Общие сведения о ключевых понятиях AD FS
Рекомендуется узнать о важных понятиях для службы федерации Active Directory (AD FS) и ознакомиться с его набором функций.
Совет
Дополнительные ссылки на ресурсы AD FS можно найти в основных понятиях AD FS.
Термины AD FS, употребляемые в этом руководстве
| Термин AD FS | Определение |
|---|---|
| Партнерская организация по учетным записям | Партнерская организация по федерации, представляемая в службе федерации отношениями доверия поставщика утверждений. Партнерская организация по учетным записям содержит данные пользователей, которые будут осуществлять доступ к веб-приложениям от партнера по ресурсам. |
| Сервер федерации учетных записей. | Сервер федерации в партнерской организации по учетным записям. Сервер федерации по учетным записям издает маркеры безопасности пользователям на основе аутентификации пользователей. Сервер выполняет аутентификацию пользователя, извлекает соответствующие атрибуты и сведения о членстве в группах из хранилища атрибутов, упаковывает эту информацию в утверждения, создает и подписывает маркер безопасности (который содержит утверждения), чтобы вернуть их пользователю для использования в его собственной организации или отправки в партнерскую организацию. |
| База данных конфигурации AD FS | База данных, используемая для хранения всех данных конфигурации, которые представляют отдельный экземпляр AD FS или службу федерации. Эти данные конфигурации можно хранить в базе данных SQL Server или с помощью функции внутренняя база данных Windows, включенной в Windows Server 2016, Windows Server 2012 и 2012 R2 и Windows Server 2008 и 2008 R2. Базу данных конфигурации AD FS для SQL Server можно создать с помощью средства командной строки Fsconfig.exe и для внутренняя база данных Windows с помощью мастера настройки сервера федерации AD FS. |
| Поставщик утверждений | Организация, поставляющая утверждения своим пользователям. См. партнерскую организацию по учетным записям. |
| Отношения доверия с поставщиком утверждений | В оснастке управления AD FS доверие поставщика утверждений — это объекты доверия, которые обычно создаются в партнерских организациях ресурсов, чтобы представлять организацию в отношениях доверия, учетные записи которых будут получать доступ к ресурсам в партнерской организации ресурсов. Объект доверия поставщика утверждений состоит из разных идентификаторов, имен и правил, идентифицирующих этого партнера в локальной службе федерации. |
| Отношения доверия с локальным поставщиком утверждений | Объект доверия, представляющий AD LDS или сторонние каталоги на основе LDAP в ферме AD FS. Объект доверия локального поставщика утверждений состоит из разных идентификаторов, имен и правил, идентифицирующих этого партнера на основе LDAP в локальной службе федерации. |
| Метаданные федерации | Формат данных для передачи сведений о конфигурации между поставщиком утверждений и проверяющей стороной с целью правильной настройки отношений доверия поставщика утверждений и отношений доверия проверяющих сторон. Формат данных определяется на языке SAML 2.0 и расширяется в WS-Federation. |
| Сервер федерации | Сервер Windows Server, настроенный с помощью мастера настройки сервера федерации AD FS для выполнения действий в роли сервера федерации. Сервер федерации издает маркеры и функционирует как часть службы федерации |
| Прокси-сервер федерации | Windows Server, настроенный с помощью мастера настройки прокси-сервера федерации AD FS, выступает в качестве промежуточной прокси-службы между клиентом Интернета и службой федерации, расположенной за брандмауэром в корпоративной сети. |
| Основной сервер федерации | Windows Server, настроенный в роли сервера федерации с помощью мастера настройки сервера федерации AD FS, и имеет копию базы данных конфигурации AD FS. Сервер основной федерации создается при использовании мастера настройки сервера федерации AD FS и выбора параметра для создания новой службы федерации и создания этого компьютера первого сервера федерации в ферме. Все остальные серверы федерации на этой ферме должны реплицировать изменения, внесенные на основном сервере федерации, в копию базы данных конфигурации AD FS с возможностью чтения и записи, которая хранится локально. Термин "основной сервер федерации" не применяется, если база данных конфигурации AD FS хранится в базе данных SQL, так как все серверы федерации могут одинаково считывать и записывать данные в базу данных конфигурации, хранящуюся в SQL Server. |
| Проверяющая сторона | Организация, получающая и обрабатывающая утверждения. См. партнерскую организацию по ресурсам. |
| Отношения доверия с проверяющей стороной | В оснастке управления AD FS доверие проверяющей стороны обычно создаются в следующих объектах: — Учетные записи партнерских организаций, которые представляют организацию в отношениях доверия, учетные записи которых будут получать доступ к ресурсам в партнерской организации ресурсов. Объект доверия проверяющей стороны состоит из разных идентификаторов, имен и правил, идентифицирующих этого партнера или веб-приложение в локальной службе федерации. |
| Сервер федерации ресурсов | Сервер федерации в партнерской организации по ресурсам. Сервер федерации ресурсов, как правило, издает маркеры безопасности пользователям на основании маркера безопасности, изданного сервером федерации учетных записей. Сервер получает маркер безопасности, проверяет подпись, применяет логику правил утверждений к нераспакованным утверждениям, чтобы получить нужные исходящие утверждения, создает новый маркер безопасности (с исходящими утверждениями) на основании информации из входящего маркера безопасности и подписывает новый маркер для возвращения пользователю и в конечном счете веб-приложению. |
| Партнерская организация по ресурсам | Партнер по федерации, представляемый в службе федерации отношениями доверия с проверяющей стороной. Партнер по ресурсам издает маркеры безопасности на базе утверждений, которые содержат опубликованные веб-приложения, доступные пользователям партнера по учетным записям. |
Обзор AD FS
AD FS — это решение для доступа к удостоверениям, которое предоставляет клиентские компьютеры (внутренние или внешние сети) с простым единым входом для защищенных приложений или служб, подключенных к Интернету, даже если учетные записи пользователей и приложения находятся в совершенно разных сетях или организациях.
Если приложение или служба находятся в одной сети, а учетная запись пользователя — в другой, пользователю, как правило, приходится вводить дополнительные учетные данные при попытке доступа к приложению или службе. Эти дополнительные учетные данные представляют удостоверение пользователя в области нахождения приложения или службы. Их ввода обычно требует веб-сервер, на котором размещено приложение или служба, для принятия наиболее взвешенного решения об авторизации.
С помощью AD FS организации могут обходить запросы на вторичные учетные данные, предоставляя отношения доверия (доверия федерации), которые эти организации могут использовать для проецирования цифрового удостоверения пользователя и доступа к доверенным партнерам. В федерированной среде каждая организация управляет своими собственными удостоверениями. При этом каждая может безопасно проецировать и принимать удостоверения от других организаций.