Provider di attestazioni | Organizzazione che fornisce attestazioni agli utenti. Vedere organizzazione partner account. |
Trust del provider di attestazioni | Nello snap-in Gestione AD FS i trust del provider di attestazioni sono oggetti trust creati solitamente nelle organizzazioni partner risorse che rappresentano l'organizzazione nella relazione di trust i cui account accederanno alle risorse nell'organizzazione partner risorse. Un oggetto trust del provider di attestazioni è costituito da diversi identificatori, nomi e regole che identificano il partner nel Servizio federativo locale. |
Trust del provider di attestazioni locale | Oggetto trust che rappresenta AD LDS o directory basate su LDAP di terze parti in una farm di AD FS. Un oggetto trust del provider di attestazioni locale è costituito da diversi identificatori, nomi e regole che identificano la directory basata su LDAP nel Servizio federativo locale. |
Metadati della federazione | Formato dei dati per la comunicazione di informazioni di configurazione tra un provider di attestazioni e una relying party per facilitare la configurazione corretta dei trust del provider di attestazioni e dei trust della relying party. Il formato dei dati è definito in SAML (Security Assertion Markup Language) 2.0 ed è esteso in WS-Federation. |
Server federativo | Windows Server che è stato configurato con la Configurazione guidata server federativo di AD FS con il ruolo di server federativo. Un server federativo rilascia token e fa parte del Servizio federativo. |
Proxy server federativo | Windows Server che è stato configurato con la Configurazione guidata del proxy server federativo di AD FS come servizio proxy intermediario tra un client Internet e un Servizio federativo protetto da un firewall in una rete aziendale. |
Server federativo primario | Windows Server configurato nel ruolo di server federativo con la Configurazione guidata server federativo di AD FS e che include una copia in lettura/scrittura del database di configurazione di AD FS. Il server federativo primario viene creato quando si utilizza configurazione guidata Server federativo AD ADFS e selezionare l'opzione per creare un nuovo servizio federativo e rendere il computer del primo server federativo nella farm. Tutti gli altri server federativi della farm devono replicare le modifiche fatte sul server federativo primario in una copia di sola lettura del database di configurazione di ADFS archiviato localmente. Il termine “server federativo primario” non si applica quando il database di configurazione di ADFS è archiviato in un database SQL, perché tutti i server federativi possono leggere e scrivere in un database di configurazione archiviato in SQL Server. |
Relying party | Organizzazione che riceve ed elabora attestazioni. Vedere organizzazione partner risorse. |
Trust della relying party | Nello snap-in Gestione AD FS i trust della relying party sono oggetti trust creati solitamente in: - Organizzazioni partner account che rappresentano l'organizzazione nella relazione di trust i cui account accederanno alle risorse nell'organizzazione partner risorse. Un oggetto trust della relying party è costituito da diversi identificatori, nomi e regole che identificano il partner o l'applicazione Web nel Servizio federativo locale. |
Server federativo di risorsa | Server federativo nell'organizzazione partner risorse. Il server federativo di risorsa rilascia solitamente token di sicurezza agli utenti in base a un token di sicurezza rilasciato da un server federativo di account. Il server riceve il token di sicurezza, verifica la firma, applica la logica della regola attestazioni alle attestazioni decompresse per produrre le attestazioni in uscita necessarie, genera un nuovo token di sicurezza (con le attestazioni in uscita) in base alle informazioni disponibili nel token di sicurezza in ingresso e firma il nuovo token da restituire all'utente e infine all'applicazione Web. |
Organizzazione partner risorse | Partner federativo rappresentato da un trust della relying party nel Servizio federativo. Il partner risorse rilascia token di sicurezza basati su attestazioni contenenti applicazioni basate sul Web pubblicate a cui possono accedere gli utenti nel partner account. |
Panoramica di ADFS
AD FS è una soluzione di accesso alle identità che fornisce ai computer client (all'interno o all'esterno della rete) l'accesso SSO senza problemi alle applicazioni o ai servizi protetti con connessione Internet, anche quando gli account utente e le applicazioni si trovano in organizzazioni o reti completamente diverse.
Quando un'applicazione o in servizio si trova in una rete e un account utente è in un'altra rete, all'utente vengono in genere richieste credenziali secondarie quando prova ad accedere all'applicazione o al servizio. Le credenziali secondarie rappresentano l'identità dell'utente nell'area di autenticazione in cui risiede l'applicazione o il servizio. Sono di solito richieste dal server Web che ospita l'applicazione o il servizio per poter applicare la decisione di autorizzazione appropriata.
Con AD FS le organizzazioni possono ignorare le richieste di immissione delle credenziali secondarie fornendo relazioni di trust (trust federativi) che le organizzazioni possono usare per distribuire l'identità digitale e i diritti di accesso di un utente a partner attendibili. In questo ambiente federativo ogni organizzazione continua a gestire le proprie identità, ma può anche distribuire e accettare in modo sicuro identità di altre organizzazioni.