Службы федерации Active Directory - Active Directory Federation Services

Службы федерации Active Directory (AD FS), а программного обеспечения компонент разработан Microsoft, может работать на Windows Server операционные системы, чтобы предоставить пользователям Единая точка входа доступ к системам и приложениям, расположенным за пределами организации. Он использует основанный на претензиях модель авторизации с контролем доступа для поддержания безопасности приложений и реализации федеративная идентичность.[1] Аутентификация на основе утверждений включает в себя аутентификацию пользователя на основе набора утверждений об этом пользователе. личность содержится в доверенном токене. Такой токен часто выдается и подписывается объектом, который может аутентифицировать пользователя другими способами и которому доверяет объект, выполняющий аутентификацию на основе утверждений.[2] Это часть Службы Active Directory.

Подробности

В AD FS федерация удостоверений[3] устанавливается между двумя организациями путем установления доверия между двумя сферами безопасности. Сервер федерации на одной стороне (сторона учетных записей) аутентифицирует пользователя стандартными средствами в Active Directory Доменные службы, а затем выдает токен, содержащий серию утверждений о пользователе, включая его личность. С другой стороны, на стороне ресурсов, другой сервер федерации проверяет токен и выдает другой токен для локальных серверов, чтобы они приняли заявленное удостоверение. Это позволяет системе предоставлять контролируемый доступ к своим ресурсам или службам пользователю, принадлежащему к другой области безопасности, без необходимости аутентификации пользователя непосредственно в системе и без совместного использования двумя системами базы данных идентификаторов пользователей или паролей.

На практике пользователь обычно воспринимает этот подход следующим образом:

  1. Пользователь входит в свой локальный компьютер (как обычно, когда он начинает работу утром).
  2. Пользователь должен получать информацию с веб-сайта экстрасети партнерской компании, например, для получения информации о ценах или продуктах.
  3. Пользователь переходит на сайт экстрасети компании-партнера, например: http://example.com.
  4. Партнерский сайт теперь не требует ввода пароля; вместо этого учетные данные пользователя (в защищенном утверждении) передаются на партнерский сайт экстрасети с помощью AD FS.
  5. Теперь пользователь вошел на партнерский веб-сайт и может взаимодействовать с ним, как если бы он вошел в систему.

AD FS интегрируется с Active Directory Доменные службы, использующие его в качестве поставщика удостоверений. AD FS может взаимодействовать с другими WS- * и SAML 2.0 -соответствующие услуги федерации в качестве партнеров федерации.[4]

Версии

  • ADFS 1.0 - Windows Server 2003 R2 (дополнительная загрузка)
  • ADFS 1.1 - Windows Server 2008 и Windows Server 2008 R2
  • ADFS 2.0 - Windows Server 2008 и Windows Server 2008 R2 (скачать с Microsoft.com)
  • ADFS 2.1 - Windows Server 2012
  • ADFS 3.0 - Windows Server 2012 R2[5]
  • Windows Server 2016 AD FS - Windows Server 2016[6]
  • Windows Server 2019 AD FS - Windows Server 2019[6]

Смотрите также

Рекомендации

  1. ^ «Представляем AD FS 2.0». Microsoft TechNet. 2 мая 2010 г.. Получено 2 марта, 2017.
  2. ^ «Введение в претензии». MSDN. 2016 г.. Получено 26 мая, 2016.
  3. ^ "Что такое Федеративное управление идентификацией?". Технопедия. 2016 г.. Получено 26 мая, 2016.
  4. ^ «Глубокое погружение в ADFS». MSDN. 2 ноября 2014 г.. Получено 18 мая, 2016.
  5. ^ «Конфигурация ADFS в Windows Server 2012 R2 Standard». ТатваСофт. 2018 г.. Получено 19 сентября, 2018.
  6. ^ а б «Часто задаваемые вопросы по AD FS (FAQ)». Microsoft. 17 апреля 2019 г.,. Получено 2 марта, 2020.

внешняя ссылка