Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
È consigliabile conoscere i concetti importanti per Active Directory Federation Services e acquisire familiarità con il set di funzionalità.
Suggerimento
Per altri collegamenti alle risorse di AD FS, vedere Informazioni sui concetti chiave di AD FS.
Terminologia di AD FS usata in questa guida
| Terminologia AD FS | Definizione |
|---|---|
| Organizzazione partner dell'account | Organizzazione partner di federazione rappresentata da un trust del fornitore di attestazioni nel servizio federativo. L'organizzazione partner dell'account contiene gli utenti che accederanno alle applicazioni basate sul Web nel partner delle risorse. |
| Server di federazione account | Il server federativo nell'organizzazione partner dell'account. Il server federativo dell'account rilascia token di sicurezza agli utenti in base all'autenticazione utente. Il server autentica l'utente, estrae gli attributi pertinenti e le informazioni sull'appartenenza ai gruppi dall'archivio attributi, inserisce queste informazioni in attestazioni e genera e firma un token di sicurezza (che contiene le attestazioni) per tornare all'utente, da usare nella propria organizzazione o da inviare a un'organizzazione partner. |
| Database di configurazione di AD FS | Database utilizzato per archiviare tutti i dati di configurazione che rappresentano una singola istanza di AD FS o servizio federativo. Questi dati di configurazione possono essere archiviati in un database di SQL Server o usando la funzionalità Database interno di Windows inclusa in Windows Server 2016, Windows Server 2012 e 2012 R2 e Windows Server 2008 e 2008 R2.
È possibile creare il database di configurazione di AD FS per SQL Server usando lo strumento da riga di comando Fsconfig.exe e per il database interno di Windows tramite la Configurazione guidata server federativo AD FS. |
| Provider di richieste | L'organizzazione che fornisce attestazioni agli utenti. Consultare l'organizzazione partner dell'account. |
| Attendibilità del fornitore di attestazioni | Nello snap-in Gestione AD FS, i trust del provider di attestazioni sono oggetti trust creati in genere nelle organizzazioni partner di risorse per rappresentare l'organizzazione nella relazione di trust, i cui account accederanno alle risorse nell'organizzazione partner di risorse. Un oggetto trust provider di attestazioni è costituito da un'ampia gamma di identificatori, nomi e regole che identificano questo partner al servizio federativo locale. |
| Trust del fornitore di attestazioni locali | Un oggetto di trust che rappresenta le directory basate su LDAP di fornitori terzi o AD LDS in una farm AD FS. Un oggetto trust del provider di attestazioni locale è costituito da un'ampia gamma di identificatori, nomi e regole che identificano questa directory basata su LDAP nel servizio federativo locale. |
| Metadati della federazione | Formato dati per comunicare le informazioni di configurazione tra un provider di attestazioni e una parte affidataria, al fine di facilitare la corretta configurazione dei trust del provider di attestazioni e dei trust della parte affidataria. Il formato dei dati è definito in Security Assertion Markup Language (SAML) 2.0 e viene esteso in WS-Federation. |
| Server federativo | Windows Server configurato utilizzando l'Assistente di configurazione del server federativo AD FS per agire nel ruolo di server federativo. Un server federativo emette token e funge da parte di un servizio federativo. |
| Server proxy federativo | Un Windows Server configurato utilizzando la Configurazione guidata proxy server federativo AD FS per fungere da servizio proxy intermedio tra un client Internet e un Servizio Federativo che si trova dietro un firewall in una rete aziendale. |
| Server federativo primario | Un Windows Server configurato come server federativo usando la procedura guidata di configurazione del server federativo AD FS e che dispone di una copia di lettura/scrittura del database di configurazione di AD FS.
Il server federativo primario viene creato quando si utilizza la Configurazione guidata server federativo AD FS e si seleziona l'opzione per creare un nuovo servizio federativo e rendere tale computer il primo server federativo nella farm. Tutti gli altri server federativi in questa farm devono replicare le modifiche apportate nel server federativo primario in una copia di sola lettura del database di configurazione di AD FS archiviato localmente. Il termine "server federativo primario" non si applica quando il database di configurazione di AD FS viene archiviato in un database SQL perché tutti i server federativi possono anche leggere e scrivere in un database di configurazione archiviato in SQL Server. |
| Parte affidataria | L'organizzazione che riceve ed elabora le attestazioni. Consultare l'organizzazione partner di risorse. |
| Affidabilità del relying party | Nello snap-in Gestione di AD FS, i trust della parte affidabile sono oggetti di fiducia di solito creati in: - Le organizzazioni partner di account per rappresentare l'organizzazione nella relazione di fiducia con i cui account accederanno alle risorse nell'organizzazione partner delle risorse. Un oggetto di attendibilità della parte fidata è costituito da un'ampia gamma di identificatori, nomi e regole che identificano il partner o l'applicazione Web nel servizio federativo locale. |
| Server di federazione delle risorse | Server federativo nell'organizzazione partner delle risorse. Il server federativo delle risorse rilascia in genere token di sicurezza agli utenti in base a un token di sicurezza emesso da un server federativo dell'account. Il server riceve il token di sicurezza, verifica la firma, applica la logica della regola attestazione alle attestazioni non in pacchetto per produrre le attestazioni in uscita desiderate, genera un nuovo token di sicurezza (con le attestazioni in uscita) in base alle informazioni nel token di sicurezza in ingresso e firma il nuovo token per tornare all'utente e infine all'applicazione Web. |
| Organizzazione partner di risorse | Partner federativo rappresentato da un trust della relying party nel Servizio di Federazione. Il partner delle risorse rilascia token di sicurezza basati su attestazioni che contengono applicazioni pubblicate basate sul Web a cui gli utenti del partner account possono accedere. |
Panoramica di AD FS
AD FS è una soluzione di accesso alle identità che fornisce ai computer client (interni o esterni alla rete) l'accesso SSO facile alle applicazioni o ai servizi protetti con connessione Internet, anche quando gli account utente e le applicazioni si trovano in reti o organizzazioni completamente diverse.
Quando un'applicazione o un servizio si trova in una rete e un account utente si trova in un'altra rete, in genere all'utente vengono richieste le credenziali secondarie quando tenta di accedere all'applicazione o al servizio. Queste credenziali secondarie rappresentano l'identità dell'utente nell'area di autenticazione in cui risiede l'applicazione o il servizio. In genere sono richiesti dal server Web che ospita l'applicazione o il servizio in modo che possa prendere la decisione di autorizzazione più appropriata.
Con AD FS, le organizzazioni possono ignorare le richieste di credenziali secondarie fornendo relazioni di trust (trust federative) che queste organizzazioni possono usare per proiettare l'identità digitale di un utente e i diritti di accesso ai partner attendibili. In questo ambiente federato, ogni organizzazione continua a gestire le proprie identità, ma ogni organizzazione può anche proiettare e accettare in modo sicuro le identità di altre organizzazioni.