Службы федерации Active Directory (Active Directory® Federation Services, AD FS) – это серверная роль в операционной системе Microsoft® Windows Server® 2008. С помощью AD FS можно создать расширяемое, Интернет-масштабируемое и безопасное решение для управления идентификацией пользователей и правами доступа, способное функционировать на нескольких платформах, включая среды как ОС Windows, так и других ОС.
В следующих разделах этого документа Вы более подробно ознакомитесь со службами федерации Active Directory. Вашему вниманию будут представлены краткий обзор технологии, а также информация по установке и управлению службами AD FS.
Что представляют собой службы AD FS?
Службы AD FS являются решением по управлению подлинностью, которое предоставляет веб-клиентам, работающим как во внутренней, так и во внешней сети, доступ к одному или нескольким веб-приложениям с использованием единого набора учетных данных. При этом учетные записи пользователей и приложений могут располагаться в различных сетях и принадлежать различным организациям.
Если приложение располагается в одной сети, а учетные записи пользователей – в другой, то возникает типичная ситуация, в которой пользователям приходится вводить дополнительные учетные данные, чтобы получить доступ к приложению. Эти дополнительные наборы учетных данных представляют собой сведения о пользователях в пределах той области, в которой расположено приложение. Дополнительные учетные данные, как правило, запрашиваются веб-сервером, на котором расположено приложение, благодаря чему сервер может предоставить пользователям необходимые разрешения.
Службы AD FS избавляют от необходимости использования дополнительных учетных данных, устанавливая доверительные отношения, которые позволяют передавать сведения о цифровой идентификации пользователей и их правах доступа между доверенными партнерами. В такой интегрированной среде каждая из организаций продолжает использовать свои собственные данные о подлинности пользователей, но при этом может безопасно обмениваться этими данными с остальными организациями.
Кроме того, Вы можете развернуть федеративные серверы в нескольких организациях, чтобы помочь построить отношения «бизнес для бизнеса» (Business-to-business, B2B) между доверенными партнерскими организациями. При установлении B2B-отношений бизнес-партнеры назначаются в качестве организации, соответствующей одному из следующих типов:
-
Партнер по ресурсам. Организации, которые владеют и управляют ресурсами, доступными из сети Интернет, могут развернуть федеративные серверы AD FS и веб-серверы с поддержкой AD FS для управления доступом доверенных партнеров к защищенным ресурсам.
-
Партнер по учетным записям. Организации, которые владеют и управляют учетными записями пользователей, могут развернуть федеративные серверы AD FS для управления подлинностью локальных пользователей, а также для создания маркеров безопасности, используемых впоследствии федеративными серверами партнера по ресурсам в целях управления доступом.
Процесс проверки подлинности пользователя, находящегося в одной сети, при его обращении к ресурсам, расположенным в другой сети, без повторного ввода учетных данных называется технологией единого входа (Single sign-on, SSO). Службы AD FS обеспечивают технологию единого входа для проверки подлинности пользователя сразу в нескольких веб-приложениях в течение всего сетевого сеанса.
Роли сервера AD FS
Роль сервера AD FS включает в себя службу федерации, службу прокси-агента и службу веб-агента. Эти службы используются для настройки веб-технологии единого входа и интеграции веб-ресурсов, для настройки процедуры доступа, а также для управления процессом авторизации и доступом пользователей к приложениям.
В зависимости от требований Вашей организации Вы можете развернуть серверы, на которых будет выполняться любая из следующих ролей AD FS:
-
Служба федерации. Служба федерации объединяет один или несколько серверов федерации, имеющих общую политику доверия. Серверы федерации используются для маршрутизации запросов на проверку подлинности, поступающих от учетных записей пользователей других организаций или от клиентов, которые могут находиться в любом месте в Интернете.
-
Прокси-агент службы федерации. Прокси-агент службы федерации является прокси-сервером, работающим в сети периметра (также известной как демилитаризованная зона и экранированная подсеть). Прокси-агент использует протоколы WS-Federation Passive Requestor Profile (WS-F PRP) для сбора информации об учетных данных пользователей, поступающей от клиентов веб-обозревателя, и по запросу отсылает эту информацию службе федерации.
-
Агент приложений по заявкам. Этот агент используется на веб-сервере, на котором расположены приложения по заявкам, и позволяет выполнять поиск заявок маркеров безопасности AD FS. Приложение по заявкам – это приложение Microsoft ASP.NET, которое использует присутствующие в маркере безопасности AD FS заявки для принятия решений об авторизации и для персонализации приложений.
-
Агент приложений на основе маркеров Windows NT. Этот агент используется на веб-сервере, на котором расположены приложения, использующие маркеры Windows NT, и обеспечивает поддержку преобразования маркеров безопасности AD FS в маркер доступа Windows NT на уровне олицетворения. Приложение на основе маркеров Windows NT – это приложение, которое использует механизмы авторизации Windows.
Установка роли AD FS
После завершения установки операционной системы на экране отображается список действий по первоначальной настройке сервера. Для установки роли AD FS щелкните в этом списке ссылку Add roles, а затем выберите роль Active Directory Federation Services.
Для получения подробных инструкций по установке и настройке лабораторной среды AD FS обратитесь к статье Пошаговое руководство по работе со службами AD FS в Windows Server 2008.
Управление ролью AD FS
Вы можете управлять серверными ролями при помощи оснасток консоли MMC. После установки роли AD FS Вы можете использовать оснастку Active Directory Federation Services для управления как службой федерации (роль Federation Service), так и прокси-агентом службы федерации (роль Federation Service Proxy). Чтобы открыть эту оснастку, раскройте папку Administrative Tools в меню Start и щелкните значок Active Directory Federation Services.
Для управления агентом приложений на основе маркера Windows NT раскройте папку Administrative Tools в меню Start, щелкните значок Internet Information Services (IIS) Manager и в открывшейся оснастке щелкните ссылку Connect to localhost.
Дополнительная информация
Для получения дополнительной информации о службах AD FS Вы можете воспользоваться справочной системой Вашего сервера. Для этого откройте оснастку Active Directory Federation Services, как это было описано выше, и нажмите клавишу F1.