При работе со службой федерации Active Directory (ADFS) используется терминология из нескольких разных технологий, включая службы сертификатов, службы IIS (Internet Information Services), службу каталогов Active Directory, службу ADAM (Active Directory Application Mode) и веб-службы (WS-*). Эти термины описаны в следующей таблице.
Термин | Описание |
---|---|
партнер по учетным записям |
Партнер федерации, которому служба федерации доверяет обеспечение маркеров безопасности. Партнер по учетным записям создает эти маркеры для своих пользователей (то есть, пользователей в сфере партнера по учетным записям), чтобы они могли обратиться к веб-приложениям партнера по ресурсам. |
службы федерации Active Directory (ADFS) |
Компонент Windows Server 2003 R2, который обеспечивает технологию единого входа (single-sign-on, SSO) для проверки подлинности пользователя в нескольких веб-приложениях в течение всего сетевого сеанса. В ADFS это достигается путем безопасного использования общего ресурса цифровых учетных данных и прав в границах области безопасности и в пределах организации. ADFS в Windows Server 2003 R2 поддерживает протокол WS-F PRP (WS-Federation Passive Requestor Profile). |
заявка |
Утверждение о клиенте (например, имя, подлинность, ключ, группа, привилегия или способность), которое создает сервер. |
сопоставление заявок |
Операция сопоставления, удаления или фильтрования либо передачи заявок между различными наборами заявок. |
приложение по заявкам |
Приложение Microsoft ASP.NET, выполняющее авторизацию в соответствии с заявками, которые содержатся в маркере безопасности ADFS. |
веб-страница обнаружения партнера по учетным записям |
Веб-страница, используемая для взаимодействия с пользователем с целью определения партнера по учетным записям, к которому относится пользователь, когда ADFS не может автоматически определить, какой из партнеров по учетным записям должен проверить подлинность пользователя. |
веб-страница выхода клиента |
Веб-страница, которая открывается для обеспечения визуального подтверждения пользователю о его выходе из системы, когда ADFS выполняет операцию выхода из системы. |
веб-страница входа клиента |
Веб-страница, открываемая для взаимодействия с пользователем, когда ADFS собирает учетные данные клиента. Для определения типа собираемых учетных данных на веб-странице входа клиента может использоваться любая необходимая деловая логика. |
федерация |
Пара сфер или доменов, которые установили между собой федеративное доверительное отношение. |
служба федерации |
Служба маркеров безопасности, встроенная в Windows Server 2003 R2. Служба федерации создает маркеры в ответ на запросы о маркерах безопасности. |
прокси-агент службы федерации |
Прокси-сервер службы федерации в периферийной сети (также известной как демилитаризированная зона (DMZ) или скрытая подсеть). Для сбора учетных данных пользователей от веб-обозревателей и веб-приложений клиентов и отправки информации от их имени в службу федерации прокси-агент службы федерации использует протоколы WS-F PRP. |
заявки организации |
Заявки в промежуточной или нормализованной форме в пределах пространства имен организации. |
пассивный клиент |
Веб-обозреватель, который поддерживает широко применяемый протокол HTTP (Hypertext Transfer Protocol) и может использовать файлы «cookie». ADFS в Windows Server 2003 R2 поддерживает только пассивные клиенты, что отвечает спецификации WS-F PRP. |
партнер по ресурсам |
Партнер федерации который доверяет службе федерации создание маркеров безопасности, содержащих заявки. Партнер по ресурсам содержит опубликованные веб-приложения, к которым могут обратиться пользователи партнера по учетным записям. |
маркер безопасности |
Единица данных, подписанная криптографическим ключом, которая выражает одну или несколько заявок. |
служба маркеров безопасности (STS) |
Веб-служба, которая создает маркеры безопасности. Служба STS создает утверждения в соответствии с данными, которым она доверяет, для всех потребителей, которые ей доверяют (или для определенных получателей). Для реализации доверия служба требует доказательства (например, в виде подписи) осведомленности о маркере безопасности или наборе маркеров безопасности. Служба может либо генерировать маркеры сама, либо поручить другой STS создавать маркер безопасности с ее собственным утверждением доверия. Таким образом формируется основа брокерских отношений доверия. В ADFS службой STS является служба федерации. |
серверная ферма |
В ADFS — коллекция серверов федерации, прокси-агентов федерации или веб-серверов с балансированной загрузкой, применяющих веб-агент ADFS. |
единый вход (SSO) |
Оптимизация последовательности проверки подлинности с целью исключения повторяемых действий входа в систему конечным пользователем. |
сертификат для подписи маркера |
Сертификат X509, связанная пара открытого/секретного ключей которого используется для обеспечения целостности маркеров безопасности. |
универсальный код ресурса (URI) |
Компактная строка символов, которая определяет абстрактный ресурс или физический ресурс. URI описываются в статье RFC 2396 (http://go.microsoft.com/fwlink/?LinkId=48289). В ADFS URI используются для уникальной идентификации партнеров и хранилищ учетных записей. |
веб-службы (WS-*) |
Спецификации для архитектуры веб-служб, базирующиеся на промышленных стандартах, таких как SOAP (Simple Object Access Protocol), XML, WSDL (Web Service Description Language) и UDDI (Universal Description, Discovery and Integration). Веб-службы WS-* обеспечивают основу для создания полнофункциональных, межплатформенных бизнес-решений для больших предприятий, включая возможность управления федеративной подлинностью и безопасностью. Модель веб-служб основана на предпосылке, что производственные системы пишутся на разных языках, в них реализуются разные программные модели, они работают на устройствах многих разных типов и к ним обращаются с устройств многих разных типов. Веб-службы — средства построения распределенных систем, которые могут легко и эффективно связываться и взаимодействовать друг с другом через Интернет, независимо от того, на каком языке они написаны и на какой платформе они работают. |
безопасность веб-служб (WS-безопасность) |
Ряд спецификаций, в которых описывается порядок присоединения подписей и шифрованых заголовков к сообщениям SOAP. Кроме того, WS-безопасность определяет, как присоединять к сообщениям маркеры безопасности, включая двоичные маркеры безопасности, такие как сертификаты X.509 и билеты Kerberos. В ADFS WS-безопасность используется, когда Kerberos подписывает маркеры безопасности. |
приложение, использующее маркер Windows NT |
Приложение Windows, в котором для выполнения авторизации пользователей используется маркер Windows NT. |
федерация веб-служб |
Спецификация, определяющая модель и набор сообщений для брокерского отношения доверия, а также для федерации сведений для идентификации и проверки подлинности в различных сферах доверия. Спецификация WS-федерации определяет два источника подлинности и запросов проверки подлинности в сферах доверия: активные инициаторы запроса, такие как приложения с поддержкой SOAP, и пассивные инициаторы запроса, которые определены как веб-обозреватели HTTP, обеспечивающие поддержку широко применяемого HTTP-протокола, например, HTTP 1.1. |
профиль пассивных запросов федерации веб-служб (WS-F PRP) |
Реализация спецификации WS-федерации, которая предлагает стандартный протокол для применения рабочей среды федерации пассивными клиентами (такими как веб-обозреватели). Согласно этому протоколу, инициаторы запроса веб-службы должны понимать новые механизмы безопасности и быть способными взаимодействовать с поставщиками веб-службы. |