Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os servidores de federação exigem certificados de assinatura de token para impedir que invasores alterem ou falsibilizem tokens de segurança na tentativa de obter acesso não autorizado a recursos federados. O emparelhamento de chave privada/pública que é usado com certificados de assinatura de token é o mecanismo de validação mais importante de qualquer parceria federada porque essas chaves verificam se um token de segurança foi emitido por um servidor de federação de parceiro válido e se o token não foi modificado durante o trânsito.
Requisitos de certificado de autenticação de tokens
Um certificado de assinatura de token deve atender aos seguintes requisitos para trabalhar com o AD FS:
Para que um certificado de assinatura de token assine com êxito um token de segurança, o certificado de assinatura de token deve conter uma chave privada.
A conta de serviço do AD FS precisa ter acesso à chave privada do certificado de autenticação de tokens no repositório pessoal do computador local. Isso é feito pela Instalação. Você também pode usar o complemento de gerenciamento do AD FS para garantir esse acesso se alterar posteriormente o certificado de assinatura de token.
Observação
É uma melhor prática de PKI (infraestrutura de chave pública) não compartilhar a chave privada para várias finalidades. Portanto, não use o certificado de comunicação de serviço instalado no servidor de federação como o certificado de assinatura de token.
Como os certificados de assinatura de token são usados entre parceiros
Cada certificado de assinatura de token contém chaves privadas criptográficas e chaves públicas que são usadas para assinar digitalmente (por meio da chave privada) um token de segurança. Posteriormente, depois de serem recebidas por um servidor de federação de parceiros, essas chaves validam a autenticidade (por meio da chave pública) do token de segurança criptografado.
Como cada token de segurança é assinado digitalmente pelo parceiro de conta, o parceiro de recurso pode verificar se o token de segurança foi de fato emitido pelo parceiro de conta e se ele não foi modificado. As assinaturas digitais são verificadas pela parte de chave pública do certificado de autenticação de tokens de um parceiro. Depois que a assinatura é verificada, o servidor de federação de recursos gera seu próprio token de segurança para sua organização e assina o token de segurança com seu próprio certificado de assinatura de token.
Para ambientes de parceiros de federação, quando o certificado de autenticação de tokens tiver sido emitido por uma AC, verifique se:
As CRLs (listas de revogação de certificado) do certificado são acessíveis a terceiras partes confiáveis e servidores Web que confiam no servidor de federação.
O certificado de AC raiz é confiável pelas partes confiáveis e servidores Web que confiam no servidor de federação.
O servidor Web no parceiro de recurso usa a chave pública do certificado de assinatura de token para verificar se o token de segurança está assinado pelo servidor de federação de recursos. Em seguida, o servidor Web permite o acesso apropriado ao cliente.
Considerações de implantação para certificados de assinatura de tokens
Ao implantar o primeiro servidor de federação em uma nova instalação do AD FS, você deve obter um certificado de assinatura de token e instalá-lo no repositório de certificados pessoais do computador local nesse servidor de federação. Pode obter um certificado de assinatura de tokens ao pedir um a uma AC empresarial ou a uma AC pública ou ao criar um certificado autoassinado.
Uma chave privada de um certificado de autenticação de tokens é compartilhada entre todos os servidores de federação em um farm.
Em um ambiente de farm de servidores de federação, recomendamos que todos os servidores de federação compartilhem (ou reutilizem) o mesmo certificado de assinatura de token. Você pode instalar um certificado de assinatura de token único de uma AC em um servidor de federação e exportar a chave privada, desde que o certificado emitido seja marcado como exportável.
Conforme mostrado na ilustração a seguir, a chave privada de um único certificado de assinatura de token pode ser compartilhada com todos os servidores de federação em um farm. Essa opção, comparada com a opção seguinte de "certificado exclusivo de assinatura de token", reduz os custos se você planeja obter um certificado de assinatura de token de uma autoridade certificadora pública.
Para obter informações sobre como instalar um certificado ao usar os Serviços de Certificados da Microsoft como sua AC corporativa, consulte IIS 7.0: Criar um certificado do servidor de domínio no IIS 7.0.
Para obter informações sobre como instalar um certificado de uma AC pública, consulte o IIS 7.0: Solicitar um Certificado do Servidor da Internet.
Para obter informações sobre como instalar um certificado autoassinado, consulte o IIS 7.0: Criar um certificado de servidor Self-Signed no IIS 7.0.