Understanding Key AD FS Concepts
建议你了解 Active Directory 联合身份验证服务的关键概念并熟悉其功能集。
提示
可以在了解关键 AD FS 概念中找到其他 AD FS 资源链接。
本指南中使用的 AD FS 术语
| AD FS 术语 | 定义 |
|---|---|
| 帐户伙伴组织 | 由联合身份验证服务中的声明提供方信任表示的联合身份验证伙伴组织。 帐户伙伴组织包含将访问资源伙伴中基于 Web 的应用程序的用户。 |
| 帐户联合服务器 | 帐户伙伴组织中的联合服务器。 帐户联合服务器基于用户身份验证向用户颁发安全令牌。 服务器对用户进行身份验证、从属性存储中提取相关的特性和组成员身份信息、将此信息打包在声明中,并生成和签名安全令牌(其中包含声明)以返回给用户(在自己的组织中使用,或者发送到伙伴组织)。 |
| AD FS 配置数据库 | 用于存储所有表示单个 AD FS 实例或联合身份验证服务的配置数据的数据库。 可以将此配置数据存储在 SQL Server 数据库中,或使用 Windows Server 2016、Windows Server 2012 和 2012 R2 以及 Windows Server 2008 和 2008 R2 附带的 Windows 内部数据库功能存储此配置数据。 你可以使用 Fsconfig.exe 命令行工具为 SQL Server 创建 AD FS 配置数据库,并使用 AD FS 联合服务器配置向导为 Windows 内部数据库创建 AD FS 配置数据库。 |
| 声明提供程序 | 向其用户提供声明的组织。 请参阅帐户伙伴组织。 |
| 声明提供方信任 | 在“AD FS 管理”管理单元中,声明提供程序信任是指通常在资源伙伴组织中创建的信任对象,用于在信任关系中表示其帐户将访问资源伙伴组织中的资源的组织。 声明提供方信任对象包含各种标识符、名称和用于在本地联合身份验证服务中标识此伙伴的规则。 |
| 本地声明提供程序信任 | 一个表示 AD LDS 或 AD FS 场中基于第三方 LDAP 的目录的信任对象。 本地声明提供程序信任对象包含各种标识符、名称和用于在本地联合身份验证服务中标识此基于 LDAP 的目录的规则。 |
| 联合元数据 | 用于在声明提供方和信赖方之间通信配置信息,以便正确配置声明提供方信任和信赖方信任的数据格式。 数据格式以安全声明标记语言 (SAML) 2.0 定义,并且通过 WS 联合身份验证得以扩展。 |
| 联合服务器 | 一台 Windows 服务器,已使用 AD FS 联合服务器配置向导配置为充当联合服务器角色。 联合服务器颁发令牌并充当联合身份验证服务的一部分。 |
| 联合服务器代理 | 一台 Windows 服务器,已使用 AD FS 联合服务器代理配置向导进行配置,以充当 Internet 客户端和位于企业网络防火墙后面的联合身份验证服务之间的中间代理服务。 |
| 主联合服务器 | 一台 Windows 服务器,已使用 AD FS 联合服务器配置向导配置为联合服务器角色,并且具有 AD FS 配置数据库的读/写副本。 当你使用 AD FS 联合服务器配置向导并选择创建新的联合身份验证服务的选项时,将创建主联合服务器,并使该计算机成为服务器场中的第一台联合服务器。 此服务器场中的所有其他联合服务器必须将主联合服务器上所做的任何更改复制到它们在本地存储的 AD FS 配置数据库的只读副本。 由于所有联合服务器可以平等地读取和写入到存储在 SQL Server 上的配置数据库,AD FS 配置数据库存储在 SQL 数据库时,术语“主联合服务器”不适用。 |
| 信赖方 | 接收和处理声明的组织。 请参阅资源伙伴组织。 |
| 信赖方信任 | 在“AD FS 管理”管理单元中,信赖方信任是指通常在以下内容中创建的信任对象: - 在信任关系中表示组织的帐户伙伴组织,其帐户将访问资源伙伴组织中的资源。 信赖方信任对象包含各种标识符、名称和用于在本地联合身份验证服务中标识此伙伴或 Web 应用程序的规则。 |
| 资源联合服务器 | 资源伙伴组织中的联合服务器。 资源联合服务器通常基于由帐户联合服务器颁发的安全令牌来向用户颁发安全令牌。 该服务器接收安全令牌、验证签名、将声明规则逻辑应用到未打包的声明以产生所需的传出声明,基于传入安全令牌中的信息生成新的安全令牌(具有传出声明),并签署新的安全令牌以返回到用户并最终返回到 Web 应用程序。 |
| 资源伙伴组织 | 由联合身份验证服务中的信赖方信任表示的联合身份验证伙伴。 资源伙伴颁发基于声明的安全令牌,其中包含已发布的基于 Web 的应用程序,帐户伙伴中的用户可以访问这些应用程序。 |
AD FS 概述
AD FS 是一个标识访问解决方案,该方案为客户端计算机(你网络的内部或外部)提供对受保护的面向 Internet 的应用程序或服务的无缝 SSO 访问,即使用户帐户和应用程序位于完全不同的网络或组织中。
当应用程序或服务在一个网络中,而用户帐户处于另一个网络中时,用户尝试访问应用程序或服务时通常会被提示输入辅助凭据。 这些辅助凭据表示应用程序或服务所驻留的领域中的用户身份。 托管应用程序或服务的 Web 服务器通常需要使用它们,以便该服务器可以做出最适当的授权决策。
借助 AD FS,组织可以通过提供信任关系(联合身份验证信任)绕过输入辅助凭据的请求,这些组织可以通过上述关系将用户的数字标识和访问权限投影到受信任的伙伴。 在此联合环境中,每个组织继续管理自己的标识,但每个组织还可以安全地投影和接受来自其他组织的标识。