Examine a função do proxy do servidor de federação no parceiro de conta
A principal função do proxy do servidor de federação na rede de perímetro da organização do parceiro de conta nos Serviços de Federação do Active Directory (AD FS) é coletar credenciais de autenticação de um computador cliente que faz logon pela Internet e passar essas credenciais para o servidor de federação, que está localizado dentro da rede corporativa da organização do parceiro de conta. A conta do computador cliente é armazenada no repositório de atributos do parceiro de conta.
Um proxy do servidor de federação também pode funcionar em uma ou mais das funções a seguir, dependendo de como você o configura para atender as necessidades da organização do parceiro de conta:
Retransmissão de tokens de segurança – O servidor de federação emite um token de segurança para o proxy do servidor de federação, que retransmite o token para o computador cliente. O token de segurança é usado para fornecer acesso para o computador cliente a uma terceira parte confiável específica.
Coletar credenciais – O proxy do servidor de federação usa um formulário da Web de logon padrão do cliente (clientlogon.aspx) para coletar credenciais baseadas em senha por meio da autenticação baseada em formulários. No entanto, você pode personalizar esse formulário para aceitar outros tipos de autenticação com suporte, como autenticação de cliente do Secure Sockets Layer (SSL). Para obter mais informações sobre como personalizar essa página, consulte Personalizando o logon do cliente e as páginas de descoberta de realm de início (http://go.microsoft.com/fwlink/?LinkId=104275). Um proxy do servidor de federação não aceitar credenciais por meio da autenticação integrada do Windows.
Resumindo, um proxy do servidor de federação no parceiro de conta atua como um proxy para logons de cliente em um servidor de federação localizado na rede corporativa. O proxy do servidor de federação também facilita a distribuição dos tokens de segurança para clientes da Internet que são destinados a partes confiáveis.
Cuidado
Expor um proxy do servidor de federação na extranet do parceiro de conta torna o formulário da Web de logon do cliente disponível a qualquer pessoa com acesso à Internet. Isso pode deixar sua organização vulnerável a alguns ataques baseados em senha, como ataques de dicionário ou ataques de força bruta que podem acionar os bloqueios de conta para contas de usuário que são armazenadas nos Serviços de Domínio do Active Directory (AD DS) corporativos.