Служба федерации Active Directory — это компонент Microsoft® Windows Server™ 2003 R2, который обеспечивает технологию единого входа (single-sign-on, SSO) для проверки подлинности пользователя в нескольких веб-приложениях в течение всего сетевого сеанса. В ADFS это достигается путем безопасного использования общего ресурса цифровых учетных данных и прав, или «Заявки» в границах области безопасности и в пределах организации.
Служба федерации Active Directory не является:
- паспортом .NET;
- базой данных или хранилищем данных сотрудников или учетных
данных клиентов;
- расширением схемы службы каталогов Active Directory™;
- типом доверия доменов или лесов Windows.
Служба федерации Active Directory в Windows Server 2003 R2 поддерживает протокол WS-F PRP (WS-Federation Passive Requestor Profile).
Ключевые особенности службы федерации Active Directory
Службе федерации Active Directory в Windows Server 2003 R2 присущи, в частности, следующие ключевые особенности:
- Федерация и единый вход в Интернете
Организация, которая использует службу каталогов Active Directory™, имеет доступ к преимуществам технологии единого входа благодаря встроенной проверке подлинности Windows в границах области безопасности или в пределах организации. Служба федерации Active Directory распространяет эти функциональные возможности на веб-приложения, благодаря чему клиенты, партнеры и поставщики получают единообразный, оптимизированный пользовательский интерфейс SSO при работе с веб-приложениями организации. Кроме того, серверы федерации могут быть развернуты в нескольких организациях, облегчая федеративные транзакции «бизнес-бизнес» (B2B) между организациями-партнерами. Дополнительные сведения о федерации ADFS см. в разделе Сценарии федерации.
- Взаимодействие веб-служб
ADFS обеспечивает федеративное решение для управления подлинностью, которое взаимодействует с другими продуктами для обеспечения безопасности, поддерживающими архитектуру веб-служб WS-*. ADFS реализует это, используя спецификацию федерации WS-*, которая называется WS-федерацией. Спецификация WS-федерации позволяет средам, в которых не используется модель подлинности Windows, создавать федеративные отношения со средами Windows. Дополнительные сведения о спецификациях WS-* см. в разделе Ресурсы ADFS.
- Расширяемая архитектура
ADFS обеспечивает расширяемую архитектуру, которая поддерживает тип маркера SAML (Security Assertion Markup Language) и проверку подлинности Kerberos (в сценарии федеративного единого входа с доверием лесов). ADFS может также выполнять сопоставление заявок, например, изменяя заявки с использованием настраиваемой деловой логики в качестве переменной в запросе доступа. Организации могут использовать эту расширяемость для изменения службы ADFS в целях ее адаптации к их текущей инфраструктуре безопасности и деловым политикам. Дополнительные сведения об изменении заявок см. в разделе Сопоставление заявок.
Расширенное использование Active Directory в Интернете
Active Directory во многих организациях служит в качестве основной службы для хранения учетных данных и проверки подлинности. С помощью Active Directory в Windows Server 2003 доверие лесов может быть создано между двумя и более лесами Windows Server 2003 для обеспечения доступа к ресурсам, расположенным в разных производственных подразделениях или организациях. Дополнительные сведения о доверии лесов см. в cтатье Как работают отношения доверия доменов и лесов на веб-узле корпорации Майкрософт (http://go.microsoft.com/fwlink/?LinkId=35356).
Однако в ряде случаев доверие лесов не является приемлемым типом отношений. Например, может потребоваться ограничить доступ в пределах организации только небольшим подмножеством пользователей, закрыв его для остальных членов леса.
Используя ADFS, организации могут расширить свои существующие инфраструктуры Active Directory, получив доступ к ресурсам, которые предлагают их доверенные партнеры в Интернете. Этими доверенными партнерами могут быть внешние организации либо другие подразделения или филиалы в данной организации.
Служба ADFS тесно интегрирована с Active Directory. ADFS извлекает атрибуты пользователей из Active Directory, а также проверяет подлинность пользователей в Active Directory. Кроме того, ADFS использует встроенную проверку подлинности Windows.
ADFS работает как с Active Directory, так и со службой ADAM (Active Directory Application Mode). А именно: ADFS работает с этими службами на уровне развертывания Active Directory или экземпляров ADAM. Когда служба ADFS работает с Active Directory, она может использовать преимущества технологий строгой проверки подлинности Active Directory, включая Kerberos, цифровые сертификаты X.509 и смарт-карты. Работая с ADAM, ADFS в качестве средства проверки подлинности пользователей использует привязку по протоколу LDAP (Lightweight Directory Access Protocol). Дополнительные сведения о работе ADFS с Active Directory и ADAM см. в разделе Хранилища учетных записей.
ADFS поддерживает распределенную проверку подлинности и авторизацию через Интернет. Служба федерации Active Directory может быть интегрирована в существующее решение по управлению доступом организации или подразделения для преобразования термов, используемых в организации, в заявки, которые принимаются как часть федерации. Служба федерации Active Directory может создавать, защищать и проверять заявки, перемещаемые между организациями. Чтобы гарантировать безопасность транзакций, она может также проводить аудит и контролировать операции между организациями и подразделениями.