Файлы «cookie» для проверки подлинности могут создавать как служба федерации, так и Веб-агент службы федерации Active Directory. Веб-агент ADFS принимает маркер безопасности ADFS и использует его в качестве значения «cookie». Преимущество такого механизма для веб-сервера заключается в том, что он не нуждается в данных для создания ключа. Служба федерации публикует всю информацию, необходимую для проверки правильности ее маркеров.

Для службы федерации маркер безопасности хранит в файле «cookie» Заявки организации для клиента. Заявки организации могут быть сопоставлены с исходящими заявками для конкретного ресурса. Веб-агент ADFS может также выполнять проверку подлинности и использовать файлы «cookie», созданные службой федерации. Веб-сервер получает файл «cookie», когда клиент входит на веб-сервер. Затем веб-агент ADFS может проверить подлинность этого файла «cookie» и использовать содержащиеся в нем заявки. Дополнительные сведения об использовании службой федерации маркеров, заявок и файлов «cookie» для проверки подлинности см. в разделе Служба федерации.

Файлы «cookie» для проверки подлинности обеспечивают возможность единого входа (Single Sign-On, SSO). После того, как служба федерации проверит подлинность клиента, файл «cookie» для проверки подлинности записывается на клиент. Содержимое файла «cookie» для проверки подлинности создает и использует служба федерации. Это содержимое недоступно для прокси-агентов службы федерации. Дальнейшая проверка подлинности осуществляется путем использования файла «cookie» вместо повторного сбора учетных данных клиента. Дополнительные сведения о прокси-агентах службы федерации см. в разделе Роли сервера ADFS.

На следующем рисунке показано содержимое файла «cookie» для проверки подлинности и компонентов ADFS, которые используют этот файл «cookie». Веб-агент ADFS объединяет службу проверки подлинности веб-агента ADFS и расширение ISAPI веб-агента ADFS.

Файл «cookie» для проверки подлинности всегда является файлом «cookie» сеанса. Файл «cookie» для проверки подлинности подписывается, но не шифруется, что является одной из причин обязательного использования в ADFS протокола TLS/SSL (Transport Layer Security and Secure Sockets Layer).

Файлы «cookie» партнера по учетным записям используются при реализации единого входа в систему. Если после интерактивного обнаружения членства партнера по учетным записям файл «cookie» партнера учетной записи имеет допустимый маркер, «cookie» записывается на клиент. Для дальнейшего взаимодействия вместо повторного запроса у клиента информации членства партнера по учетным записям используются сведения из этого файла «cookie». Файл «cookie» партнера по учетным записям создается в результате процесса обнаружения партнера по учетным записям. Дополнительные сведения об обнаружении партнера по учетным записям см. в разделе Служба федерации.

Файл «cookie» партнера по учетным записям — файл длительного использования. Он не подписывается и не шифруется.

Файлы «cookie» для выхода используются при завершении сеанса. Всякий раз, когда служба федерации создает маркер, к файлу «cookie» для выхода добавляются сведения из маркера о партнере по ресурсам или о конечном сервере. При получении запроса на завершение сеанса служба федерации или прокси-агент службы федерации отправляет каждому из конечных серверов маркера запросы с требованием очистки всех материалов проверки подлинности, таких как кэшированные файлы «cookie», которые партнер по ресурсам или веб-сервер могли записать на клиенте. В случае партнера по ресурсам запрос очистки отправляется всем веб-серверам приложений, которые использовал клиент.

Файл «cookie» для выхода всегда является файлом «cookie» сеанса. Он не подписывается и не шифруется.