Understanding Key AD FS Concepts

建议了解Active Directory 联合身份验证服务的重要概念,并熟悉其功能集。

提示

可以在 “了解关键 AD FS 概念”中找到其他 AD FS 资源链接。

本指南中使用的 AD FS 术语

AD FS 术语 定义
帐户伙伴组织 由联合身份验证服务中的声明提供方信任表示的联合身份验证伙伴组织。 帐户伙伴组织包含将访问资源伙伴中基于 Web 的应用程序的用户。
帐户联合服务器 帐户伙伴组织中的联合服务器。 帐户联合服务器基于用户身份验证向用户颁发安全令牌。 服务器对用户进行身份验证、从属性存储中提取相关的特性和组成员身份信息、将此信息打包在声明中,并生成和签名安全令牌(其中包含声明)以返回给用户(在自己的组织中使用,或者发送到伙伴组织)。
AD FS 配置数据库 用于存储所有表示单个 AD FS 实例或联合身份验证服务的配置数据的数据库。 此配置数据可以存储在SQL Server数据库中,也可以使用Windows Server 2016、Windows Server 2012和 2012 R2 随附的Windows 内部数据库功能,以及 Windows Server 2008 和 2008 R2。

可以使用Fsconfig.exe命令行工具和 AD FS 联合服务器配置向导为Windows 内部数据库创建用于SQL Server的 AD FS 配置数据库。
声明提供程序 向其用户提供声明的组织。 请参阅帐户伙伴组织。
声明提供方信任 在 AD FS 管理单元中,声明提供程序信任是通常在资源伙伴组织中创建的信任对象,以表示其帐户将访问资源伙伴组织中的资源的信任关系中的组织。 声明提供方信任对象包含各种标识符、名称和用于在本地联合身份验证服务中标识此伙伴的规则。
本地声明提供程序信任 一个表示 AD LDS 或 AD FS 场中基于第三方 LDAP 的目录的信任对象。 本地声明提供程序信任对象包含各种标识符、名称和用于在本地联合身份验证服务中标识此基于 LDAP 的目录的规则。
联合元数据 用于在声明提供方和信赖方之间通信配置信息,以便正确配置声明提供方信任和信赖方信任的数据格式。 数据格式以安全声明标记语言 (SAML) 2.0 定义,并且通过 WS 联合身份验证得以扩展。
联合服务器 已使用 AD FS 联合服务器配置向导配置的Windows服务器,用于充当联合服务器角色。 联合服务器颁发令牌并充当联合身份验证服务的一部分。
联合服务器代理 已使用 AD FS 联合服务器代理配置向导配置的Windows服务器充当 Internet 客户端与位于公司网络上防火墙后面的联合身份验证服务的中间代理服务。
主联合服务器 使用 AD FS 联合服务器配置向导在联合服务器角色中配置的Windows服务器,并且具有 AD FS 配置数据库的读/写副本。

使用 AD FS 联合服务器配置向导时,会创建主联合服务器,并选择一个新的联合身份验证服务,并使该计算机成为场中的第一个联合服务器。 此服务器场中的所有其他联合服务器必须将主联合服务器上所做的任何更改复制到它们在本地存储的 AD FS 配置数据库的只读副本。 当 AD FS 配置数据库存储在SQL数据库中时,术语“主联合服务器”不适用,因为所有联合服务器可以同样读取和写入存储在SQL Server上的配置数据库。
信赖方 接收和处理声明的组织。 请参阅资源伙伴组织。
信赖方信任 在 AD FS 管理单元中,信赖方信任是通常在以下环境中创建的信任对象:

- 帐户合作伙伴组织,表示信任关系中的组织,其帐户将访问资源伙伴组织中的资源。
- 用于表示联合身份验证服务与单个基于 Web 的应用程序之间的信任的资源合作伙伴组织。

信赖方信任对象包含各种标识符、名称和用于在本地联合身份验证服务中标识此伙伴或 Web 应用程序的规则。

资源联合服务器 资源伙伴组织中的联合服务器。 资源联合服务器通常基于由帐户联合服务器颁发的安全令牌来向用户颁发安全令牌。 该服务器接收安全令牌、验证签名、将声明规则逻辑应用到未打包的声明以产生所需的传出声明,基于传入安全令牌中的信息生成新的安全令牌(具有传出声明),并签署新的安全令牌以返回到用户并最终返回到 Web 应用程序。
资源伙伴组织 由联合身份验证服务中的信赖方信任表示的联合身份验证伙伴。 资源伙伴颁发基于声明的安全令牌,其中包含已发布的基于 Web 的应用程序,帐户伙伴中的用户可以访问这些应用程序。

AD FS 概述

AD FS 是一种标识访问解决方案,可将客户端计算机 (网络内部或外部) 与受保护的面向 Internet 的应用程序或服务无缝 SSO 访问,即使用户帐户和应用程序位于完全不同的网络或组织中也是如此。

当应用程序或服务在一个网络中,而用户帐户处于另一个网络中时,用户尝试访问应用程序或服务时通常会被提示输入辅助凭据。 这些辅助凭据表示应用程序或服务所驻留的领域中的用户身份。 托管应用程序或服务的 Web 服务器通常需要使用它们,以便该服务器可以做出最适当的授权决策。

借助 AD FS,组织可以通过提供信任关系来绕过辅助凭据的请求, (联合信任) 这些组织可用于投影用户的数字标识和对受信任合作伙伴的访问权限。 在此联合环境中,每个组织继续管理自己的标识,但每个组织还可以安全地投影和接受来自其他组织的标识。