Веб-агент службы федерации Active Directory (ADFS) — компонент службы федерации Active Directory. Он используется для приема маркеров безопасности и принятия решения о предоставлении или запрете доступа пользователя к веб-приложению. Для реализации этого веб-серверу требуется установить отношения с ресурсом Служба федерации с тем, чтобы по мере необходимости он мог направлять пользователя к службе федерации.
Веб-агент службы федерации Active Directory может использоваться для работы с двумя типами приложений:
- Приложения по заявкам. Это приложения Microsoft ASP.NET,
предназначенные для публикования объектов службы федерации Active
Directory, которые позволяют выполнять поиск Заявки маркеров
безопасности службы федерации Active Directory. Приложение
принимает решения об авторизации на основании этих заявок. Ошибки
приема маркера безопасности для этого типа приложения приводят к
тому, что клиент получает сообщение «Отказано в доступе» с записью
событий в журнале событий службы федерации. Дополнительные сведения
см. в разделе Приложения по
заявкам.
- Приложения, использующие маркер Windows NT. Это
приложения, в которых используются механизмы авторизации Windows.
Веб-агент службы федерации Active Directory поддерживает
преобразование маркера безопасности службы федерации Active
Directory в маркер доступа Windows NT на уровне олицетворения.
Дополнительные сведения см. в разделе Использующие маркеры
Windows NT приложения.
Если необходимо обеспечить единый вход (SSO), веб-сервер также сохраняет на клиентах файлы «cookie» в формате HTTP (Hypertext Transfer Protocol). Веб-агент службы федерации Active Directory состоит из двух отдельных компонентов:
- Расширение ISAPI для веб-агента службы федерации Active
Directory
- Служба проверки подлинности веб-агента службы федерации Active
Directory
Расширение ISAPI для веб-агента службы федерации Active Directory
Расширение ISAPI для веб-агента службы федерации Active Directory — это расширение интерфейса приложений ISAPI (Internet Server Application Programming Interface), которое можно использовать для настройки информации в метабазе службы IIS (Internet Information Services). Вкладки Веб-агент ADFS на страницах свойств Веб-узлы и Веб-узлы по умолчанию в диспетчере IIS можно использовать для управления политикой и сертификатами, которые проверяют маркер безопасности службы федерации Active Directory и файлы «cookie».
Свойства веб-агента ADFS, перечисленные в следующей таблице, наследуются. Эти свойства требуются для ресурса IIS, если расширение ISAPI должно обеспечить поддержку протокола WS-F PRP (WS-Federation Passive Requestor Profile).
| Свойства | Описание |
|---|---|
|
URL-адрес службы федерации |
Адрес URL (Uniform Resource Locator) службы федерации. Этот URL обязателен для отбора сведений о доверии. |
|
Путь файла «cookie» |
Путь, заданный при записи файла «cookie» для проверки подлинности. Свойство пути файла «cookie» может также применяться для указания расширения ISAPI, которое служба федерации Active Directory не должна использовать при проверке подлинности конкретного файла или виртуального каталога. Чтобы указать это, следует для свойства выбрать значение EXCLUDE. |
|
Домен файла «cookie» |
Домен, для которого действителен данный файл «cookie». |
|
URL возврата |
URL-адрес, по которому маркер возвращается от службы федерации после проверки подлинности в службе федерации. Этот URL должен соответствовать элементу «Аудитория» маркера. Проверка соответствия элементу «Аудитория» выполняется службой Windows. |
Настройка необязательной записи трассировки отладки.
Настройка необязательной записи трассировки отладки для расширения ISAPI осуществляется с помощью DWORD-значения системного реестра по следующему пути: HKLM\Software\Microsoft\ADFS\WebServerAgent\DebugPrintLevel. Если это значение присутствует, в каталоге, заданном параметром HKLM\Software\Microsoft\ADFS\LogFilesPath, создается файл журнала с именем ifsext_<имя_пула_приложений>.log. С помощью значений раздела реестра HKLM\Software\Microsoft\ADFS\WebServerAgent расширение регистрирует уведомление для того, чтобы на уровне отладки можно было вносить изменения без перезапуска рабочего процесса IIS. Следующие значения флагов используются для управления характером информации, записываемой в журнал:
- Ошибка — 0x1
- Предупреждение — 0x2
- Трассировка — 0x4
Служба проверки подлинности веб-агента ADFS
Служба проверки подлинности веб-агента ADFS осуществляет проверку подлинности входящих маркеров и файлов «cookie». Она работает как локальная система, задача которой — генерировать маркер либо с помощью службы «сервис для пользователя» (Service-for-User, S4U), либо с помощью пакета проверки подлинности ADFS. Однако пул приложений IIS для работы в качестве локальной системы не нужен.
Служба проверки подлинности веб-агента ADFS содержит интерфейсы, которые могут вызываться только посредством локально-удаленного вызова процедур (LRPC), но не удаленного вызова процедур (RPC). Если эта служба принимает маркер безопасности ADFS или файл «cookie» ADFS, она возвращает маркер олицетворения доступа Windows NT.