У наступних розділах цього документа Ви більш детально ознайомитесь зі службами федерації Active Directory. Вашій увазі будуть представлені короткий огляд технології, а також відомостей про встановлення та управління службами AD FS.
Що являють собою служби AD FS?
Служби AD FS є рішенням з управління справжністю, яке надає веб-клієнтам, які працюють як у внутрішній, так і у зовнішній мережі, доступ до одного або кількох веб-додатків з використанням єдиного набору облікових даних. При цьому облікові записи користувачів і додатків можуть розташовуватися в різних мережах і належати різним організаціям.
Якщо додаток розташовується в одній мережі, а облікові записи користувачів - в інший, то виникає типова ситуація, в якій користувачам доводиться вводити додаткові облікові дані, щоб отримати доступ до додатка. Ці додаткові набори облікових даних є відомості про користувачів в межах тієї області, в якій розташоване додаток. Додаткові облікові дані, як правило, запрошуються веб-сервером, на якому розташовано додаток, завдяки чому сервер може надати користувачам необхідні дозволи.
Служби AD FS позбавляють від необхідності використання додаткових облікових даних, встановлюючи довірчі відносини, які дозволяють передавати відомості про цифровий ідентифікації користувачів і їх права доступу між довіреними партнерами. У такій інтегрованому середовищі кожна з організацій продовжує використовувати свої власні дані про справжність користувачів, але при цьому може безпечно обмінюватися цими даними з іншими організаціями.
Крім того, Ви можете розгорнути федеративні сервери в кількох організаціях, щоб допомогти побудувати відносини «бізнес для бізнесу» (Business-to-business, B2B) між довіреними партнерськими організаціями. При встановленні B2B-відносин бізнес-партнери призначаються в якості організації, що відповідає одному з наступних типів:
Партнер по ресурсам. Організації, які володіють та управляють ресурсами, доступними з мережі Інтернет, можуть розгорнути федеративні сервери AD FS і веб-сервери з підтримкою AD FS для управління доступом довірених партнерів до захищених ресурсів.
Партнер по облікових записів. Організації, які володіють та управляють обліковими записами користувачів, можуть розгорнути федеративні сервери AD FS для управління справжністю локальних користувачів, а також для створення маркерів безпеки, використовуваних згодом федеративними серверами партнера по ресурсам з метою управління доступом.
Процес перевірки автентичності користувача, що знаходиться в одній мережі, при його зверненні до ресурсів, розташованим в іншій мережі, без повторного введення облікових даних називається технологією єдиного входу (Single sign-on, SSO). Служби AD FS забезпечують технологію єдиного входу для перевірки автентичності користувача відразу в декількох веб-додатках протягом всього мережевого сеансу.
Ролі сервера AD FS
Залежно від вимог Вашої організації Ви можете розгорнути сервери, на яких буде виконуватися будь-яка з наступних ролей AD FS:
Служба федерації. Служба федерації об'єднує один або кілька серверів федерації, що мають спільну політику довіри. Сервери федерації використовуються для маршрутизації запитів на перевірку справжності, що надходять від облікових записів користувачів інших організацій або від клієнтів, які можуть перебувати в будь-якому місці в Інтернеті.
Проксі-агент служби федерації. Проксі-агент служби федерації є проксі-сервером, що працює в мережі периметра (також відомої як демілітаризована зона і екранована підмережа). Проксі-агент використовує протоколи WS-Federation Passive Requestor Profile (WS-F PRP) для збору інформації про облікових даних користувачів, що надходить від клієнтів веб-оглядача, і за запитом відсилає цю інформацію службі федерації.
Установка ролі AD FS
Після завершення установки операційної системи на екрані відображається список дій по початковому налаштуванні сервера. Для установки ролі AD FS клацніть в цьому списку посилання Add roles. а потім виберіть роль Active Directory Federation Services.
Управління роллю AD FS
Ви можете управляти серверними ролями за допомогою оснасток консолі MMC. Після установки ролі AD FS Ви можете використовувати оснастку Active Directory Federation Services для управління як службою федерації (роль Federation Service). так і проксі-агентом служби федерації (роль Federation Service Proxy). Щоб відкрити цю оснастку, розширте каталог Administrative Tools в меню Start і клацніть значок Active Directory Federation Services.
Для управління агентом додатків на основі маркера Windows NT розкрийте папку Administrative Tools в меню Start. клацніть значок Internet Information Services (IIS) Manager і в відкрилася оснащенні клацніть посилання Connect to localhost.
додаткова інформація
Для отримання додаткової інформації про служби AD FS Ви можете скористатися довідковою системою Вашого сервера. Для цього відкрийте оснащення Active Directory Federation Services. як це було описано вище, і натисніть клавішу F1.