Partilhar via


Understanding Key AD FS Concepts

É recomendável que você conheça os conceitos importantes dos Serviços de Federação do Active Directory (AD FS) e esteja familiarizado com seu conjunto de recursos.

Dica

Você pode encontrar links de recursos adicionais do AD FS em Noções básicas sobre os principais conceitos do AD FS.

Terminologia do AD FS usada neste guia

Termo do AD FS Definição
Organização do parceiro de conta Uma organização do parceiro de federação representada por uma relação de confiança do provedor de declarações no Serviço de Federação. A organização do parceiro de conta contém os usuários que acessarão os aplicativos baseados na Web no parceiro de recurso.
Servidor de federação de conta O servidor de federação da organização do parceiro de conta. O servidor de federação de conta emite tokens de segurança aos usuários com base na autenticação do usuário. O servidor autentica o usuário, extrai do repositório de atributos as informações de associação em um grupo e os atributos relevantes, agrupa essas informações em declarações, gera e assina um token de segurança (que contém as declarações) a ser retornado ao usuário, sendo usado na própria organização ou enviado a uma organização parceira.
Banco de dados de configuração do AD FS Um banco de dados usado para armazenar todos os dados de configuração que representam uma instância ou Serviço de Federação individual do AD FS. Esses dados de configuração podem ser armazenados no banco de dados do SQL Server ou usando o recurso do Banco de Dados Interno do Windows incluído no Windows Server 2016, Windows Server 2012 ou 2012 R2 e Windows Server 2008 e 2008 R2.

Você pode criar o banco de dados de configuração do AD FS para o SQL Server usando a ferramenta de linha de comando Fsconfig.exe e, para o Banco de Dados Interno do Windows, usando o Assistente de Configuração do Servidor de Federação do AD FS.
Provedor de declarações A organização que fornece as declarações a seus usuários. Vide “organização do parceiro de conta”.
Relação de confiança do provedor de declarações No snap-in Gerenciamento do AD FS, as relações de confiança do provedor de declarações são objetos de confiança tipicamente criados nas organizações dos parceiros de recurso para representar a organização na relação de confiança cujas contas acessarão recursos da organização do parceiro de recurso. Um objeto de confiança de provedor de declarações consiste em vários identificadores, nomes e regras para identificar esse parceiro ao Serviço de Federação local.
Relação de confiança do provedor de declarações local Um objeto de confiança que representa o AD LDS ou diretórios de terceiros baseados em LDAP em um farm do AD FS. Um objeto de confiança de provedor de declarações local consiste em vários identificadores, nomes e regras para identificar esse diretório baseado em LDAP para o Serviço de Federação local.
Metadados de federação O formato de dados para comunicar as informações de configuração entre um provedor de declarações e uma terceira parte confiável a fim de facilitar a configuração apropriada das relações de confiança do provedor de declarações e dos objetos de confiança de terceira parte confiável. O formato de dados é definido em SAML (Security Assertion Markup Language) 2.0 e é estendido na Web Services Federation.
Servidor de federação Um Windows Server que tenha sido configurado usando o Assistente de Configuração de Servidor de Federação do AD FS para assumir a função de servidor de federação. O servidor de federação emite tokens e faz parte de um Serviço de Federação.
Proxy do servidor de federação Um Windows Server que tenha sido configurado usando o Assistente de Configuração de Proxy do Servidor de Federação do AD FS para atuar como um serviço de proxy intermediário entre um cliente da Internet e um Serviço de Federação localizado sob a proteção de um firewall em uma rede corporativa.
Servidor de federação primário Um Windows Server que tenha sido configurado na função de servidor de federação usando o Assistente de Configuração de Servidor de Federação do AD FS e que tenha uma cópia de leitura/gravação do banco de dados de configuração do AD FS.

O servidor de federação primário será criado quando você usa o Assistente de Configuração de Servidor de Federação do AD FS, e seleciona a opção de criar um novo Serviço de Federação e transformar o computador no primeiro servidor de federação do farm. Todos os outros servidores de federação desse farm devem replicar as alterações feitas no servidor de federação primário em uma cópia somente leitura do banco de dados de configuração do AD FS armazenada localmente. O termo “servidor de federação primário” não se aplicará quando o banco de dados de configuração do AD FS for armazenado em um banco de dados SQL, uma vez que todos os servidores de federação podem ler e gravar igualmente em um banco de dados de configuração armazenado em SQL Server.
Terceira parte confiável A organização que recebe e processa as declarações. Vide “organização do parceiro de recurso”.
Objeto de confiança de terceira parte confiável No snap-in Gerenciamento do AD FS, objetos de confiança da terceira parte confiável são tipicamente criados em:

– Organizações do parceiro de conta, para representar a organização na relação de confiança cujas contas acessarão recursos da organização do parceiro de recurso.
– Organizações de parceiros de recurso para representar a relação de confiança entre o Serviço de Federação e um aplicativo individual baseado na Web.

Um objeto de confiança de terceira parte confiável consiste em vários identificadores, nomes e regras para identificar esse parceiro ou aplicativo da Web ao Serviço de Federação local.

Servidor de federação de recurso O servidor de federação da organização do parceiro de recurso. O servidor de federação de recurso tipicamente emite tokens de segurança aos usuários com base em um token de segurança emitido por um servidor de federação de conta. O servidor recebe o token de segurança, verifica a assinatura, aplica a lógica da regra de declaração às declarações desagrupadas para produzir as declarações de saída desejadas, gera um novo token de segurança (com as declarações de saída) com base nas informações do token de segurança de saída e assina o novo token a ser retornado ao usuário e, por fim, ao aplicativo Web.
Organização do parceiro de recurso Um parceiro de federação que é representado por um objeto de confiança de terceira parte confiável no Serviço de Federação. O parceiro de recurso emite tokens de segurança baseados em declarações contendo aplicativos publicados baseados na Web, que podem ser acessados pelos usuários do parceiro de conta.

Visão geral do AD FS

O AD FS é uma solução de acesso com identidade que oferece aos computadores cliente (internos ou externos à rede) acesso de SSO contínuo a aplicativos ou serviços protegidos e voltados à Internet, mesmo quando as contas de usuário e os aplicativos estão localizados em redes ou organizações completamente diferentes.

Quando um aplicativo ou serviço estiver em uma rede e uma conta de usuário estiver em outra rede, normalmente o usuário deve apresentar credenciais secundárias ao tentar acessar o aplicativo ou serviço. Essas credenciais secundárias representam a identidade do usuário no realm em que reside o aplicativo ou serviço. Elas são normalmente necessárias ao servidor Web que hospeda o aplicativo ou serviço para que ele possa tomar a decisão mais apropriada sobre a autorização.

Com o AD FS, as organizações podem ignorar as solicitações de credenciais secundárias fornecendo relações de confiança (relações de confiança de federação), que essas organizações podem usar para projetar uma identidade digital de usuário e direitos de acesso a parceiros confiáveis. Nesse ambiente federado, cada organização continua a gerenciar suas próprias identidades, podendo também projetar e aceitar com segurança identidades de outras organizações.