При планировании совместной работы нескольких организаций (на основе федерации) с использованием службы федерации Active Directory (ADFS) сначала определяют, будет ли в организации размещаться веб-ресурс, обеспечивающий доступ к другим организациям через Интернет или доступный для них. Это решение влияет на порядок развертывания ADFS и является определяющим в планировании вашей инфраструктуры ADFS.

Для Сценарии федерации, таких как федеративный единый вход в Интернет и федеративный единый вход в Интернет с лесом доверия (но не сценарий единого входа в Интернет), службой федерации Active Directory используются термины «партнер по учетным записям» и «партнер по ресурсам», помогающие отличать организацию, в которой размещаются учетные записи (партнер по учетным записям), от организации, в которой размещаются веб-ресурсы (партнер по ресурсам). Термин «Федеративные доверительные отношения» используется в ADFS для характеристики однонаправленного, нетранзитивного отношения, которое устанавливается между партнером по учетным записям и партнером по ресурсам.

В следующих разделах объясняются некоторые понятия, касающиеся партнеров по учетным записям и партнеров по ресурсам.

Партнер по учетным записям

Партнер по учетным записям представляет в доверительном отношении федерации ту организацию, в которой физически хранятся учетные записи или в хранилище Active Directory, или в хранилище режима приложений Active Directory (ADAM). Партнер по учетным записям отвечает за сбор и проверку подлинности учетных данных пользователя, формирование заявок для этого пользователя и за упаковку заявок в маркеры безопасности. Затем эти маркеры могут представляться в пределах федеративного доверия для доступа к веб-ресурсам, которые находятся в организации партнера по ресурсам.

Другими словами, партнер по учетным записям представляет организацию, для пользователей которой часть Служба федерации, занимающаяся учетными записями, выдает маркеры безопасности. Служба федерации в организации партнера по учетным записям проверяет подлинность локальных пользователей и создает маркеры безопасности, которые используются партнером по ресурсам при выполнении авторизации.

По отношению к Active Directory партнер по учетным записям в ADFS концептуально эквивалентен одиночному лесу Active Directory, учетным записям которого требуется доступ к ресурсам, физически размещенным в другом лесу. Учетные записи в этом примере леса могут получать доступ к ресурсам в лесу ресурсов, только когда между двумя лесами существует отношение внешнего доверия или доверия лесов, а ресурсы, к которым пользователи пытаются получить доступ, настроены с надлежащими разрешениями авторизации.

Примечание

Данная аналогия предназначена исключительно для того, чтобы подчеркнуть концептуальное сходство отношения между партнерскими организациями по учетным записям и ресурсам в ADFS с отношением между лесом учетных записей и лесом ресурсов в Active Directory. Для функционирования ADFS не требуются внешние доверия и доверия лесов.

Создание заявок, поступающих партнеру по ресурсам

Заявка — это утверждение, которое создается сервером (например, имя, идентичность, ключ, группа, привилегия или возможность) о клиенте. Партнер по учетным записям создает заявки, которые потребляются службой федерации партнера по ресурсам. В следующем списке описываются различные типы заявок, которые могут настраиваться у партнера по учетным записям.

  • Заявка на основное имя пользователя (UPN)

    При настройке партнера по учетным записям можно задать список доменов и суффиксов основных имен пользователей (UPN), которые могут приниматься от партнера по учетным записям. Если получена идентификационная заявка на основное имя пользователя (UPN), доменная часть которой отсутствует в списке, запрос отклоняется.

  • Заявка на электронную почту

    При настройке партнера по учетным записям можно задать список доменов и суффиксов электронной почты, которые могут приниматься от партнера по учетным записям. Как и в случае заявки на основное имя пользователя (UPN), если получена идентификационная заявка на электронную почту, доменная часть которой отсутствует в списке, запрос отклоняется.

  • Заявка на общее имя

    При настройке партнера по учетным записям можно указывать, будут ли приниматься от партнера по учетным записям заявки на общее имя. Заявки данного типа могут не сопоставляться; если данный тип заявок включен, они просто пропускаются.

  • Заявки о группах

    При настройке партнера по учетным записям можно задать набор входящих заявок о группах, которые могут приниматься от партнера. Затем можно связать каждую возможную входящую группу с заявкой организации о группе. Обратите внимание, что при этом создается сопоставление групп. Если встречается входящая группа, не имеющая сопоставления, она отбрасывается.

  • Настраиваемые заявки

    При настройке партнера по учетным записям можно задать набор входящих имен настраиваемых заявок, которые будут приниматься от партнера. Затем можно сопоставить каждое возможное входящее имя с настраиваемой заявкой организации. Обратите внимание, что при этом создается сопоставление имен. Если встречается входящая настраиваемая заявка, не имеющая сопоставления, она отбрасывается.

Партнер по ресурсам

Партнер по ресурсам является вторым организационным партнером в доверительном отношении федерации. Партнером по ресурсам является организация, в которой находятся веб-серверы, содержащие одно или несколько веб-приложений (ресурсов). Партнер по ресурсам доверяет проверку подлинности пользователей партнеру по учетным записям. Поэтому для проведения авторизации партнер по ресурсам потребляет заявки, которые упаковываются в маркеры безопасности, поступающие от пользователей через партнера по учетным записям.

Другими словами, партнер по ресурсам представляет организацию, веб-серверы которой защищаются частью службы федерации, отвечающей за работу с ресурсами. Служба федерации партнера по ресурсам использует маркеры безопасности, которые создаются партнером по учетным записям с целью выполнения авторизации для веб-серверов, находящихся у партнера по ресурсам.

Чтобы функционировать в качестве ресурса ADFS, веб-серверы в организации партнера по ресурсам должны иметь установленный компонент ADFS — Веб-агент службы федерации Active Directory. На веб-серверах, функционирующих как ресурс ADFS, могут размещаться приложения по заявкам или приложения, использующие маркеры Windows NT. Дополнительные сведения об этих двух типах приложений см. в разделе Управление доступом к веб-приложениям.

Примечание

Если приложение, размещенное на веб-сервере, является приложением, использующим маркеры Windows NT, в организации партнера по ресурсам для леса Active Directory может потребоваться учетная запись ресурса.

По отношению к Active Directory партнер по ресурсам концептуально эквивалентен одиночному лесу, чьи ресурсы становятся доступны через отношение внешнего доверия или доверия лесов для учетных записей, которые физически хранятся в другом лесу.

Примечание

Данная аналогия предназначена исключительно для того, чтобы подчеркнуть концептуальное сходство отношения между партнерскими организациями по учетным записям и ресурсам в ADFS с отношением между лесом учетных записей и лесом ресурсов в Active Directory. Для функционирования ADFS не требуются внешние доверия и доверия лесов.

Потребление заявок, поступающих от партнера по учетным записям

Партнер по ресурсам потребляет заявки, которые создаются и упаковываются в маркеры безопасности службой федерации партнера по учетным записям. В следующем списке описываются способы отправки заявок партнеру по ресурсам.

  • Заявка на основное имя пользователя (UPN)

    При настройке партнера по ресурсам можно указать, будут ли заявки на основное имя пользователя (UPN) отправляться партнеру по ресурсам. Можно также задать сопоставление суффиксов, чтобы любой суффикс отображался на заданный исходящий суффикс. Например, julianp@sales.tailspintoys.com может отображаться на julianp@tailspintoys.com. Обратите внимание, что допускается задавать только один исходящий суффикс.

  • Заявка на электронную почту

    При настройке партнера по ресурсам можно указать, будут ли заявки на электронную почту отправляться партнеру по ресурсам. Можно также задать сопоставление суффиксов, чтобы любой суффикс отображался на заданный суффикс. Например, vernettep@sales.tailspintoys.com может отображаться на vernettep@tailspintoys.com. Обратите внимание, что допускается задавать только один исходящий суффикс.

  • Заявка на общее имя

    При настройке партнера по ресурсам можно указывать, будут ли отправляться партнеру по ресурсам заявки на общее имя. Заявки данного типа могут не сопоставляться; если данный тип заявок включен, они просто пропускаются партнеру по ресурсам.

  • Заявки о группах

    При настройке партнера по ресурсам можно задать набор исходящих заявок о группах, которые будут приниматься партнером по ресурсам. Затем каждую возможную исходящую заявку о группе можно связать с заявками организации о группе. Обратите внимание, что при этом создается набор сопоставлений групп. Заявки организации о группах, которые не соответствуют исходящей заявке о группе, не создаются.

  • Настраиваемые заявки

    При настройке партнера по ресурсам можно задать набор исходящих настраиваемых заявок, которые будут приниматься партнером по ресурсам. Каждую возможную исходящую настраиваемую заявку можно отобразить на настраиваемую заявку. Обратите внимание, что при этом создается набор сопоставлений имен. Настраиваемые заявки организации, которые не соответствуют исходящей настраиваемой заявке, не создаются.

Усиленная конфиденциальность идентификации

Усиленная конфиденциальность идентификации является необязательным параметром, который может настраиваться у партнера по ресурсам в политике доверия. Если возможность усиленной конфиденциальности идентификации включена, данный параметр хеширует относящуюся к имени пользователя часть исходящих заявок на основное имя пользователя (UPN) и заявок на электронную почту. Данная функция заменяет общее имя случайным значением.

Назначение этой функции заключается в предотвращении следующих действий:

  • Сопоставление партнером по ресурсам идентификационных заявок с личными данными пользователей.

  • Тайное соглашение между партнерами о сопоставлении идентификационных заявок с личными данными пользователей. Эта настройка создает уникальный хеш для каждого партнера, так что значения идентификационных заявок отличаются для разных партнеров сферы доверия, но согласованы по сеансам работы для одиночного партнера.

  • Простые словарные атаки на хеш путем добавления случайной строки к данным, которые находятся в политике доверия, т. е. данным, которые не известны партнерам по ресурсам.

Принципы работы усиленной конфиденциальности идентификации

Если настройка Включить усиленную конфиденциальность идентификации включена, личные данные пользователя преобразуются службой федерации учетных записей, прежде чем они будут отправлены в сферу ресурсов. Служба федерации учетных записей выполняет это посредством хеширования комбинации из закрытого ключа (в качестве случайной строки), URI-кода партнера по ресурсам и самой идентификационной заявки. Поэтому конечные преобразованные личные данные будут одинаковыми, когда одинаковы следующие значения:

  • закрытый ключ;

  • URI-код партнера по ресурсам;

  • идентификационная заявка (на основное имя пользователя (UPN) или на электронную почту).

При работе алгоритма хеширования учитывается регистр. Поэтому результаты хеширования будут другими, если в заявке на основное имя пользователя (UPN) или заявке на электронную почту будет другим регистр URI-кода или части, относящейся к имени пользователя.