Главная
страница 1





Обзор служб федерации Active Directory в Windows Server 2003 R2


Корпорация Майкрософт

Опубликовано: октябрь 2005 года

Автор: Ник Пирсон (Nick Pierson)

Редактор: Джим Бекер (Jim Becker)


Аннотация


Управление федеративной идентификацией — это технология на основе стандартов, а также информационный процесс, который обеспечивает распределенную идентификацию, проверку подлинности и авторизацию между платформами и организациями. Федеративные системы взаимодействуют между организациями и объединяют процессы, используя различные технологии, хранилища удостоверений, решения безопасности и программные модули. Федеративная система удовлетворяет потребность предприятия в стандартизированном и безопасном способе предоставления услуг доверенным партнерам и клиентам, наряду с указанием политики управления — например, каким другим организациям и пользователям доверяет предприятие, какие учетные данные и запросы принимаются, какие политики конфиденциальности устанавливаются.

Службы федерации Active Directory (ADFS) в Windows Server 2003 R2 позволяют администраторам преодолеть эти трудности посредством предоставления общего безопасного доступа к сведениям об идентификации пользователей.





Сведения в этом документе, в том числе URL-адреса и другие веб-ссылки, могут быть изменены. Если не указано иное, компании, организации, продукты, доменные имена, адреса электронной почты, эмблемы, люди, места и события, используемые в качестве примеров в этом документе, являются вымышленными и не имеют отношения к существующим компаниям, организациям, продуктам, доменным именам, адресам электронной почты, эмблемам, людям, местам и событиям. Ответственность за соблюдение всех применимых в данном случае законов об авторском праве лежит на пользователе. Согласно законам об авторских правах, никакие части этого документа нельзя воспроизводить, хранить или использовать в поисковых системах или передавать в любой форме (электронной, механической, в виде фотокопий, записей или иными способами) или для любых целей без письменного разрешения корпорации Майкрософт.

Корпорация Майкрософт может являться правообладателем патентов и заявок, поданных на получение патента, товарных знаков и прочих объектов авторского права, которые могут иметь отношение к содержанию данного документа. Предоставление вам данного документа не означает передачи какой-либо лицензии на использование данных патентов, товарных знаков и объектов авторского права, за исключением использования, явно оговоренного в лицензионном соглашении корпорации Майкрософт.

© Корпорация Майкрософт, 2005. Все права защищены.

Active Directory, Microsoft, MS-DOS, SharePoint, Windows, Windows NT и Windows Server являются зарегистрированными товарными знаками корпорации Майкрософт в США и других странах.

Названия прочих организаций и изделий являются товарными знаками соответствующих владельцев.

Содержание


Обзор служб федерации Active Directory в Windows Server 2003 R2 1

Содержание 5

Обзор ADFS 7

Введение в ADFS 7

Федеративные сценарии 9

Партнерские организации 13

Роли серверов ADFS 16

Федеративные доверительные отношения 19

Служба федерации 20

Прокси-агент службы федерации 23

Веб-агент ADFS 24

Терминология, используемая в ADFS 24

Ресурсы ADFS 30

Обзор ADFS

Введение в ADFS


Службы федерации Active Directory (ADFS) — это компонент Microsoft® Windows Server™ 2003 R2, который обеспечивает технологию единого входа (SSO) для проверки подлинности пользователя в нескольких веб-приложениях в течение всего сетевого сеанса. В ADFS это достигается путем безопасного использования общего ресурса цифровых учетных данных и прав, или «заявок», внутри границ организации и области безопасности и за их пределами.

Службы федерации Active Directory не являются:



     паспортом .NET;

     базой данных или хранилищем данных сотрудников или учетных данных клиентов;

     расширением схемы службы каталогов Active Directory™;

     типом доверия доменов или лесов Windows.



ADFS в Windows Server 2003 R2 поддерживает протокол WS-F PRP (WS-Federation Passive Requestor Profile).

Ключевые особенности служб федерации Active Directory


Службам федерации Active Directory в Windows Server 2003 R2 присущи, в частности, следующие ключевые особенности:

     Федерация и единый вход в Интернет

Организация, которая использует службу каталогов Active Directory™, имеет доступ к преимуществам технологии единого входа благодаря встроенной проверке подлинности Windows в границах области безопасности или в пределах организации. Службы федерации Active Directory распространяют эти функциональные возможности на веб-приложения, благодаря чему клиенты, партнеры и поставщики получают единообразный, оптимизированный пользовательский интерфейс SSO при работе с веб-приложениями организации. Кроме того, серверы федерации могут быть развернуты в нескольких организациях, облегчая федеративные транзакции «бизнес-бизнес» (B2B) между организациями-партнерами.

     Взаимодействие веб-служб (WS-*)

ADFS обеспечивает федеративное решение для управления подлинностью, которое взаимодействует с другими продуктами для обеспечения безопасности, поддерживающими архитектуру веб-служб WS-*. ADFS реализует это, используя спецификацию федерации WS-*, которая называется WS-федерацией. Спецификация WS-федерации позволяет средам, в которых не используется модель подлинности Windows, создавать федеративные отношения со средами Windows.

     Расширяемая архитектура

ADFS обеспечивает расширяемую архитектуру, которая поддерживает тип маркера SAML (Security Assertion Markup Language) и проверку подлинности Kerberos (в сценарии федеративной веб-службы SSO с доверием лесов). ADFS может также выполнять сопоставление заявок, например, изменяя заявки с использованием настраиваемой деловой логики в качестве переменной в запросе доступа. Организации могут использовать эту расширяемость для изменения службы ADFS в целях ее адаптации к их текущей инфраструктуре безопасности и деловым политикам.

Расширенное использование Active Directory в Интернете


Active Directory во многих организациях служит в качестве основной службы для хранения учетных данных и проверки подлинности. С помощью Active Directory в Windows Server 2003 доверие лесов может быть создано между двумя и более лесами Windows Server 2003 для обеспечения доступа к ресурсам, расположенным в разных производственных подразделениях или организациях. Дополнительные сведения о доверии лесов см. в статье, посвященной работе отношений доверия доменов и лесов на веб-узле корпорации Майкрософт (http://go.microsoft.com/fwlink/?LinkId=35356).

Однако в ряде случаев доверие лесов не является приемлемым типом отношений. Например, может потребоваться ограничить доступ к ресурсам, расположенным в разных организациях, только небольшим подмножеством пользователей, закрыв его для остальных членов леса.

Используя ADFS, организации могут расширить свои существующие инфраструктуры Active Directory, получив доступ к ресурсам, которые предлагают их доверенные партнеры в Интернете. Этими доверенными партнерами могут быть внешние организации либо другие подразделения или филиалы этой же организации.

Службы ADFS тесно интегрированы с Active Directory. ADFS извлекает атрибуты пользователей из Active Directory, а также проверяет подлинность пользователей в Active Directory. Кроме того, ADFS использует встроенную проверку подлинности Windows.

ADFS работает как с Active Directory, так и со службой ADAM (Active Directory Application Mode). А именно: ADFS работает с этими службами на уровне развертывания Active Directory или экземпляров ADAM. Когда службы ADFS работают с Active Directory, они могут использовать преимущества технологий строгой проверки подлинности Active Directory, включая Kerberos, цифровые сертификаты X.509 и смарт-карты. Работая с ADAM, ADFS в качестве средства проверки подлинности пользователей использует привязку по протоколу LDAP (Lightweight Directory Access Protocol).

ADFS поддерживает распределенную проверку подлинности и авторизацию через Интернет. Службы федерации Active Directory могут быть интегрированы в существующее решение по управлению доступом организации или подразделения для преобразования термов, используемых в организации, в заявки, которые принимаются как часть федерации. Служба федерации Active Directory может создавать, защищать и проверять заявки, перемещаемые между организациями. Чтобы гарантировать безопасность транзакций, она может также проводить аудит и контролировать операции между организациями и подразделениями.


Федеративные сценарии


ADFS поддерживает сценарии федеративной идентификации, которые используют спецификации федерации веб-служб (WS-Federation), профиля WS-F PRP и профиля взаимодействия пассивной запрашивающей стороны федерации веб-служб (WS-Federation Passive Requestor Interoperability Profile). Службы ADFS помогают администраторам в решении задач управления федеративной идентификацией, предоставляя для организаций возможности безопасного обмена сведениями об идентификации пользователей через федеративные доверительные отношения. Следующие три описания сценариев развертывания демонстрируют, как можно использовать роли сервера ADFS для объединения идентификационных данных в зависимости от потребностей организации.

Федеративная веб-служба SSO


В сценарии ADFS федеративной веб-службы SSO используется безопасное взаимодействие, которое часто охватывает помимо всей инфраструктуры маршрутизации Интернета множество брандмауэров, границ сетей и серверов разрешения имен. Взаимодействие через среду федеративной веб-службы SSO может помочь формированию более эффективных и безопасных интерактивных операций между организациями, объединенными доверительными отношениями федерации.

Как показано на следующем рисунке, доверительные отношения федерации могут устанавливаться между двумя коммерческими компаниями. В этом сценарии серверы федерации выполняют маршрутизацию запросов проверки подлинности от пользовательских учетных записей в компании «Tailspin Toys» к веб-приложениям, расположенным в сети компании «Online Retailer».



Серверы федерации проверяют подлинность запросов от доверенных партнеров на основе учетных данных этих партнеров. Обмен представлениями учетных данных осуществляется в форме маркеров безопасности.

В целях повышения безопасности могут применяться прокси-агенты сервера федерации для ретрансляции запросов на серверы федерации, к которым отсутствует прямой доступ из Интернета.

Федеративная веб-служба SSO с доверием лесов


Как показано на следующем рисунке, в сценарии ADFS федеративной веб-службы SSO с доверием лесов используются два леса Active Directory в одной организации. Один из лесов находится на границе сети (известной также под названием демилитаризованной зоны или экранированной подсети) организации. Другой лес находится во внутренней сети. Устанавливается однонаправленное доверие лесов, чтобы лес на границе сети доверял лесу во внутренней сети. Серверы федерации развертываются в обеих сетях. Доверие федерации устанавливается с тем, чтобы учетные записи во внутреннем лесу могли использоваться для доступа к веб-приложению на границе сети независимо от того, получают ли учетные записи доступ к узлу из леса интрасети или из Интернета.

В этом сценарии внешние пользователи, такие как клиенты, могут получать доступ к веб-приложению путем проверки подлинности на внешнем сервере федерации учетных записей, который находится на границе сети. Учетные записи внешних пользователей находятся в лесу Active Directory пограничной сети. Внутренние пользователи, такие как сотрудники организации, могут получать доступ к веб-приложению путем проверки подлинности на внутреннем сервере федерации учетных записей, который находится во внутренней сети. Учетные записи внутренних пользователей находятся в лесу Active Directory внутренней сети.

Если веб-приложением является приложение, использующее маркеры Windows NT, то веб-агент ADFS, запущенный на сервере веб-приложений, перехватывает запросы и создает маркеры безопасности Windows NT, которые необходимы веб-приложению для проведения авторизации. Для внешних пользователей это возможно, поскольку веб-сервер, на котором размещено приложение, использующее маркеры Windows NT®, входит в домен внешнего леса. Для внутренних пользователей эта возможность обеспечивается через доверительное отношение лесов, которое существует между пограничным лесом и внутренним лесом.

Если веб-приложение является приложением по заявкам, веб-агент ADFS, запущенный на сервере веб-приложений, не должен создавать для пользователя маркеры безопасности Windows NT. Веб-агент ADFS может раскрывать проходящие через него заявки, что позволяет приложению выполнять авторизацию на основе содержимого маркера безопасности, который предоставляется сервером федерации учетных записей. Благодаря этому при развертывании приложений по заявкам веб-сервер не должен входить в домен и не требуется наличие доверия между внешним лесом и внутренним лесом.


Веб-служба SSO


В сценарии ADFS веб-службы SSO пользователи должны проходить проверку подлинности только один раз для получения доступа к нескольким веб-приложениям. В этом сценарии все пользователи являются внешними и федеративного доверия не существует. Так как веб-серверы должны быть доступны из Интернета и к тому же входить в домен Active Directory, они подключены к двум сетям; то есть являются многосетевыми серверами. Первая сеть подключена к Интернету (граница сети) для предоставления необходимых подключений. Вторая сеть содержит лес Active Directory (защищенная сеть), к которому нет прямого доступа из Интернета. Прокси-агент сервера федерации также является многосетевым для предоставления необходимых подключений к серверу федерации и Интернету. В этом сценарии помещение сервера федерации в сеть, к которой нет прямого доступа из Интернета, значительно снижает риск уязвимости для сервера федерации.


Партнерские организации


При планировании совместной работы нескольких организаций (на основе федерации) с использованием ADFS сначала необходимо определить, будет ли в организации размещаться веб-ресурс, обеспечивающий доступ к другим организациям через Интернет или доступный для них. Это решение влияет на порядок развертывания ADFS и является определяющим в планировании вашей инфраструктуры ADFS.

Для федеративных сценариев, таких как федеративная веб-служба SSO и федеративная веб-служба SSO с доверием лесов (но не сценарий веб-службы SSO), службой федерации Active Directory используются термины «партнер по учетным записям» и «партнер по ресурсам», помогающие отличать организацию, в которой размещаются учетные записи (партнер по учетным записям), от организации, в которой размещаются веб-ресурсы (партнер по ресурсам). Термин «федеративное доверие» используется в ADFS для характеристики однонаправленного, нетранзитивного отношения, которое устанавливается между партнером по учетным записям и партнером по ресурсам.

В следующих разделах объясняются некоторые понятия, касающиеся партнеров по учетным записям и партнеров по ресурсам.

Партнер по учетным записям


Партнер по учетным записям представляет в доверительном отношении федерации ту организацию, в которой физически хранятся учетные записи или в хранилище Active Directory, или в хранилище ADAM. Партнер по учетным записям отвечает за сбор и проверку подлинности учетных данных пользователя, формирование заявок для этого пользователя и за упаковку заявок в маркеры безопасности. Затем эти маркеры могут представляться в пределах федеративного доверия для доступа к веб-ресурсам, которые находятся в организации партнера по ресурсам.

Другими словами, партнер по учетным записям представляет организацию, для пользователей которой часть службы федерации, занимающаяся учетными записями, выдает маркеры безопасности. Служба федерации в организации партнера по учетным записям проверяет подлинность локальных пользователей и создает маркеры безопасности, которые используются партнером по ресурсам при выполнении авторизации.

По отношению к Active Directory партнер по учетным записям в ADFS концептуально эквивалентен одиночному лесу Active Directory, учетным записям которого требуется доступ к ресурсам, физически размещенным в другом лесу. Учетные записи в этом примере леса могут получать доступ к ресурсам в лесу ресурсов, только когда между двумя лесами существует отношение внешнего доверия или доверия лесов, а ресурсы, к которым пользователи пытаются получить доступ, настроены с надлежащими разрешениями авторизации.

Примечание

Данная аналогия предназначена исключительно для того, чтобы подчеркнуть концептуальное сходство отношения между партнерскими организациями по учетным записям и ресурсам в ADFS с отношением между лесом учетных записей и лесом ресурсов в Active Directory. Для функционирования ADFS не требуются внешние доверия и доверия лесов.


Партнер по ресурсам


Партнер по ресурсам является вторым организационным партнером в доверительном отношении федерации. Партнером по ресурсам является организация, в которой находятся веб-серверы, содержащие одно или несколько веб-приложений (ресурсов). Партнер по ресурсам доверяет проверку подлинности пользователей партнеру по учетным записям. Поэтому для проведения авторизации партнер по ресурсам потребляет заявки, которые упаковываются в маркеры безопасности, поступающие от пользователей через партнера по учетным записям.

Другими словами, партнер по ресурсам представляет организацию, веб-серверы которой защищаются частью службы федерации, отвечающей за работу с ресурсами. Служба федерации партнера по ресурсам использует маркеры безопасности, которые создаются партнером по учетным записям с целью выполнения авторизации для веб-серверов, находящихся у партнера по ресурсам.

Чтобы функционировать в качестве ресурса ADFS, веб-серверы в организации партнера по ресурсам должны иметь установленный компонент ADFS — веб-агент ADFS. На веб-серверах, функционирующих как ресурс ADFS, могут размещаться приложения по заявкам или приложения, использующие маркеры Windows NT.

Примечание

Если приложение, размещенное на веб-сервере, является приложением, использующим маркеры Windows NT, в организации партнера по ресурсам для леса Active Directory может потребоваться учетная запись ресурса.

По отношению к Active Directory партнер по ресурсам концептуально эквивалентен одиночному лесу, чьи ресурсы становятся доступны через отношение внешнего доверия или доверия лесов для учетных записей, которые физически хранятся в другом лесу.

Примечание

Данная аналогия предназначена исключительно для того, чтобы подчеркнуть концептуальное сходство отношения между партнерскими организациями по учетным записям и ресурсам в ADFS с отношением между лесом учетных записей и лесом ресурсов в Active Directory. Для функционирования ADFS не требуются внешние доверия и доверия лесов.


Усиленная конфиденциальность идентификации


Усиленная конфиденциальность идентификации является необязательным параметром, который может настраиваться у партнера по ресурсам в политике доверия. Если возможность усиленной конфиденциальности идентификации включена, данный параметр хеширует относящуюся к имени пользователя часть исходящих заявок на основное имя пользователя (UPN) и заявок на электронную почту. Данная функция заменяет общее имя случайным значением.

Назначение этой функции заключается в предотвращении следующих действий:



     Сопоставление партнером по ресурсам идентификационных заявок с личными данными пользователей.

     Тайное соглашение между партнерами о сопоставлении идентификационных заявок с личными данными пользователей. Эта настройка создает уникальный хеш для каждого партнера, так что значения идентификационных заявок отличаются для разных партнеров сферы доверия, но согласованы по сеансам работы для одиночного партнера.

     Простые словарные атаки на хеш путем добавления случайной строки к данным, которые находятся в политике доверия, т. е. данным, которые не известны партнерам по ресурсам.

Принципы работы усиленной конфиденциальности идентификации

Если настройка Включить усиленную конфиденциальность идентификации включена, личные данные пользователя преобразуются службой федерации учетных записей, прежде чем они будут отправлены в сферу ресурсов. Служба федерации учетных записей выполняет это посредством хеширования комбинации из закрытого ключа (в качестве случайной строки), URI-кода партнера по ресурсам и самой идентификационной заявки. Поэтому конечные преобразованные личные данные будут одинаковыми, когда одинаковы следующие значения:

     закрытый ключ;

     URI-код партнера по ресурсам;

     идентификационная заявка (на основное имя пользователя (UPN) или на электронную почту).


При работе алгоритма хеширования учитывается регистр. Поэтому результаты хеширования будут другими, если в заявке на основное имя пользователя (UPN) или заявке на электронную почту будет другим регистр URI-кода или части, относящейся к имени пользователя.

Роли серверов ADFS


Службы ADFS могут функционировать только при надлежащей настройке серверов, работающих под управлением Windows Server 2003 R2. Конкретные роли сервера ADFS должны развертываться в зависимости от условий, существующих в организации. В следующих разделах описываются роли сервера, которые могут использоваться для предоставления решения по управлению федеративной идентификацией ADFS.

Сервер федерации


На серверах федерации размещается служба федерации — компонент ADFS. Серверы федерации используются для маршрутизации запросов на проверку подлинности, выполняемых с учетных записей пользователей в других организациях (в сценариях федеративной веб-службы SSO) или от клиентов, которые могут находиться в любом месте Интернета (в сценариях веб-службы SSO).

На серверах федерации также размещается служба маркеров безопасности, которая выдает маркеры, основанные на учетных данных (таких как имя пользователя и пароль), представляемых службе. После проверки учетных данных (посредством входа пользователя в систему) заявки пользователя собираются путем анализа атрибутов пользователя, хранящихся в Active Directory или в ADAM.

В сценариях федеративной веб-службы SSO заявки могут затем изменяться с помощью сопоставлений заявок для конкретного партнера по ресурсам. Заявки встроены в маркер, который посылается на сервер федерации партнеру по ресурсам. После того, как сервер федерации, находящийся у партнера по ресурсам, получает заявки как входящие заявки, он сопоставляет их с заявками организации. Затем заявки организации встраиваются в новый маркер, который отсылается веб-агенту ADFS.

Роль, выполняемая сервером федерации в сценариях федеративной веб-службы SSO (федеративная веб-служба SSO и федеративная веб-служба SSO с доверием лесов), может зависеть от того, назначена ли организация в качестве партнера по учетным записям или партнера по ресурсам:



     Серверы федерации у партнера по учетным записям используются для входа с локальными учетными записями в хранилище Active Directory или в хранилище ADAM. Серверы федерации также выдают начальные маркеры безопасности, которые могут использоваться учетными записями локальных пользователей для доступа к веб-приложениям, размещенным у партнера по ресурсам. Кроме того, серверы федерации у партнера по учетным записям выдают пользователям файлы «cookie» для сохранения состояния регистрации. Данные файлы «cookie» содержат заявки для этих пользователей. Файлы «cookie» обеспечивают возможности единого входа, чтобы пользователям не надо было вводить учетные данные при каждом посещении различных веб-приложений у партнера по ресурсам.

     Серверы федерации у партнера по ресурсам проверяют достоверность маркеров безопасности, выданных серверами федерации у партнера по учетным записям. Серверы федерации у партнера по ресурсам также выдают маркеры безопасности, которые предназначены для веб-приложений у партнера по ресурсам. Кроме того, серверы федерации у партнера по ресурсам выдают файлы «cookie» для учетных записей, поступивших от партнера по учетным записям. Эти файлы «cookie» обеспечивают возможности единого входа, чтобы пользователям не надо было повторно регистрироваться на серверах федерации у партнера по учетным записям, когда пользователи пытаются получить доступ к различным веб-приложениям у партнера по ресурсам.


Прокси-агент сервера федерации


На прокси-агентах сервера федерации размещается прокси-агент службы федерации — компонент ADFS. Прокси-агенты сервера федерации могут развертываться в организации на границе сети (также известной как демилитаризованная зона или экранированная подсеть) для пересылки запросов на серверы федерации, к которым нет доступа из Интернета.

Примечание

Хотя можно развертывать отдельные серверы для размещения компонента прокси-агента службы федерации, нет необходимости в развертывании отдельного сервера, который бы действовал как прокси-агент сервера федерации в лесе интрасети партнера по учетным записям или партнера по ресурсам. Эту роль сервер федерации выполняет автоматически.

Роль, выполняемая прокси-агентом сервера федерации в организации, может зависеть от того, является ли организация партнером по учетным записям или партнером по ресурсам:


     Прокси-агенты сервера федерации у партнера по учетным записям действуют как прокси-агенты для входов пользователей в системы серверов федерации, которые находятся в интрасети. Прокси-агенты сервера федерации также действуют как прокси-агенты для маркеров безопасности, выданных сервером федерации партнера по учетным записям как для своих собственных маркеров, так и для маркеров, предназначенных для партнеров по ресурсам.

     Прокси-агенты службы федерации у партнера по ресурсам действуют как прокси-агенты для маркеров безопасности, выданных серверами федерации как у партнера по учетным записям, так и у партнера по ресурсам, для веб-приложений у партнера по ресурсам.


Веб-сервер


В ADFS на веб-серверах в лесу ресурсов размещается компонент «Веб-агент ADFS» для предоставления безопасного доступа к веб-приложениям, размещенным на этих веб-серверах. Веб-агент ADFS управляет маркерами безопасности и файлами «cookie» проверки подлинности, которые посылаются на веб-сервер. Чтобы все маркеры проверки подлинности поступали из службы федерации, необходимо наличие отношения между веб-сервером и службой федерации.

Веб-агент ADFS поддерживает два вида приложений: приложения по заявкам и приложения, использующие маркеры Windows NT.


Федеративные доверительные отношения


Службы федерации Active Directory (ADFS) можно использовать для формирования эффективных и защищенных сетевых транзакций между партнерскими организациями, которые связаны отношениями федеративного доверия. Иными словами, федеративное доверительное отношение — воплощение соглашения или взаимодействия делового уровня между двумя организациями.

Как показано на следующем рисунке, отношения федеративного доверия между двумя организациями-партнерами можно установить, если в обеих эти организациях развернут по крайней мере один сервер федерации ADFS и правильно настроены параметры службы федерации. Однонаправленная стрелка показывает направление доверия, которое — как направление доверия Windows — всегда указывает в сторону учетной записи леса. Это означает, что поток проверки подлинности направлен от организации партнера по учетным записям к организации партнера по ресурсам.





Примечание

Никакого взаимодействия по сети между службой федерации учетной записи и службой федерации ресурса не происходит.

После создания федеративного доверительного отношения пользователи, которые расположены в организации партнера по учетным записям, могут успешно отправлять запросы проверки подлинности, используя федеративное доверительное отношение, на веб-сервер организации партнера по ресурсам. Федеративное доверительное отношение создается, когда и организация партнера по учетным записям, и организация партнера по ресурсам устанавливают компонент ADFS «Служба федерации» и обе используют оснастку «Служба федерации Active Directory» для соответствующей настройки партнера по учетным записям и партнера по ресурсам.

Если одна из сторон федеративного доверительного отношения (партнер по учетным записям или партнер по ресурсам) не настроена или неправильно настроена администратором любой из организаций, федеративное доверительное отношение не создается. Подробные сведения по созданию федеративных доверительных отношений см. в пошаговых инструкциях по развертыванию ADFS на странице Windows Server 2003 R2 (по адресу http://go.microsoft.com/fwlink/?LinkId=45560) веб-узла Microsoft Windows Server 2003 TechCenter.



Примечание

Федеративные доверительные отношения не используются в сценариях веб-службы SSO.


Служба федерации


Служба федерации — компонент служб федерации Active Directory (ADFS), который может быть установлен независимо от остальных компонентов ADFS. Служба федерации работает как служба маркеров безопасности. Компьютер, на котором установлена служба федерации, становится сервером федерации. При этом на данном компьютере также становится доступной оснастка служб федерации Active Directory в меню Администрирование.

Служба федерации использует Active Directory для создания маркеров в ответ на запросы о маркерах безопасности. Это позволяет доменам и лесам Active Directory функционировать как:



     Поставщики подлинности, которые могут создавать федеративные связи с совместимыми партнерами по учетным записям и партнерами по ресурсам. Как поставщик подлинности служба федерации может транслировать сведения о подлинности Active Directory через Интернет, взаимодействуя с приложениями совместимых поставщиков услуг.

     Поставщики услуг, которые могут создавать федеративные связи с совместимыми партнерами по учетным записям и партнерами по ресурсам. Как поставщик услуг служба федерации может принимать сведения о подлинности от других организаций для обращения к партнерским приложениям Windows и ASP.NET корпорации Майкрософт.

     Поставщики маркеров безопасности для приложений, которые совместимы со спецификациями WS-F PRP.


Как партнер по учетным записям служба федерации позволяет пользователям Active Directory обращаться к ресурсам в организациях-партнерах. В ответ на запрос от партнера по ресурсам служба федерации собирает и проверяет учетные данные пользователя в Active Directory или ADAM. После этого служба федерации может заполнить набор заявок организации в соответствии с атрибутами протокола LDAP учетной записи пользователя. Заявки организации затем сопоставляются с соответствующими заявками партнера по ресурсам и упаковываются в маркер безопасности, который подписывается в соответствии с сертификатом, подписанным маркером службы федерации. Итоговый маркер безопасности отправляется как ответ на исходный запрос партнера по ресурсам. Партнер по ресурсам затем использует данный маркер, разрешая доступ пользователю.

Как партнер по ресурсам служба федерации выполняет противоположные функции. Когда пользователь пытается обратиться к приложению, защищенному ADFS, служба федерации определяет, какой партнер по учетным записям должен проверить подлинность пользователя. После этого она отправляет этому партнеру запрос на проверку подлинности. Когда пользовательские учетные данные возвращаются с маркером безопасности, служба федерации проверяет, правильно ли маркер был подписан партнером. Затем она извлекает заявки из маркера. Заявки сопоставляются с заявками организации, и к ним применяется политика фильтрования для определенного приложения. Отфильтрованные заявки организации упаковываются в маркер безопасности, который либо подписывается сертификатом, подписанным маркером службы федерации, либо защищается ключом Kerberos для сеанса веб-приложения. Итоговый маркер безопасности отправляется по исходному адресу URL (Uniform Resource Locator) приложения. Приложение затем использует данный маркер, разрешая доступ пользователю.

Для переноса заявок в маркерах безопасности, создаваемых службой федерации для веб-приложения, ADFS использует протокол WS-F PRP.

Первоначально эти заявки заполняются из хранилищ учетных записей Active Directory или ADAM. Служба федерации создает маркеры на основании предоставленных учетных данных. После проверки учетных данных средствами хранилища учетных записей заявки для пользователя создаются согласно правилам политики доверия. Полученные входящие заявки сопоставляются с исходящими заявками, применимыми для партнера по ресурсам. Результирующие сопоставления заявок добавляются к маркеру безопасности, созданному для партнера по ресурсам.

После проверки маркера для веб-обозревателя клиента создается и записывается файл «cookie» для проверки подлинности. Этот файл «cookie» используется службой федерации каждый раз, когда требуется проверка подлинности клиента, чтобы клиенту для входа не нужно было повторно вводить свои учетные данные. Таким образом обеспечивается механизм единого входа (SSO).

Веб-страницы службы федерации


Служба федерации открывает веб-страницу, в которой пользователю предлагается выбрать партнера по учетным записям, для доступа к которому пользователь может отправить свои учетные данные. Кроме того, в службе федерации имеется веб-страница, которая запрашивает такие учетные данные пользователя, как имя пользователя и пароль, для проверки подлинности в формах. Есть также веб-страница, поддерживающая встроенную проверку подлинности Windows.

Работу этих веб-страниц службы федерации обеспечивает веб-служба ASP.NET, которая обрабатывает запросы клиента или прокси-агента сервера федерации. Прокси-агент сервера федерации расположен на границе сети. Он действует как посредник между клиентом Интернета и службой федерации в интрасети. Служба федерации отвечает на два базовых типа запросов:



     запросы о создании маркеров безопасности;

     запросы об отборе данных политики доверия.


Обнаружение партнера по учетным записям


Обнаружение партнера по учетным записям — процесс определения клиентом партнера по учетным записям, предпочтительного для проверки подлинности, если настроено более одного партнера по учетным записям. Сервер федерации предоставляет этот выбор в веб-обозревателе клиента в виде раскрывающегося списка, содержащего имена партнеров по учетным записям, настроенным в политике доверия.

Чтобы избежать необходимости обнаружения партнера по учетным записям, можно в строку запроса ресурса, к которому выполняется обращение, включить параметр whr, например,



https://webserver/testapp/testpage.aspx?whr=urn:federation:<партнер_по_учетным_записям>, где <партнер_по_учетным_записям> определяет сферу партнера по учетным записям клиента.

Когда используется параметр whr, веб-сервер удаляет параметр и записывает в веб-обозреватель клиента файл «сookie», чтобы использовать эту настройку для будущих запросов. После этого запрос действует таким же образом, как если бы этот параметр не вводился.


Прокси-агент службы федерации


Прокси-агент службы федерации является в Windows Server 2003 R2 компонентом ADFS, который может устанавливаться независимо от других компонентов ADFS. Прокси-агент службы федерации функционирует как прокси-сервер на границе сети (также известной как демилитаризованная зона и экранированная подсеть) для службы федерации. Установка на компьютере компонента «Прокси-агент службы федерации» превращает компьютер в прокси-агента службы федерации. После установки на компьютере этого компонента становится доступной оснастка «Службы федерации Active Directory» в меню Администрирование.

Прокси-агент сервера федерации участвует в протоколе WS-F PRP путем взаимодействия с защищенной службой федерации от имени клиента. Когда прокси-агент сервера федерации защищает партнера по учетным записям, он собирает от клиентов веб-обозревателя сведения об учетных данных пользователей. Когда прокси-агент сервера федерации защищает партнера по ресурсам, он ретранслирует запросы посредством и для веб-приложений в службу федерации.

Кроме того, прокси-агент сервера федерации хранит на клиентских компьютерах файлы «cookie» протокола HTTP (Hypertext Transfer Protocol), когда необходимо облегчить единый вход (SSO). Прокси-агент сервера федерации записывает три вида файлов «cookie»: файлы «cookie» проверки подлинности, файлы «cookie» партнеров по учетным записям и файлы «cookie» выхода.

Веб-агент ADFS


Веб-агент ADFS — это компонент ADFS. Он используется для приема маркеров безопасности и принятия решения о предоставлении или запрете доступа пользователя к веб-приложению. Для реализации этого веб-серверу требуется установить отношения с ресурсом «Служба федерации», чтобы по мере необходимости он мог направлять пользователя к службе федерации.

Веб-агент службы федерации Active Directory может использоваться для работы с двумя типами приложений:



     Приложения по заявкам. Это приложения ASP.NET, предназначенные для публикования объектов службы федерации Active Directory, которые позволяют выполнять поиск заявок маркеров безопасности службы федерации Active Directory. Приложение принимает решения об авторизации на основании этих заявок. Ошибки приема маркера безопасности для этого типа приложения приводят к тому, что клиент получает сообщение «Отказано в доступе» с записью событий в журнале событий службы федерации.

     Приложения, использующие маркер Windows NT. Это приложения, в которых используются механизмы авторизации Windows. Веб-агент службы федерации Active Directory поддерживает преобразование маркера безопасности службы федерации Active Directory в маркер доступа Windows NT на уровне олицетворения.



Веб-сервер также сохраняет файлы «cookie» протокола HTTP на компьютерах клиентов, если необходимо облегчить единый вход (SSO).

Терминология, используемая в ADFS


ADFS использует терминологию трех различных технологий, включая службы сертификатов, службы IIS (Internet Information Services), Active Directory, ADAM и веб-службы (WS-*). Эти термины описаны в следующей таблице.

Термин

Описание

партнер по учетным записям

Партнер федерации, которому служба федерации доверяет обеспечение маркеров безопасности. Партнер по учетным записям создает эти маркеры для своих пользователей (то есть пользователей в сфере партнера по учетным записям), чтобы они могли обратиться к веб-приложениям партнера по ресурсам.

Cлужбы федерации Active Directory (ADFS)

Компонент Windows Server 2003 R2, который обеспечивает технологию единого входа (SSO) для проверки подлинности пользователя в нескольких веб-приложениях в течение всего сетевого сеанса. В ADFS это достигается путем безопасного использования общего ресурса цифровых учетных данных и прав внутри границ организации и области безопасности и за их пределами. ADFS в Windows Server 2003 R2 поддерживает WS-F PRP.

заявка

Утверждение о клиенте (например, имя, подлинность, ключ, группа, привилегия или способность), которое создает сервер.

сопоставление заявок

Операция сопоставления, удаления или фильтрования либо передачи заявок между различными наборами заявок.

приложение по заявкам

Приложение ASP.NET, выполняющее авторизацию в соответствии с заявками, которые содержатся в маркере безопасности ADFS.

веб-страница обнаружения партнера по учетным записям

Веб-страница, используемая для взаимодействия с пользователем с целью определения партнера по учетным записям, к которому относится пользователь, когда ADFS не может автоматически определить, какой из партнеров по учетным записям должен проверить подлинность пользователя.

веб-страница выхода клиента

Веб-страница, которая открывается для обеспечения визуального подтверждения пользователю о его выходе из системы, когда ADFS выполняет операцию выхода из системы.

веб-страница входа клиента

Веб-страница, открываемая для взаимодействия с пользователем, когда ADFS собирает учетные данные клиента. Для определения типа собираемых учетных данных на веб-странице входа клиента может использоваться любая необходимая деловая логика.

федерация

Пара сфер или доменов, которые установили между собой федеративное доверительное отношение.

Служба федерации

Служба маркеров безопасности, встроенная в Windows Server 2003 R2. Служба федерации создает маркеры в ответ на запросы о маркерах безопасности.

Прокси-агент службы федерации

Прокси-сервер службы федерации на границе сети (также известной как демилитаризованная зона или экранированная подсеть). Для сбора учетных данных пользователей от веб-обозревателей и веб-приложений клиентов и отправки информации от их имени в службу федерации прокси-агент службы федерации использует протоколы WS-F PRP.

заявки организации

Заявки в промежуточной или нормализованной форме в пределах пространства имен организации.

пассивный клиент

Веб-обозреватель, который поддерживает широко применяемый протокол HTTP (Hypertext Transfer Protocol) и может использовать файлы «cookie». ADFS в Windows Server 2003 R2 поддерживает только пассивные клиенты, что отвечает спецификации WS-F PRP.

партнер по ресурсам

Партнер федерации, который доверяет службе федерации создание маркеров безопасности, содержащих заявки. Партнер по ресурсам содержит опубликованные веб-приложения, к которым могут обратиться пользователи партнера по учетным записям.

маркер безопасности

Единица данных, подписанная криптографическим ключом, которая выражает одну или несколько заявок.

служба маркеров безопасности (STS)

Веб-служба, которая создает маркеры безопасности. Служба STS создает утверждения в соответствии с данными, которым она доверяет, для всех потребителей, которые ей доверяют (или для определенных получателей). Для реализации доверия служба требует доказательства осведомленности (например, в виде подписи) о маркере безопасности или наборе маркеров безопасности. Служба может либо создавать маркеры сама, либо поручить другой STS создавать маркер безопасности с ее собственным утверждением доверия. Таким образом формируется основа брокерских отношений доверия. В ADFS службой STS является служба федерации.

серверная ферма

В ADFS — коллекция серверов федерации, прокси-агентов серверов федерации или веб-серверов с балансированной загрузкой, применяющих веб-агент ADFS.

единый вход (SSO)

Оптимизация последовательности проверки подлинности с целью исключения повторяемых действий входа в систему конечным пользователем.

сертификат, подписанный маркером

Сертификат X509, связанная пара открытого/секретного ключей которого используется для обеспечения целостности маркеров безопасности.

универсальный код ресурса (URI)

Компактная строка символов, которая определяет абстрактный ресурс или физический ресурс. URI описываются в статье RFC 2396 (http://go.microsoft.com/fwlink/?LinkId=48289). В ADFS URI используются для уникальной идентификации партнеров и хранилищ учетных записей.

Веб-службы (WS-*)

Спецификации для архитектуры веб-служб, базирующиеся на промышленных стандартах, таких как SOAP (Simple Object Access Protocol), XML, WSDL (Web Service Description Language) и UDDI (Universal Description, Discovery and Integration). Веб-службы WS-* обеспечивают основу для создания полнофункциональных, межплатформенных бизнес-решений для больших предприятий, включая возможность управления федеративной подлинностью и безопасностью.

Модель веб-служб основана на предпосылке, что производственные системы пишутся на разных языках, в них реализуются разные программные модели, они работают на устройствах многих разных типов и к ним обращаются с устройств многих разных типов. Веб-службы — средства построения распределенных систем, которые могут легко и эффективно связываться и взаимодействовать друг с другом через Интернет, независимо от того, на каком языке они написаны и на какой платформе они работают.



безопасность веб-служб (WS-безопасность)

Ряд спецификаций, в которых описывается порядок присоединения подписей и шифрованых заголовков к сообщениям SOAP. Кроме того, WS-безопасность определяет, как присоединять к сообщениям маркеры безопасности, включая двоичные маркеры безопасности, такие как сертификаты X.509 и билеты Kerberos. В ADFS WS-безопасность используется, когда Kerberos подписывает маркеры безопасности.

приложение, использующее маркер Windows NT

Приложение Windows, в котором для выполнения авторизации пользователей используется маркер Windows NT.

федерация веб-служб

Спецификация, определяющая модель и набор сообщений для брокерского отношения доверия, а также для федерации сведений для идентификации и проверки подлинности в различных сферах доверия.

Спецификация WS-федерации определяет два источника подлинности и запросов проверки подлинности в сферах доверия: активные инициаторы запроса, такие как приложения с поддержкой SOAP, и пассивные инициаторы запроса, которые определены как веб-обозреватели HTTP, обеспечивающие поддержку широко применяемого HTTP-протокола, например HTTP 1.1.



профиль пассивных запросов федерации веб-служб (WS-F PRP)

Реализация спецификации WS-федерации, которая предлагает стандартный протокол для применения рабочей среды федерации пассивными клиентами (такими как веб-обозреватели). Согласно этому протоколу, инициаторы запроса веб-службы должны понимать новые механизмы безопасности и быть способными взаимодействовать с поставщиками веб-службы.


Ресурсы ADFS


Подробную документацию по службе ADFS (Active Directory Federation Services) см. на веб-узле центра технической поддержки Windows Server 2003 R2 (http://go.microsoft.com/fwlink/?LinkId=45560).

Дополнительные сведения о службе ADFS и сведения, относящиеся к ADFS, см. на следующих веб-ресурсах:



    Автоматизация доступа к сведениям с помощью диспетчера удостоверений на веб-узле корпорации Майкрософт (http://go.microsoft.com/fwlink/?LinkId=44188)

    Центр разработчиков веб-служб и других распределенных технологий на веб-узле MSDN (http://go.microsoft.com/fwlink/?LinkId=44189)

    Вопросы разработки протоколов веб-служб на веб-узле MSDN (http://go.microsoft.com/fwlink/?LinkId=44190)

    Спецификации веб-служб на веб-узле MSDN (http://go.microsoft.com/fwlink/?LinkId=44191)



    Организация взаимодействия веб-служб (WS-I) (http://go.microsoft.com/fwlink/?LinkId=34328)





Смотрите также:
Обзор служб федерации Active Directory в Windows Server 2003 R2
303.25kb.
1 стр.
Лекция №10. Служба Active Directory Знакомство с Active Directory
329.56kb.
1 стр.
Установка и настройка Windows Server 2003. Служба каталогов Active Directory. Установка и настройка Windows Server 2003
80.27kb.
1 стр.
Курс ms-2279 Планирование, внедрение и поддержка инфраструктуры Microsoft Windows Server 2003 Active Directory
32.75kb.
1 стр.
Лабораторная работа Развертывание инфраструктуры Active Directory в Windows Azure
193.93kb.
1 стр.
Учебный центр arbyte · arbyte training Center
45.97kb.
1 стр.
Active Directory ldap-совместимая реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows nt
79.52kb.
1 стр.
Лекция №11. Основы администрирования Active Directory
261.2kb.
1 стр.
Служба каталогов Active Directory техническое описание
479.65kb.
8 стр.
Дистанционный курс «Администрирование Windows Server 2003»
26.11kb.
1 стр.
Руководство по решению распределенных файловых систем в ос windows Server 2003 R2 Корпорация Майкрософт
537.72kb.
4 стр.
10 преимуществ обновления до версии Windows Server 2008 R2
78.95kb.
1 стр.