Общее представление о службе роли «Веб-агент служб федерации Active Directory»

Веб-агент служб федерации Active Directory - это служба роли служб федерации Active Directory, которую можно установить независимо от других служб роли служб федерации Active Directory. В результате установки службы роли «Веб-агент служб федерации Active Directory» компьютер становится веб-сервером с поддержкой служб федерации Active Directory.

Веб-серверы с поддержкой служб федерации Active Directory потребляют токены безопасности и разрешают или запрещают доступ пользователя к веб-приложению. Для выполнения этих действий должно существовать отношение между веб-сервером с поддержкой служб федерации Active Directory и службой федерации ресурсов, чтобы по мере необходимости веб-сервер мог направлять пользователя к службе федерации.

Веб-агент служб федерации Active Directory может использоваться для работы с приложениями двух типов:

Веб-сервер, поддерживающий службы федерации Active Directory, хранит также на клиентах файлы «cookie» в формате HTTP, если эти файлы «cookie» необходимы для облегчения единого входа. Веб-агент служб федерации Active Directory состоит из двух отдельных компонентов:

Расширение для агента служб федерации Active Directory, использующего токены Windows

Расширение для агента служб федерации Active Directory, использующего токены Windows, - это расширение интерфейса приложений ISAPI, которое можно использовать для настройки информации в метабазе служб IIS. Страницы свойств URL-адрес служб федерации и Веб-агент AD FS в диспетчере служб IIS можно использовать для управления политикой и сертификатами для проверки токенов безопасности и файлов «cookie» служб федерации Active Directory.

Свойства веб-агента служб федерации Active Directory, перечисленные в приведенной ниже таблице, наследуются. Эти свойства требуются для ресурса IIS, если расширение ISAPI должно обеспечить поддержку протокола WS-F PRP.

Свойства Описание

URL-адрес службы федерации

URL-адрес службы федерации. Этот URL-адрес обязателен для запроса сведений о доверии.

Путь к файлу «cookie»

Путь, заданный при записи файла «cookie» для проверки подлинности.

Домен файла «cookie»

Домен, для которого действителен данный файл «cookie».

URL-адрес возврата

URL-адрес, по которому токен возвращается из службы федерации после проверки подлинности в службе федерации. Этот URL-адрес должен соответствовать элементу «Аудитория» токена. Проверка соответствия элементу «Аудитория» выполняется службой Windows.

Служба проверки подлинности веб-агента служб федерации Active Directory

Служба проверки подлинности веб-агента служб федерации Active Directory осуществляет проверку подлинности входящих токенов и файлов «cookie». Она работает как локальная система, задача которой - генерировать токен либо с помощью пакета проверки подлинности служб федерации Active Directory, либо с помощью службы «сервис для пользователя» (S4U), позволяющей получить токен Windows для клиента путем предоставления имени участника-пользователя без пароля. Однако пул приложений IIS для работы в качестве локальной системы не нужен.

Служба проверки подлинности веб-агента служб федерации Active Directory содержит интерфейсы, которые могут вызываться только посредством локально-удаленного вызова процедур (LRPC), а не удаленного вызова процедур (RPC). Если эта служба принимает токен безопасности служб федерации Active Directory или файл «cookie» служб федерации Active Directory, она возвращает токен олицетворения доступа Windows NT.

См. также