Проектирование федеративного единого входа для интернет-решений

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Проект единого входа в федеративный веб-интерфейс (SSO) в службы федерации Active Directory (AD FS) (AD FS) включает безопасный обмен данными, охватывающий несколько брандмауэров, сетей периметра и серверов разрешения имен, а также всю инфраструктуру маршрутизации Интернета.

Как правило, эта схема используется, если две организации согласны создать отношение доверия федерации, чтобы разрешить пользователям в одной организации (партнерской организации учетной записи) доступ к веб-приложениям или службам, защищенным AD FS, в другой организации (организации-партнере по ресурсам).

Другими словами, отношения доверия федерации — это воплощение соглашения об уровне бизнеса или о партнерстве между двумя организациями. Как показано на следующем рисунке, можно устанавливать отношения доверия федерации между двумя организациями, что приводит к сценарию сквозной федерации.

Однонаправленная стрелка на рисунке показывает направление доверия федерации, которое, как и направление доверия Windows, всегда указывает в сторону учетной записи леса. Это означает, что проверка подлинности проходит от организации-партнера по учетным записям к организации-партнеру по ресурсам.

В этом дизайне федеративного единого входа два сервера федерации (один в Fabrikam и другой в Contoso) маршрутизирует запросы проверки подлинности из учетных записей пользователей в Fabrikam в веб-приложения или службы в Contoso.

Примечание.

Для дополнительной безопасности можно использовать прокси-серверы федерации для ретрансляции запросов к серверам федерации, которые не доступны напрямую из Интернета.

В данном примере Fabrikam является поставщиком удостоверений или учетных записей. В части федеративного единого входа Fabrikam используется следующая цель развертывания AD FS:

• Предоставление пользователям Active Directory вашей организации доступа к приложениям и службам других организаций

Contoso — поставщик ресурсов. Часть проекта единого входа в Федеративном веб-сервере Contoso достигает следующих целей развертывания AD FS:

• Предоставление пользователям другой организации доступа к вашим приложениям и службам с поддержкой утверждений

• Предоставление пользователям Active Directory вашей организации доступа к вашим приложениям и службам с поддержкой утверждений

Список подробных задач, которые можно использовать для планирования и развертывания федеративного единого входа через Интернет см. в разделе Checklist: Implementing a Federated Web SSO Design.

См. также

Руководство по разработке служб федерации Active Directory в Windows Server 2012