Opis kluczowych pojęć dotyczących usług AD FS
Zaleca się zapoznanie się z ważnymi pojęciami dotyczącymi usług Active Directory Federation Services i zapoznanie się z jej zestawem funkcji.
Wskazówka
Dodatkowe linki zasobów usług AD FS można znaleźć w artykule Understanding Key AD FS Concepts (Opis kluczowych pojęć dotyczących usług AD FS).
Terminologia usług AD FS używana w tym przewodniku
| Termin AD FS | Definicja |
|---|---|
| Organizacja partnerska konta | Organizacja partnerska w federacji reprezentowana przez dostawcę oświadczeń zaufanych w usłudze federacyjnej. Organizacja partnera kont zawiera użytkowników, którzy będą uzyskiwać dostęp do aplikacji internetowych w partnerze zasobów. |
| Serwer federacyjny kont | Serwer federacyjny w organizacji partnera kont. Serwer federacyjny kont wystawia tokeny zabezpieczające użytkownikom na podstawie uwierzytelniania użytkownika. Serwer uwierzytelnia użytkownika, wyodrębnia odpowiednie atrybuty i informacje o członkostwie w grupie z magazynu atrybutów, pakuje te informacje do oświadczeń i generuje i podpisuje token zabezpieczający (który zawiera oświadczenia) w celu powrotu do użytkownika — do użycia we własnej organizacji lub do wysłania do organizacji partnerskiej. |
| Baza danych konfiguracji usług AD FS | Baza danych używana do przechowywania wszystkich danych konfiguracji reprezentujących pojedyncze wystąpienie usług AD FS lub usługę federacyjną. Te dane konfiguracji mogą być przechowywane w bazie danych programu SQL Server lub w wewnętrznej bazie danych systemu Windows dostępnej w systemach Windows Server 2016, Windows Server 2012 i 2012 R2 oraz Windows Server 2008 i 2008 R2.
Bazę danych konfiguracji usług AD FS dla programu SQL Server można utworzyć przy użyciu narzędzia wiersza polecenia Fsconfig.exe i wewnętrznej bazy danych systemu Windows przy użyciu Kreatora konfiguracji serwera federacyjnego usług AD FS. |
| Dostawca oświadczeń | Organizacja, która udostępnia oświadczenia swoim użytkownikom. Zobacz organizację partnera konta. |
| Zaufanie dostawcy oświadczeń | W przystawce zarządzanie usługami AD FS relacje zaufania dostawcy oświadczeń są obiektami zaufania zwykle tworzonymi w organizacjach partnerów zasobów reprezentujących organizację w relacji zaufania, której konta będą uzyskiwać dostęp do zasobów w organizacji partnera zasobów. Obiekt zaufania dostawcy roszczeń składa się z różnych identyfikatorów, nazw i reguł, które identyfikują tego partnera dla lokalnej usługi federacyjnej. |
| Zaufanie dostawcy oświadczeń lokalnych | Obiekt zaufania reprezentujący usługi AD LDS lub katalogi oparte na protokole LDAP innej firmy w farmie usług AD FS. Lokalny obiekt zaufania dostawcy oświadczeń składa się z różnych identyfikatorów, nazw i reguł identyfikujących ten katalog oparty na protokole LDAP do lokalnej usługi federacyjnej. |
| Metadane federacji | Format danych do komunikowania informacji o konfiguracji między dostawcą oświadczeń i jednostki uzależnionej w celu ułatwienia prawidłowej konfiguracji zaufania dostawcy oświadczeń i zaufania jednostki uzależnionej. Format danych jest określony w Security Assertion Markup Language (SAML) 2.0 i jest rozszerzony w WS-Federation. |
| Serwer federacyjny | System Windows Server, skonfigurowany przy użyciu Kreatora konfiguracji serwera federacyjnego AD FS, aby działać jako serwer federacyjny. Serwer federacyjny wystawia tokeny i służy jako część usługi federacyjnej. |
| Federacyjny serwer proxy | System Windows Server, który został skonfigurowany z użyciem Kreatora Konfiguracji Proxy Serwera Federacyjnego AD FS, aby działać jako pośrednia usługa proxy między klientem internetowym a usługą federacyjną, która jest umiejscowiona za zaporą sieciową w sieci korporacyjnej. |
| Podstawowy serwer federacyjny | System Windows Server skonfigurowany w roli serwera federacyjnego przy użyciu Kreatora konfiguracji serwera federacyjnego usług AD FS i posiadający kopię z możliwością odczytu i zapisu bazy danych konfiguracji usług AD FS.
Podstawowy serwer federacyjny jest tworzony podczas korzystania z Kreatora konfiguracji serwera federacyjnego usług AD FS i wybierz opcję utworzenia nowej usługi federacyjnej i ustawić ten komputer jako pierwszy serwer federacyjny w farmie. Wszystkie inne serwery federacyjne w tej farmie muszą replikować zmiany wprowadzone na serwerze federacyjnym podstawowym do kopii bazy danych konfiguracji usług AD FS przechowywanej lokalnie. Termin "podstawowy serwer federacyjny" nie ma zastosowania, gdy baza danych konfiguracji usług AD FS jest przechowywana w bazie danych SQL, ponieważ wszystkie serwery federacyjne mogą równie odczytywać i zapisywać w bazie danych konfiguracji przechowywanej w programie SQL Server. |
| Strona polegająca | Organizacja, która odbiera i przetwarza oświadczenia. Zobacz organizację partnera zasobów. |
| Zaufanie strony polegającej | W przystawce do zarządzania usługą AD FS relacje zaufania z jednostkami bazowymi są obiektami zaufania, które są zwykle tworzone w: — Organizacje partnerskie reprezentujące organizację w relacji zaufania, której konta będą uzyskiwać dostęp do zasobów w organizacji partnera zasobów. Obiekt zaufania strony ufającej składa się z różnych identyfikatorów, nazw i reguł, które identyfikują tego partnera lub aplikację internetową względem lokalnej usługi federacyjnej. |
| Serwer federacyjny zasobów | Serwer federacyjny w organizacji partnera zasobów. Serwer federacyjny zasobów zwykle wystawia tokeny zabezpieczające użytkownikom na podstawie tokenu zabezpieczającego wystawionego przez serwer federacyjny kont. Serwer odbiera token zabezpieczający, weryfikuje podpis, stosuje logikę reguły oświadczeń do rozpakowanych oświadczeń w celu wygenerowania żądanych oświadczeń wychodzących, generuje nowy token zabezpieczający (z oświadczeniami wychodzącymi) na podstawie informacji w przychodzącym tokenie zabezpieczającym i podpisuje nowy token, aby powrócić do użytkownika i ostatecznie do aplikacji internetowej. |
| Organizacja partnera zasobów | Partner federacyjny, który jest reprezentowany przez relację zaufania podmiotu polegającego w usłudze federacyjnej. Partner zasobów wystawia tokeny zabezpieczające oparte na oświadczeniach, które zawierają opublikowane aplikacje internetowe, do których mogą uzyskiwać dostęp użytkownicy w partnerze kont. |
Omówienie usług AD FS
AD FS to rozwiązanie zarządzania tożsamościami, które zapewnia komputerom klienckim (wewnątrz lub poza twoją siecią) bezproblemowy dostęp SSO do chronionych aplikacji lub usług udostępnionych w Internecie, nawet jeśli konta użytkowników i aplikacje znajdują się w zupełnie różnych sieciach lub organizacjach.
Gdy aplikacja lub usługa znajduje się w jednej sieci, a konto użytkownika znajduje się w innej sieci, zazwyczaj użytkownik jest monitowany o podanie poświadczeń pomocniczych podczas próby uzyskania dostępu do aplikacji lub usługi. Te poświadczenia pomocnicze reprezentują tożsamość użytkownika w obszarze, w którym znajduje się aplikacja lub usługa. Zazwyczaj są one wymagane przez serwer sieci Web hostujący aplikację lub usługę, aby mógł podjąć najbardziej odpowiednią decyzję o autoryzacji.
Dzięki usługom AD FS organizacje mogą pomijać żądania dotyczące poświadczeń pomocniczych, zapewniając relacje zaufania (relacje federacyjne), których te organizacje mogą używać do projekcji tożsamości cyfrowej użytkownika i praw dostępu do zaufanych partnerów. W tym środowisku federacyjnym każda organizacja nadal zarządza własnymi tożsamościami, ale każda organizacja może również bezpiecznie projektować i akceptować tożsamości z innych organizacji.