При работе со службой федерации Active Directory (ADFS) используется терминология из нескольких разных технологий, включая службы сертификатов, службы IIS, доменные службы Active Directory (AD DS), службы Active Directory облегченного доступа к каталогам и веб-службы (WS-*). Эти термины описаны в следующей таблице.
Термин | Свойства |
---|---|
Сервер федерации учетных записей |
Сервер федерации, который находится в корпоративной сети организации партнера по учетным записям. Сервер федерации учетных записей выдает пользователям токены безопасности на основе проверки подлинности пользователей. Этот сервер проверяет подлинность пользователя, извлекает из хранилища учетных записей соответствующие атрибуты и сведения о членстве в группе, создает и подписывает токен безопасности для возврата пользователю, который использует его в собственной организации или отсылает в организацию партнера. |
Прокси-сервер федерации учетных записей |
Прокси-сервер федерации, который находится в демилитаризованной зоне организации партнера по учетным записям. Прокси-сервер федерации учетных записей собирает учетные данные для проверки подлинности от клиента, вошедшего в систему через Интернет (или из демилитаризованной зоны), и передает эти учетные данные на сервер федерации учетных записей. |
Партнер по учетным записям |
Партнер федерации, у которого установлены доверительные отношения со службой федерации для предоставления токенов безопасности ее пользователям (то есть, пользователям в организации партнера по учетным записям), чтобы они могли получать доступ к веб-приложениям у партнера по ресурсам. |
Службы федерации Active Directory (AD FS) |
Компонент в Windows Server 2003 R2, Windows Server 2008 и Windows Server 2008 R2, который обеспечивает технологию единого входа (single-sign-on, SSO) для проверки подлинности пользователя в нескольких веб-приложениях в течение всего сетевого сеанса. В AD FS это достигается путем безопасного использования общего ресурса цифровых учетных данных, а также прав внутри границ организации и области безопасности и за их пределами. Службы AD FS поддерживают спецификацию профиля пассивной запрашивающей стороны федерации веб-служб (WS-Federation Passive Requestor Profile, WS-F PRP). |
Веб-агент служб федерации Active Directory |
Устанавливаемая служба роли AD FS, которая используется для создания веб-сервера с поддержкой AD FS. Веб-агент служб федерации Active Directory принимает входящие токены безопасности и файлы Cookie проверки подлинности, подписанные действующим сервером федерации, чтобы разрешить или запретить доступ пользователя к защищенному приложению, принимая во внимание параметры управления доступом для конкретного приложения. |
Веб-сервер, поддерживающий службы федерации Active Directory |
Веб-сервер, работающий под управлением Windows Server 2003 R2, Windows Server 2008 или Windows Server 2008 R2, который настроен с соответствующим программным обеспечением веб-агента служб федерации Active Directory (агента, поддерживающего утверждения, или агента, поддерживающего токены Windows), необходимого для проверки подлинности и разрешения федеративного доступа к локально размещенным веб-приложениям. |
Утверждение |
Сообщение о клиенте (например, имя, удостоверение, ключ, группа, привилегия или способность), которое создает сервер. |
Приложение, поддерживающее утверждения |
Приложение Microsoft ASP.NET, выполняющее авторизацию в соответствии с утверждениями, которые содержатся в токене безопасности AD FS. |
Сопоставление утверждений |
Операция сопоставления, удаления или фильтрации либо передачи утверждений между различными наборами утверждений. |
Клиентская Веб-страница обнаружения партнера по учетным записям |
Веб-страница, используемая для взаимодействия с пользователем с целью определения партнера по учетным записям, к которому относится пользователь, когда службы AD FS не могут автоматически определить, какой из партнеров по учетным записям должен проверить подлинность пользователя. |
Сертификат проверки подлинности клиента |
Сертификат в службах федерации Active Directory, который прокси-серверы федерации используют для проверки подлинности клиента в службе федерации. |
Клиентская веб-страница выхода |
Веб-страница, которая открывается для обеспечения визуального подтверждения пользователю о его выходе из системы, когда службы AD FS выполняют операцию выхода из системы. |
Клиентская веб-страница входа |
Веб-страница, открываемая для взаимодействия с пользователем, когда службы AD FS собирают учетные данные клиента. Для определения типа собираемых учетных данных на клиентской веб-странице входа может использоваться любая необходимая деловая логика. |
Федеративное приложение |
Веб-приложение, поддерживающее службы федерации Active Directory, благодаря чему федеративные пользователи могут получать доступ к этому приложению. |
Федеративный пользователь |
Пользователь, учетная запись которого находится в организации партнера по учетным записям и который имеет доступ к федеративным приложениям, находящимся в организации партнера по ресурсам. |
Федерация |
Пара сфер или доменов, которые установили между собой доверие федерации. |
Сервер федерации |
Компьютер, работающий под управлением Windows Server 2003 R2, Windows Server 2008 или Windows Server 2008 R2, который настроен для размещения компонента «Служба федерации» служб AD FS. Серверы федерации могут использоваться для проверки подлинности или маршрутизации запросов от учетных записей пользователей в других организациях и от клиентов, которые могут располагаться где угодно в Интернете. |
Прокси-сервер федерации |
Компьютер, работающий под управлением Windows Server 2003 R2, Windows Server 2008 или Windows Server 2008 R2, который настроен для размещения компонента «Прокси-агент службы федерации» служб AD FS. Прокси-серверы федерации предоставляют службы промежуточных агентов между интернет-клиентом и сервером федерации, который находится за брандмауэром в корпоративной сети. |
Служба федерации |
Устанавливаемая служба роли AD FS, которая используется для создания сервера федерации. Когда служба федерации установлена, она предоставляет токены в ответ на запросы о токенах безопасности. Для обеспечения отказоустойчивости и балансировки нагрузки одиночной службы федерации могут настраиваться несколько серверов федерации. |
Прокси-агент службы федерации |
Устанавливаемая служба роли AD FS, которая используется для создания прокси-сервера федерации. Когда служба роли «Прокси-агент службы федерации» установлена, она использует протоколы пассивной запрашивающей стороны федерации веб-служб (WS-Federation Passive Requestor Protocol, WS-F PRP) для сбора сведений об учетных данных пользователей от браузеров и веб-приложений клиентов и отправки информации от их имени в службу федерации. |
Утверждения организации |
Утверждения в промежуточной или нормализованной форме в пределах пространства имен организации. |
Пассивный клиент |
Браузер, который поддерживает широко применяемый протокол HTTP (Hypertext Transfer Protocol) и может использовать файлы «cookie». Службы AD FS в Windows Server 2003 R2, Windows Server 2008 и Windows Server 2008 R2 поддерживают только пассивные клиенты, что отвечает спецификации WS-F PRP. |
Учетная запись ресурса |
Одиночный субъект безопасности (обычно учетная запись пользователя), который создается в доменных службах Active Directory (AD DS) и используется для сопоставления с одиночным федеративным пользователем. Учетная запись ресурса необходима, когда объединяют приложения, использующие токены Windows NT, так как агент, использующий токены Windows, должен ссылаться на субъекта безопасности Active Directory в лесу партнера по ресурсам, чтобы создать токен доступа Windows NT и таким образом принудительно установить разрешения управления доступом для приложения. |
Сервер федерации ресурсов |
Сервер федерации в организации партнера по ресурсам. Сервер федерации ресурсов обычно выдает пользователям токены безопасности на основе токена безопасности, который выдается сервером федерации учетных записей. Сервер
|
Прокси-сервер федерации ресурсов |
Прокси-сервер федерации, который находится в демилитаризованной зоне организации партнера по ресурсам. Прокси-сервер федерации ресурсов выполняет обнаружение партнера по учетным записям для клиентов Интернета, и он перенаправляет входящие токены безопасности на сервер федерации ресурсов. |
Группа ресурсов |
Одиночная группа безопасности, которая создается в доменных службах Active Directory (AD DS) и с которой сопоставляются входящие утверждения о группах (утверждения о группах AD FS от партнера по учетным записям). После сопоставления федеративных пользователей с группой ресурсов веб-серверы с поддержкой AD FS могут выполнять проверку подлинности для приложений, использующих токены Windows NT, на основе прав доступа, которые назначены идентификатору безопасности группы ресурсов. |
Партнер по ресурсам |
Федеративный партнер, доверяющий службе федерации выдачу токенов безопасности на основе утверждений для веб-приложений (то есть, приложениям в организации партнера по ресурсам), к которым пользователи могут получить доступ у партнера по учетным записям. |
токен безопасности |
Единица данных, подписанная криптографическим ключом, которая выражает одно или несколько утверждений. В службах федерации Active Directory (AD FS) подписанный токен безопасности показывает, что сервер федерации, который выдает токен безопасности, успешно проверил подлинность федеративного пользователя. |
Служба токенов безопасности (STS) |
Веб-служба, которая создает токены безопасности. Служба STS создает утверждения в соответствии с данными, которым она доверяет, для всех потребителей, которые ей доверяют (или для определенных получателей). Для реализации доверия служба требует доказательства (например, в виде подписи) осведомленности о токене безопасности или наборе токенов безопасности. Служба может либо создавать токены сама, либо поручить другой STS создавать токен безопасности с ее собственным утверждением доверия. Таким образом формируется основа брокерских отношений доверия. В AD FS службой STS является служба федерации. |
Сертификат проверки подлинности сервера |
Веб-серверы с поддержкой AD FS, серверы федерации и прокси-серверы федерации используют сертификаты проверки подлинности сервера с целью защиты трафика веб-служб для взаимодействия между собой и с веб-клиентами. |
Ферма серверов |
В AD FS - коллекция серверов федерации, прокси-серверов федерации или веб-серверов со сбалансированной загрузкой, применяющих веб-агент AD FS. |
Единый вход (SSO) |
Оптимизация последовательности проверки подлинности с целью исключения повторяемых действий входа в систему пользователем. |
Сертификат для подписи токена |
Сертификат X509, связанная пара открытого и закрытого ключей которого используется серверами федерации для цифровой подписи всех токенов безопасности, создаваемых серверами федерации. |
Универсальный код ресурса (URI) |
Компактная строка символов, которая определяет абстрактный ресурс или физический ресурс. URI описываются в документе RFC 2396 (http://go.microsoft.com/fwlink/?LinkId=48289). В AD FS коды URI используются для уникальной идентификации партнеров и хранилищ учетных записей. |
Сертификат проверки |
Сертификат, представляющий часть, относящуюся к открытому ключу, в сертификате для подписи токена. Сертификат проверки хранится в политике доверия и используется сервером федерации в одной организации, чтобы проверить, что входящие токены безопасности выпущены действующими серверами федерации в ферме организации и в других организациях. |
Веб-службы (WS-*) |
Спецификации для архитектуры веб-служб, базирующиеся на промышленных стандартах, таких как SOAP (Simple Object Access Protocol), XML, WSDL (Web Service Description Language) и UDDI (Universal Description, Discovery and Integration). Веб-службы WS-* обеспечивают основу для создания полнофункциональных, межплатформенных бизнес-решений для больших предприятий, включая возможность управления федеративной идентификацией и безопасностью. Модель веб-служб основана на предпосылке, что производственные системы пишутся на разных языках, в них реализуются разные программные модели, они работают на устройствах многих разных типов и к ним обращаются с устройств многих разных типов. Веб-службы - средства построения распределенных систем, которые могут легко и эффективно связываться и взаимодействовать друг с другом через Интернет, независимо от того, на каком языке они написаны и на какой платформе они работают. |
Безопасность веб-служб (WS-Security) |
Ряд спецификаций, в которых описывается порядок присоединения подписей и шифрованных заголовков к сообщениям SOAP. Кроме того, WS-Security определяет, как присоединять к сообщениям токены безопасности, включая двоичные токены безопасности, такие как сертификаты X.509 и билеты Kerberos. В AD FS WS-Security используется, когда Kerberos подписывает токены безопасности. |
Приложение, использующее токены Windows NT |
Приложение Windows, в котором для выполнения авторизации пользователей используется токен Windows NT. |
WS-Federation |
Спецификация, определяющая модель и набор сообщений для брокерского отношения доверия, а также для федерации сведений об идентификации и проверке подлинности в различных сферах доверия. Спецификация WS-Federation определяет два источника идентификации и запросов проверки подлинности в сферах доверия:
|
Профиль пассивных запросов федерации веб-служб (WS-F PRP) |
Реализация спецификации WS-Federation, которая предлагает стандартный протокол для применения рабочей среды федерации пассивными клиентами (такими как браузеры). Согласно этому протоколу, инициаторы запроса веб-службы должны допускать применение новых механизмов безопасности и быть способными взаимодействовать с поставщиками веб-службы. |