Поделиться через


Сведения о роли прокси-сервера федерации в организации партнера по учетным записям

Основная роль прокси-сервера федерации в сети периметра партнерской организации учетной записи в службы федерации Active Directory (AD FS) (AD FS) заключается в сборе учетных данных проверки подлинности с клиентского компьютера, который выполняет вход через Интернет и передает эти учетные данные серверу федерации, который находится в корпоративной сети партнерской организации учетной записи. Учетная запись клиентского компьютера хранится в хранилище атрибутов партнера учетной записи.

Прокси-сервер федерации также может работать в одной или нескольких следующих ролях в зависимости от того, как настроить его в соответствии с потребностями партнерской организации учетной записи:

  • Маркеры безопасности ретранслятора— сервер федерации выдает маркер безопасности прокси-серверу федерации, который затем передает маркер на клиентский компьютер. Токен безопасности служит для предоставления клиентскому компьютеру доступа к определенной проверяющей стороне.

  • Сбор учетных данных. Прокси-сервер федерации использует веб-форму входа клиента по умолчанию (clientlogon.aspx) для сбора учетных данных на основе паролей с помощью проверки подлинности на основе форм. Однако эту форму можно настроить для использования других типов аутентификации, например аутентификации клиента SSL. Дополнительные сведения о настройке этой страницы см. в разделе "Настройка входа в систему клиента" и "Поиск домашней области" (http://go.microsoft.com/fwlink/?LinkId=104275). Прокси-сервер федерации не принимает учетные данные через встроенную проверку подлинности Windows.

В итоге прокси-сервер федерации в партнере учетной записи выступает в качестве прокси-сервера для входа клиента на сервер федерации, расположенный в корпоративной сети. Прокси-сервер федерации также упрощает распределение маркеров безопасности для интернет-клиентов, предназначенных для проверяющих сторон.

Внимание

Предоставление прокси-сервера федерации в экстрасети партнера учетной записи позволит клиенту войти в веб-форму, доступную любому пользователю с доступом к Интернету. Это может сделать организацию уязвимой к некоторым атакам на основе паролей, таким как атаки перебором по словарю или атаки методом подбора. Они могут привести к блокировке учетных записей пользователей, хранящихся в корпоративных доменных службах Active Directory.

См. также

Руководство по разработке служб федерации Active Directory в Windows Server 2012