身分識別委派是什麼?
身分識別委派是 Active Directory 同盟服務 (AD FS) 的一項功能,可讓系統管理員指定的帳戶模擬使用者。 假冒使用者的帳戶稱為委派。 若有許多分散式應用程式,且必須針對原始要求的授權鏈結中的每個應用程式、資料庫或服務循序執行一系列存取控制檢查,則此委派功能相當重要。 在許多真實世界案例中,Web 應用程式「前端」必須從更安全的「後端」擷取資料,例如連接到 Microsoft SQL Server 資料庫的 Web 服務。
例如,現有的零件訂購網站可藉由程式設計強化,可讓夥伴組織檢視他們自己的購買記錄和帳戶狀態。 基於安全性理由,所有夥伴的財務資料都會儲存於專用的結構化查詢語言 (SQL) 伺服器的安全資料庫中。 在此情況下,前端應用程式中的程式碼完全不知道夥伴組織的財務資料。 因此,它必須從另一部電腦擷取該資料,該電腦位於裝載 (在此情況下) 零件資料庫 (後端) 之 Web 服務的網路上。
為了成功執行此數據擷取過程,必須在 Web 應用程式與零件數據庫的 Web 服務之間進行某些授權「握手」,如下圖所示。
由於原始要求是對 Web 伺服器本身提出 (可能位於嘗試存取 Web 伺服器之使用者的組織以外的完全不同組織中),因此連同要求一起傳送的安全性權杖不符合授權準則,以致於無法存取 Web 伺服器以外的任何其他電腦。 因此,可以滿足原始使用者要求的唯一方法是:將中繼的同盟伺服器放在資源夥伴組織中,協助重新發出具有適當存取權限的安全性權杖。
身份委派如何運作?
多層式應用程式架構中的 Web 應用程式通常會呼叫 Web 服務來存取通用資料或功能。 這些 Web 服務必須知道原始使用者的身分識別,服務才能做出授權決策並進行稽核。 在此情況下,前端 Web 應用程式作為代理,代表使用者與 Web 服務進行互動。 AD FS 允許 Active Directory 帳戶作為另一個信賴方的使用者,從而實現此案例。 下圖顯示了身分代理案例。
Frank 嘗試從另一個組織的 Web 應用程式中存取零件訂購歷程記錄。 他的用戶端電腦向 AD FS 要求並接收權杖,用於前端零件訂購的 Web 應用程式。
用戶端電腦將請求傳送至 Web 應用程式,並附上在步驟 1 所取得的權杖,以證明用戶端的身分識別。
Web 應用程式需要與 Web 服務溝通,才能完成其與用戶端的交易。 Web 應用程式連絡 AD FS,取得與 Web 服務互動的委派權杖。 委任權杖是安全權杖,用於發行給代理人,以代表使用者行事。 AD FS 針對 Web 服務,傳回包含用戶端相關宣告的委派權杖。
Web 應用程式會使用在步驟 3 從 AD FS 取得的權杖,以存取做為用戶端的 Web 服務。 藉由檢查委派權杖,Web 服務可判斷 Web 應用程式是否做為用戶端。 Web 服務執行其授權原則、記錄要求,並將 Frank 原始要求的所需零件歷程記錄資料,提供給 Web 應用程式及 Frank。
針對特定的委派,AD FS 可以限制 Web 應用程式能向哪些 Web 服務申請委派權杖。 用戶端電腦不需要 Active Directory 帳戶就能完成此作業。 最後,如先前所述,Web 服務可輕鬆地判斷做為使用者之委派的身分識別。 這可讓 Web 服務根據它們是直接連繫用戶端電腦,還是透過委派連繫,從而展現不同的行為。
設定 AD FS 以進行身分識別委派
每當您需要促進資料擷取程序時,您可以使用 AD FS 管理嵌入式管理單元為身分識別委派設定 AD FS。 設定之後,AD FS 可以產生新的安全性權杖,這些權杖會包含授權內容,而後端服務可能需要該內容以提供存取受保護資料的權限。
AD FS 不限制可以被模擬的使用者。 設定身分識別委派的 AD FS 後,它會執行下列工作:
它會決定哪些伺服器可以被授權以請求權杖來模擬使用者的身份。
它會建立並分開保留客戶帳號的身份上下文和充當委派伺服器的身份上下文。
您可以在 AD FS 管理嵌入式模組中,將委派授權規則新增至信賴方信任,來設定身分識別委派。 如需做法詳細資訊,請參閱< Checklist: Creating Claim Rules for a Relying Party Trust>。
設定身分識別委派的前端 Web 應用程式
開發人員可使用幾個選項來適當地設計 Web 前端應用程式或服務的程式,將委派要求重新導向至 AD FS 電腦。 如需如何自訂 Web 應用程式來使用身分識別委派的詳細資訊,請參閱 Windows Identity Foundation SDK。