Общее представление о службах роли «Служба федерации Active Directory»

Службы федерации Active Directory (AD FS) могут работать только тогда, когда серверы под управлением Windows Server 2008 или Windows Server 2008 R2 настроены с соответствующими службами ролей AD FS. Службы ролей AD FS являются отдельными компонентами AD FS, которые устанавливаются на серверах под управлением Windows Server 2008 или Windows Server 2008 R2. С помощью мастера добавления служб ролей можно установить следующие службы ролей AD FS:

Конкретные роли сервера AD FS должны развертываться в зависимости от условий, существующих в организации. В следующих разделах описываются роли сервера, связанные с каждой из служб ролей AD FS, которые можно использовать для предоставления решения по управлению федеративной идентификацией AD FS.

Серверы федерации

На серверах федерации размещается «Служба федерации» - служба роли AD FS. Эти серверы маршрутизируют запросы на проверку подлинности, выполняемые с учетных записей пользователей в других организациях (в проектах федеративного единого входа в Интернет) или от клиентов, которые могут находиться в любом месте Интернета (в проекте с единым входом в Интернет). Дополнительные сведения о различных проектах AD FS см. в разделе Общее представление о схемах федерации.

На серверах федерации также размещается служба токенов безопасности, которая выдает токены, основанные на учетных данных (таких как имя пользователя и пароль), представляемых службе. После проверки учетных данных (посредством входа пользователя в систему) утверждения пользователя собираются путем анализа атрибутов пользователя, хранящихся в доменных службах Active Directory (Active Directory Domain Services, AD DS) или в службах Active Directory облегченного доступа к каталогам.

Дополнительные сведения о серверах федерации см. в разделе Общее представление о службе роли «Служба федерации».

Прокси-серверы федерации

На прокси-серверах федерации размещается «Прокси-агент службы федерации» - служба роли AD FS. Прокси-серверы федерации можно развернуть в организации по периметру сети (также известному как демилитаризованная зона, экстрасеть или экранированная подсеть) для пересылки запросов на серверы федерации, к которым нет доступа из Интернета.

Примечание

Хотя можно развертывать отдельные серверы для размещения службы роли «Прокси-агент службы федерации», нет необходимости в развертывании отдельного сервера, который бы действовал как прокси-сервер федерации в лесу интрасети партнера по учетным записям или партнера по ресурсам. Эту роль сервер федерации выполняет автоматически.

Дополнительные сведения о прокси-серверах федерации см. в разделе Общее представление о службе роли «Прокси-агент службы федерации».

Веб-серверы с поддержкой AD FS

Веб-серверы, на которых размещается служба роли «Веб-агент AD FS», поддерживающая утверждения или использующая токены Windows, называются веб-серверами с поддержкой AD FS. Эти серверы предоставляют безопасный доступ к веб-приложениям, которые размещаются на этих веб-серверах. Веб-агент AD FS управляет токенами безопасности и файлами «cookie» проверки подлинности, которые посылаются на веб-сервер с поддержкой AD FS. Чтобы все токены проверки подлинности поступали из службы федерации, необходимо наличие отношения между веб-сервером с поддержкой AD FS и службой федерации.

Дополнительные сведения о веб-серверах с поддержкой AD FS см. в разделе Общее представление о службе роли «Веб-агент служб федерации Active Directory».