Partilhar via


Certificados de autenticação de tokens

Os servidores de federação exigem certificados de autenticação de tokens para impedir que invasores alterem ou falsifiquem tokens de segurança na tentativa de obter acesso não autorizado a recursos federados. O emparelhamento de chave pública/privada usado com certificados de assinatura de token é o mecanismo de validação mais importante de qualquer parceria federada porque essas chaves verificam se um token de segurança foi emitido por um servidor de federação de parceiro válido e se o token não foi modificado em trânsito.

Requisitos de certificado de autenticação de tokens

Um certificado de autenticação de tokens deve atender aos seguintes requisitos para funcionar com o AD FS:

  • Para que um certificado de autenticação de tokens assine com êxito um token de segurança, o certificado de autenticação de tokens deve conter uma chave privada.

  • A conta de serviço do AD FS precisa ter acesso à chave privada do certificado de autenticação de tokens no repositório pessoal do computador local. Isso é feito pela Instalação. Você também pode usar o complemento de gerenciamento do AD FS para garantir esse acesso se alterar posteriormente o certificado de assinatura de token.

Observação

É uma melhor prática da PKI (infraestrutura de chave pública) não compartilhar a chave privada para várias finalidades. Portanto, não use o certificado de comunicação de serviço que você instalou no servidor de federação como o certificado de autenticação de tokens.

Como os certificados de assinatura de token são usados entre parceiros

Cada certificado de autenticação de tokens contém chaves privadas criptográficas e chaves públicas que são usadas para assinar digitalmente (por meio da chave privada) um token de segurança. Posteriormente, depois de serem recebidas por um servidor de federação de parceiros, essas chaves validam a autenticidade (por meio da chave pública) do token de segurança criptografado.

Como cada token de segurança é assinado digitalmente pelo parceiro de conta, o parceiro de recurso pode verificar se o token de segurança foi de fato emitido pelo parceiro de conta e se ele não foi modificado. As assinaturas digitais são verificadas pela parte de chave pública do certificado de autenticação de tokens de um parceiro. Depois que a assinatura é verificada, o servidor de federação de recursos gera um token de segurança próprio para sua organização e assina o token de segurança com o próprio certificado de autenticação de tokens.

Para ambientes de parceiros de federação, quando o certificado de autenticação de tokens tiver sido emitido por uma AC, verifique se:

  1. As CRLs (listas de certificados revogados) do certificado são acessíveis a terceiros confiáveis e servidores Web que confiam no servidor de federação.

  2. O certificado de AC raiz é confiável pelas partes confiáveis e servidores Web que confiam no servidor de federação.

O servidor Web no parceiro de recurso usa a chave pública do certificado de autenticação de tokens para verificar se o token de segurança é assinado pelo servidor de federação de recursos. O servidor Web então permite o acesso apropriado ao cliente.

Considerações de implantação para certificados de assinatura de tokens

Ao implantar o primeiro servidor de federação em uma nova instalação do AD FS, obtenha um certificado de autenticação de tokens e instale-o no repositório de certificados pessoais do computador local nesse servidor de federação. Você pode obter um certificado de autenticação de tokens solicitando um de uma AC corporativa ou uma AC pública ou criando um certificado autoassinado.

  • Uma chave privada de um certificado de autenticação de tokens é compartilhada entre todos os servidores de federação em um farm.

    Em um ambiente de farm de servidores de federação, recomendamos que todos os servidores de federação compartilhem (ou reutilizem) o mesmo certificado de autenticação de tokens. Você pode instalar um só certificado de autenticação de tokens de uma AC em um servidor de federação e exportar a chave privada, desde que o certificado emitido seja marcado como exportável.

    Conforme mostrado na ilustração a seguir, a chave privada de um só certificado de autenticação de tokens pode ser compartilhada com todos os servidores de federação em um farm. Essa opção, em comparação à seguinte opção de "certificado de autenticação de tokens exclusivo", reduz os custos se você planeja obter um certificado de autenticação de tokens de uma AC pública.

    Illustration that shows the private key from a single token-signing certificate can be shared to all the federation servers in a farm.

Para obter informações sobre como instalar um certificado ao usar os Serviços de Certificados da Microsoft como sua AC corporativa, confira IIS 7.0: Criar um certificado do servidor de domínio no IIS 7.0.

Para informações sobre como instalar um certificado de uma AC pública, confira IIS 7.0: solicitar um certificado do servidor da Internet.

Para obter informações sobre como instalar um certificado autoassinado, confira IIS 7.0: Criar um certificado do servidor autoassinado no IIS 7.0.

Consulte Também

Guia de design do AD FS no Windows Server 2012