Служба ADFS (Active Directory Federation Services) поддерживает сценарии федеративной идентификации, которые используют спецификации федерации веб-служб (Web Services Federation), профиля пассивной запрашивающей стороны федерации веб-служб (WS-Federation Passive Requestor Profile) и профиля взаимодействия пассивной запрашивающей стороны федерации веб-служб (WS-Federation Passive Requestor Interoperability Profile). Служба ADFS помогает администраторам в решении задач управления федеративной идентификацией, предоставляя для организаций возможности безопасного обмена сведениями об идентификации пользователей через Федеративные доверительные отношения. Следующие три описания сценариев развертывания демонстрируют, как можно использовать Роли сервера ADFS для объединения идентификационных данных в зависимости от потребностей организации.
Федеративная веб-служба SSO
В сценарии ADFS федеративной веб-службы SSO используется безопасное взаимодействие, которое часто охватывает помимо всей инфраструктуры маршрутизации Интернета множество брандмауэров, пограничных сетей и серверов разрешения имен. Взаимодействие через среду федеративной веб-служба SSO может помочь формированию более эффективных и безопасных интерактивных операций между организациями, объединенными доверительными отношениями федерации.
Как показано на следующем рисунке, доверительные отношения федерации могут устанавливаться между двумя коммерческими компаниями. В этом сценарии серверы федерации выполняют маршрутизацию запросов проверки подлинности от пользовательских учетных записей в компании «Tailspin Toys» к веб-приложениям, расположенным в сети компании «Online Retailer».
Серверы федерации проверяют подлинность запросов от доверенных партнеров на основе учетных данных этих партнеров. Обмен представлениями учетных данных осуществляется в форме маркеров безопасности.
В целях повышения безопасности могут применяться прокси-агенты сервера федерации для ретрансляции запросов на серверы федерации, к которым отсутствует прямой доступ из Интернета.
Федеративная веб-служба SSO с доверием лесов
Как показано на следующем рисунке, в сценарии ADFS федеративной веб-службы SSO с доверием лесов используются два леса Active Directory в одной организации. Один из лесов находится в пограничной сети (известной также под названием демилитаризованной зоны или экранированной подсети) организации. Другой лес находится во внутренней сети. Устанавливается однонаправленное доверие лесов, чтобы лес в пограничной сети доверял лесу во внутренней сети. Серверы федерации развертываются в обеих сетях. Доверие федерации устанавливается с тем, чтобы учетные записи во внутреннем лесу могли использоваться для доступа к веб-приложению в пограничной сети независимо от того, получают ли учетные записи доступ к узлу из леса интрасети или из Интернета.
В этом сценарии внешние пользователи, такие как клиенты, могут получать доступ к веб-приложению путем проверки подлинности на внешнем сервере федерации учетных записей, который находится в пограничной сети. Учетные записи внешних пользователей находятся в лесу Active Directory пограничной сети. Внутренние пользователи, такие как сотрудники организации, могут получать доступ к веб-приложению путем проверки подлинности на внутреннем сервере федерации учетных записей, который находится во внутренней сети. Учетные записи внутренних пользователей находятся в лесу Active Directory внутренней сети.
Если веб-приложением является приложение, использующее маркеры Windows NT, то Веб-агент службы федерации Active Directory, запущенный на сервере веб-приложений, перехватывает запросы и создает маркеры безопасности Windows NT, которые необходимы веб-приложению для проведения авторизации. Для внешних пользователей это возможно, поскольку веб-сервер, на котором размещено приложение, использующее маркеры Windows NT, входит в домен во внешнем лесу. Для внутренних пользователей эта возможность обеспечивается через доверительное отношение лесов, которое существует между пограничным лесом и внутренним лесом.
Если веб-приложение является приложением по заявкам, веб-агент ADFS, запущенный на сервере веб-приложений, не должен создавать для пользователя маркеры безопасности Windows NT. Веб-агент ADFS может раскрывать проходящие через него заявки, что позволяет приложению выполнять авторизацию на основе содержимого маркера безопасности, который предоставляется сервером федерации учетных записей. Благодаря этому при развертывании приложений по заявкам веб-сервер не должен входить в домен и не требуется наличие доверия между внешним лесом и внутренним лесом.
Веб-служба SSO
В сценарии ADFS веб-службы SSO пользователи должны проходить проверку подлинности только один раз для получения доступа к нескольким веб-приложениям. В этом сценарии все пользователи являются внешними и федеративного доверия не существует. Так как веб-серверы должны быть доступны из Интернета и к тому же входить в домен Active Directory, они подключены к двум сетям; то есть являются многосетевыми компьютерами. Первая сеть подключена к Интернету (пограничная сеть) для предоставления необходимых подключений. Вторая сеть содержит лес Active Directory (защищенная сеть), к которому нет прямого доступа из Интернета. Прокси-агент сервера федерации также является многосетевым для предоставления необходимых подключений к серверу федерации и Интернету. В этом сценарии помещение сервера федерации в сеть, к которой нет прямого доступа из Интернета, значительно снижает риск уязвимости для сервера федерации.