Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
É recomendável que você aprenda sobre os conceitos importantes dos Serviços de Federação do Active Directory e se familiarize com seu conjunto de recursos.
Dica
Você pode encontrar links de recursos adicionais do AD FS no Understanding Key AD FS Concepts.
Terminologia do AD FS usada neste guia
| Termo do AD FS | Definição |
|---|---|
| Organização do parceiro de conta | Uma organização do parceiro de federação representada por uma relação de confiança do provedor de declarações no Serviço de Federação. A organização do parceiro de conta contém os usuários que acessarão os aplicativos baseados na Web no parceiro de recurso. |
| Servidor de federação de conta | O servidor de federação da organização do parceiro de conta. O servidor de federação de conta emite tokens de segurança para usuários com base na autenticação do usuário. O servidor autentica o usuário, extrai os atributos relevantes e as informações de associação de grupo do repositório de atributos, empacota essas informações em declarações e gera e assina um token de segurança (que contém as declarações) para retornar ao usuário, seja para ser usado em sua própria organização ou para ser enviado para uma organização parceira. |
| Banco de dados de configuração do AD FS | Um banco de dados usado para armazenar todos os dados de configuração que representam uma única instância do AD FS ou o Serviço de Federação. Esses dados de configuração podem ser armazenados em um banco de dados do SQL Server ou usando o recurso banco de dados interno do Windows incluído no Windows Server 2016, Windows Server 2012 e 2012 R2 e Windows Server 2008 e 2008 R2. Você pode criar o banco de dados de configuração do AD FS para SQL Server usando a ferramenta de linha de comando Fsconfig.exe e para o Banco de Dados Interno do Windows usando o Assistente de Configuração do Servidor de Federação do AD FS. |
| Provedor de declarações | A organização que fornece as declarações a seus usuários. Vide “organização do parceiro de conta”. |
| Confiança do provedor de declarações | No snap-in Gerenciamento do AD FS, as relações de confiança do provedor de declarações são objetos de confiança tipicamente criados nas organizações dos parceiros de recurso para representar a organização na relação de confiança cujas contas acessarão recursos da organização do parceiro de recurso. Um objeto de confiança de provedor de declarações consiste em vários identificadores, nomes e regras para identificar esse parceiro ao Serviço de Federação local. |
| Relação de confiança do provedor de declarações local | Um objeto de confiança que representa o AD LDS ou diretórios de terceiros baseados em LDAP em um farm do AD FS. Um objeto de confiança do provedor de declarações local consiste em uma variedade de identificadores, nomes e regras que identificam esse diretório baseado em LDAP para o Serviço de Federação local. |
| Metadados de federação | O formato de dados para comunicar as informações de configuração entre um provedor de declarações e uma terceira parte confiável a fim de facilitar a configuração apropriada das relações de confiança do provedor de declarações e dos objetos de confiança de terceira parte confiável. O formato de dados é definido no SAML (Security Assertion Markup Language) 2.0 e é estendido no WS-Federation. |
| Servidor de federação | Um Windows Server que foi configurado usando o Assistente de Configuração do Servidor de Federação do AD FS para atuar na função de servidor de federação. Um servidor de federação emite tokens e serve como parte de um Serviço de Federação. |
| Proxy do servidor de federação | Um Windows Server que foi configurado usando o Assistente de Configuração de Proxy do Servidor de Federação do AD FS para atuar como um serviço proxy intermediário entre um cliente da Internet e um Serviço de Federação que está localizado atrás de um firewall em uma rede corporativa. |
| Servidor de federação primária | Um Windows Server que foi configurado na função de servidor de federação usando o Assistente de Configuração do Servidor de Federação do AD FS e tem uma cópia de leitura/gravação do banco de dados de configuração do AD FS. O servidor de federação principal é criado quando você usa o Assistente de Configuração do Servidor de Federação do AD FS e seleciona a opção para criar um novo Serviço de Federação e tornar esse computador o primeiro servidor de federação no farm. Todos os outros servidores de federação nesta fazenda devem replicar as alterações feitas no servidor de federação primário para uma cópia somente leitura do banco de dados de configuração do AD FS armazenado localmente. O termo "servidor de federação primária" não se aplica quando o banco de dados de configuração do AD FS é armazenado em um banco de dados SQL, pois todos os servidores de federação podem ler e gravar igualmente em um banco de dados de configuração armazenado em um SQL Server. |
| Parte confiadora | A organização que recebe e processa declarações. Vide “organização do parceiro de recurso”. |
| Objeto de confiança de terceira parte confiável | No snap-in Gerenciamento do AD FS, objetos de confiança da terceira parte confiável são tipicamente criados em: – Organizações do parceiro de conta, para representar a organização na relação de confiança cujas contas acessarão recursos da organização do parceiro de recurso. Um objeto de confiança de terceira parte confiável consiste em uma variedade de identificadores, nomes e regras que identificam esse parceiro ou aplicativo Web para o Serviço de Federação local. |
| Servidor de federação de recursos | O servidor de federação da organização do parceiro de recurso. O servidor de federação de recursos normalmente emite tokens de segurança para usuários com base em um token de segurança emitido por um servidor de federação de conta. O servidor recebe o token de segurança, verifica a assinatura, aplica a lógica de regra de declaração às declarações não empacotadas para produzir as declarações de saída desejadas, gera um novo token de segurança (com as declarações de saída) com base nas informações no token de segurança de entrada e assina o novo token para retornar ao usuário e, por fim, para o aplicativo Web. |
| Organização parceira de recursos | Um parceiro de federação que é representado por um objeto de confiança de terceira parte confiável no Serviço de Federação. O parceiro de recurso emite tokens de segurança baseados em declarações contendo aplicativos publicados baseados na Web, que podem ser acessados pelos usuários do parceiro de conta. |
Visão geral do AD FS
O AD FS é uma solução de acesso à identidade que fornece computadores cliente (internos ou externos à sua rede) com acesso contínuo de SSO a aplicativos ou serviços protegidos voltados para a Internet, mesmo quando as contas de usuário e os aplicativos estão localizados em redes ou organizações completamente diferentes.
Quando um aplicativo ou serviço está em uma rede e uma conta de usuário está em outra rede, normalmente o usuário é solicitado a obter credenciais secundárias quando tenta acessar o aplicativo ou o serviço. Essas credenciais secundárias representam a identidade do usuário no realm em que o aplicativo ou serviço reside. Eles geralmente são exigidos pelo servidor Web que hospeda o aplicativo ou serviço para que ele possa tomar a decisão de autorização mais apropriada.
Com o AD FS, as organizações podem ignorar solicitações de credenciais secundárias fornecendo relações de confiança (relações de confiança de federação) que essas organizações podem usar para projetar a identidade digital de um usuário e os direitos de acesso a parceiros confiáveis. Nesse ambiente federado, cada organização continua a gerenciar suas próprias identidades, mas cada organização também pode projetar e aceitar identidades de outras organizações com segurança.