Веб-агент служб федерации Active Directory - это служба роли служб федерации Active Directory, которую можно установить независимо от других служб роли служб федерации Active Directory. В результате установки службы роли «Веб-агент служб федерации Active Directory» компьютер становится веб-сервером с поддержкой служб федерации Active Directory.
Веб-серверы с поддержкой служб федерации Active Directory потребляют токены безопасности и разрешают или запрещают доступ пользователя к веб-приложению. Для выполнения этих действий должно существовать отношение между веб-сервером с поддержкой служб федерации Active Directory и службой федерации ресурсов, чтобы по мере необходимости веб-сервер мог направлять пользователя к службе федерации.
Веб-агент служб федерации Active Directory может использоваться для работы с приложениями двух типов:
- Приложения, поддерживающие утверждения. Это
приложения Microsoft ASP.NET, предназначенные для публикации
объектов служб федерации Active Directory, которые позволяют
запрашивать утверждения, содержащиеся в токенах безопасности служб
федерации Active Directory. Решения об авторизации принимаются
приложениями на основании этих утверждений.
- Приложения, использующие токены
Windows NT. Это приложения, использующие механизмы авторизации
Windows. Веб-агент служб федерации Active Directory поддерживает
преобразование токена безопасности служб федерации Active Directory
в токен доступа Windows NT® на уровне олицетворения.
Веб-сервер, поддерживающий службы федерации Active Directory, хранит также на клиентах файлы «cookie» в формате HTTP, если эти файлы «cookie» необходимы для облегчения единого входа. Веб-агент служб федерации Active Directory состоит из двух отдельных компонентов:
- Расширение для агента служб федерации Active
Directory, использующего токены Windows
- Служба проверки подлинности веб-агента служб
федерации Active Directory
Расширение для агента служб федерации Active Directory, использующего токены Windows
Расширение для агента служб федерации Active Directory, использующего токены Windows, - это расширение интерфейса приложений ISAPI, которое можно использовать для настройки информации в метабазе служб IIS. Страницы свойств URL-адрес служб федерации и Веб-агент AD FS в диспетчере служб IIS можно использовать для управления политикой и сертификатами для проверки токенов безопасности и файлов «cookie» служб федерации Active Directory.
Свойства веб-агента служб федерации Active Directory, перечисленные в приведенной ниже таблице, наследуются. Эти свойства требуются для ресурса IIS, если расширение ISAPI должно обеспечить поддержку протокола WS-F PRP.
| Свойства | Описание |
|---|---|
|
URL-адрес службы федерации |
URL-адрес службы федерации. Этот URL-адрес обязателен для запроса сведений о доверии. |
|
Путь к файлу «cookie» |
Путь, заданный при записи файла «cookie» для проверки подлинности. |
|
Домен файла «cookie» |
Домен, для которого действителен данный файл «cookie». |
|
URL-адрес возврата |
URL-адрес, по которому токен возвращается из службы федерации после проверки подлинности в службе федерации. Этот URL-адрес должен соответствовать элементу «Аудитория» токена. Проверка соответствия элементу «Аудитория» выполняется службой Windows. |
Служба проверки подлинности веб-агента служб федерации Active Directory
Служба проверки подлинности веб-агента служб федерации Active Directory осуществляет проверку подлинности входящих токенов и файлов «cookie». Она работает как локальная система, задача которой - генерировать токен либо с помощью пакета проверки подлинности служб федерации Active Directory, либо с помощью службы «сервис для пользователя» (S4U), позволяющей получить токен Windows для клиента путем предоставления имени участника-пользователя без пароля. Однако пул приложений IIS для работы в качестве локальной системы не нужен.
Служба проверки подлинности веб-агента служб федерации Active Directory содержит интерфейсы, которые могут вызываться только посредством локально-удаленного вызова процедур (LRPC), а не удаленного вызова процедур (RPC). Если эта служба принимает токен безопасности служб федерации Active Directory или файл «cookie» служб федерации Active Directory, она возвращает токен олицетворения доступа Windows NT.