Службы федерации Active Directory (Active Directory Federation Services, ADFS) могут функционировать только при надлежащей настройке серверов, работающих под управлением Windows Server 2003 R2. Конкретные роли сервера ADFS должны развертываться в зависимости от условий, существующих в организации. В следующих разделах описываются роли сервера, которые могут использоваться для предоставления решения по управлению федеративной идентификацией ADFS.
Сервер федерации
На серверах федерации размещается Служба федерации — компонент ADFS. Серверы федерации используются для маршрутизации запросов на проверку подлинности, выполняемых с учетных записей пользователей в других организациях (в сценариях федеративного единого входа в Интернет) или от клиентов, которые могут находиться в любом месте Интернета (в сценариях с единым входом в Интернет). Дополнительные сведения о различных сценариях ADFS см. в разделе Сценарии федерации.
На серверах федерации также размещается служба маркеров безопасности, которая выдает маркеры, основанные на учетных данных (таких как имя пользователя и пароль), представляемых службе. После проверки учетных данных (посредством входа пользователя в систему) Заявки пользователя собираются путем анализа атрибутов пользователя, хранящихся в Active Directory или в службе ADAM (Active Directory Application Mode).
В сценариях федеративного единого входа в Интернет заявки могут затем изменяться с помощью сопоставлений заявок для конкретного партнера по ресурсам. Заявки встроены в маркер, который посылается на сервер федерации партнеру по ресурсам. После того, как сервер федерации, находящийся у партнера по ресурсам, получает заявки как входящие заявки, он сопоставляет их с заявками организации. Затем заявки организации встраиваются в новый маркер, который отсылается веб-агенту ADFS.
Роль, выполняемая сервером федерации в сценариях федеративного единого входа в Интернет (федеративного единого входа в Интернет или федеративного единого входа в Интернет с доверием леса), может зависеть от того, назначена ли организация в качестве партнера по учетным записям или партнера по ресурсам:
- Серверы федерации у партнера по учетным записям используются
для входа с локальными учетными записями в хранилище
Active Directory или в хранилище службы ADAM (Active Directory
Application Mode). Серверы федерации также выдают начальные маркеры
безопасности, которые могут использоваться учетными записями
локальных пользователей для доступа к веб-приложениям, размещенным
у партнера по ресурсам. Кроме того, серверы федерации у партнера по
учетным записям выдают пользователям файлы «cookies» для сохранения
состояния регистрации. Данные файлы «cookies» содержат заявки для
этих пользователей. Файлы «cookies» обеспечивают возможности
единого входа, чтобы пользователям не надо было вводить учетные
данные при каждом посещении различных веб-приложений у партнера по
ресурсам.
- Серверы федерации у партнера по ресурсам проверяют
достоверность маркеров безопасности, выданных серверами федерации у
партнера по учетным записям. Серверы федерации у партнера по
ресурсам также выдают маркеры безопасности, которые предназначены
для веб-приложений у партнера по ресурсам. Кроме того, серверы
федерации у партнера по ресурсам выдают файлы «cookies» для учетных
записей, поступивших от партнера по учетным записям. Эти файлы
«cookies» обеспечивают возможности единого входа, чтобы
пользователям не надо было повторно регистрироваться на серверах
федерации у партнера по учетным записям, когда пользователи
пытаются получить доступ к различным веб-приложениям у партнера по
ресурсам.
Дополнительные сведения о партнерах по учетным записям и ресурсам см. в разделе Партнерские организации.
Прокси-агент сервера федерации
На прокси-агентах сервера федерации размещается Прокси-агент службы федерации — компонент ADFS. Прокси-агенты сервера федерации могут разворачиваться в организации по периметру сети (также известному как демилитаризованная зона или экранированная подсеть) для пересылки запросов на серверы федерации, к которым нет доступа из Интернета.
Примечание | |
Хотя можно разворачивать отдельные серверы для размещения компонента прокси-агента службы федерации, нет необходимости в развертывании отдельного сервера, который бы действовал как прокси-агент сервера федерации в лесе интрасети партнера по учетным записям или партнера по ресурсам. Эту роль сервер федерации выполняет автоматически. |
Роль, выполняемая прокси-агентом сервера федерации в организации, может зависеть от того, является ли организация партнером по учетным записям или партнером по ресурсам:
- Прокси-агенты сервера федерации у партнера по учетным записям
действуют как прокси-агенты для входов пользователей в системы
серверов федерации, которые находятся в интрасети. Прокси-агенты
сервера федерации также действуют как прокси-агенты для маркеров
безопасности, выданных сервером федерации партнера по учетным
записям как для своих собственных маркеров, так и для маркеров,
предназначенных для партнеров по ресурсам.
- Прокси-агенты службы федерации у партнера по ресурсам действуют
как прокси-агенты для маркеров безопасности, выданных серверами
федерации как у партнера по учетным записям, так и у партнера по
ресурсам, для веб-приложений у партнера по ресурсам.
Веб-сервер
В ADFS на веб-серверах в лесу ресурсов размещается компонент Веб-агент службы федерации Active Directory для предоставления безопасного доступа к веб-приложениям, размещенным на этих веб-серверах. Веб-агент ADFS управляет маркерами безопасности и файлами «cookies» проверки подлинности, которые посылаются на веб-сервер. Чтобы все маркеры проверки подлинности поступали из службы федерации, необходимо наличие отношения между веб-сервером и службой федерации.
Веб-агент ADFS поддерживает приложения двух типов: приложения по заявкам и приложения, использующие маркер Windows NT. Сведения об этих типах приложений см. в разделе Управление доступом к веб-приложениям.