Использующее маркеры Windows NT приложение — это приложение IIS (Internet Information Services), предназначенное для использования традиционных встроенных механизмов авторизации Windows. Приложения этого типа не могут работать с Заявки ADFS (Active Directory Federation Services).

Использующие маркер Windows NT приложения могут использовать только пользователи Windows из локальной сферы или любой сферы, которой доверяет локальная сфера, — то есть, только пользователи, которые могут войти на компьютер с методикой проверки подлинности на основе маркеров Windows NT.

Примечание

В федеративных сценариях это означает, что могут быть затребованы учетные записи ресурса.

Маркер безопасности ADFS, который отправляет приложение, использующее маркер Windows NT, содержит заявку на электронную почту для пользователя. Он может содержать также настраиваемые заявки с идентификаторами безопасности (SID) учетной записи пользователя. Веб-сервер генерирует маркер доступа Windows на уровне олицетворения. Маркер доступа на уровне олицетворения отбирает сведения о безопасности процесса клиента, позволяя службе «олицетворять» процесс клиента в операциях безопасности.

Для веб-приложения, использующего маркер Windows NT, процесс создания маркера Windows NT определяется следующими условиями:

  1. Если маркер SAML (Security Assertion Markup Language) в элементе совета SAML содержит идентификаторы SID, для создания маркера Windows NT используются SID.

  2. Если маркер SAML не содержит кодов SID, а вместо этого содержит идентификационную заявку на основное имя пользователя (UPN), для создания маркера Windows NT используется заявка UPN.

  3. Если маркер SAML не содержит идентификаторов SID, а в идентификационной заявке на электронную почту содержится идентификационная заявка UPN, она интерпретируется как UPN и используется для создания маркера Windows NT.

Такой порядок действует независимо от того, указана ли идентификационная заявка UPN или заявка на электронную почту в качестве идентификационной заявки, которая используется для создания маркера Windows NT, когда запись политики доверия для веб-приложения создается в службе федерации.

Традиционная авторизация Windows

Для поддержки преобразования маркера безопасности ADFS в маркер доступа Windows NT на уровне олицетворения требуется множество компонентов:

  • Расширение ISAPI (Internet Server Application Programming Interface). Этот компонент проверяет файлы cookie ADFS, проверяет маркеры безопасности ADFS от Служба федерации, выполняет перенаправления по соответствующему протоколу и записывает файлы Файлы «cookie», используемые службой ADFS, необходимые для работы ADFS.

  • Пакет проверки подлинности ADFS. Этот компонент генерирует маркеры доступа на уровне олицетворения на основе UPN учетной записи домена. Для работы пакета требуется, чтобы вызывающий объект имел привилегию TCB (Trusted Computing Base).

  • Вкладки Веб-агент ADFS диспетчера IIS. Вкладки Веб-агент службы федерации Active Directory можно использовать для управления политикой и сертификатами для проверки маркеров безопасности и файлов «cookie» ADFS.

  • Служба проверки подлинности веб-агента ADFS. Она работает как локальная система, задача которой — генерировать маркер с помощью либо службы «сервис для пользователя» (Service-for-User, S4U), либо пакета проверки подлинности ADFS. Однако пул приложений IIS для работы в качестве локальной системы не нужен. Служба проверки подлинности веб-агента ADFS содержит интерфейсы, которые могут вызываться только посредством локально-удаленного вызова процедур (LRPC), но не удаленного вызова процедур (RPC). Если эта служба принимает маркер безопасности или файл «cookie» ADFS, она возвращает маркер доступа Windows NT на уровне олицетворения.

  • Фильтр ISAPI веб-агента ADFS. В некоторых традиционных веб-приложениях IIS используется фильтр ISAPI, который может изменить входящие данные, такие как адрес URL (Uniform Resource Locator). В таких случаях фильтр ISAPI веб-агента ADFS должен быть включен и настроен как фильтр с самым высоким приоритетом. По умолчанию этот фильтр отключен.