[an error occurred while processing this directive] Общее представление о типах приложений для федерации AD FS

[an error occurred while processing this directive]

Определение типа федеративного приложения, которое требуется защитить с помощью доменных служб Active Directory, является частью проекта развертывания служб федерации Active Directory. Чтобы приложение было федеративным, оно должно относиться к одному из типов приложений, которые описываются в приведенных далее разделах.

Дополнительные сведения об улучшенной поддержке приложений в этой версии служб федерации Active Directory см. в статье «Что нового в службах федерации Active Directory в Windows Server 2008» (http://go.microsoft.com/fwlink/?LinkId=85684) (на английском языке).

Приложение, поддерживающее утверждения

Утверждения - это относящиеся к пользователям (и понятные обоим партнерам в службах федерации Active Directory) предложения (например, имя, удостоверение, ключ, группа, привилегия или возможность), которые используются в целях получения разрешений в приложении.

Приложение, поддерживающее утверждения, - это приложение Microsoft ASP.NET, написанное с использованием библиотеки классов служб федерации Active Directory. Приложения этого типа полностью способны использовать утверждения служб федерации Active Directory для непосредственного принятия решения об авторизации. Приложение, поддерживающее утверждения, принимает утверждения, которые служба федерации отправляет в токенах безопасности служб федерации Active Directory. Дополнительные сведения об использовании службой федерации токенов безопасности и утверждений см. в разделе Общее представление о службе роли «Служба федерации».

Сопоставление утверждений - это операция сопоставления, удаления или фильтрации либо передачи входящих утверждений в исходящие утверждения. Если утверждения отправляются в приложение, сопоставление утверждений не выполняется. Вместо этого приложению отправляются только утверждения организации, указанные администратором службы федерации у партнера по ресурсам. (Утверждения организации - это утверждения в промежуточной или нормализованной форме в пределах пространства имен организации). Дополнительные сведения об утверждениях и сопоставлении утверждений см. в разделе Общее представление об утверждениях.

В приводимом ниже списке перечислены утверждения организации, которые могут использоваться приложениями, поддерживающими утверждения.

  • Идентификационные утверждения (имя участника-пользователя, электронная почта, общее имя)

    При настройке приложения должны быть указаны идентификационные утверждения, которые будут отправляться в приложение. Сопоставление или фильтрация не выполняется.

  • Утверждения о группе

    При настройке приложения должны быть указаны утверждения о группе организации, которые будут отправляться в приложение. Утверждения о группе организации, не выбранные для отправки в приложение, будут отвергнуты.

  • Настраиваемые утверждения

    При настройке приложения должны быть указаны настраиваемые утверждения организации, которые будут отправляться в приложение. Настраиваемые утверждения организации, не выбранные для отправки в приложение, будут отвергнуты.

Авторизация, поддерживающая утверждения

Средства авторизации, поддерживающей утверждения, состоят из HTTP-модуля и объектов для запроса утверждений, передаваемых в токене безопасности служб федерации Active Directory. Авторизация, поддерживающая утверждения, применяется только в приложениях Microsoft ASP.NET.

HTTP-модуль обрабатывает сообщения по протоколу служб федерации Active Directory в соответствии с параметрами настройки в файле Web.config веб-приложения. Задачи проверки подлинности и авторизации выполняются веб-страницами. HTTP-модуль также проверяет подлинность файлов «cookie» и получает утверждения из файлов «cookie».

Приложение, использующее токены Windows NT

Приложение, использующее токены Windows NT - это приложение служб IIS, предназначенное для применения традиционных встроенных механизмов авторизации Windows. Приложение этого типа не подготовлено для потребления утверждений служб федерации Active Directory.

Приложения, использующие токены Windows NT, могут применять только пользователи Windows из локальной области или из любой области, которой доверяет локальная область, то есть только пользователи, которые могут войти на компьютер с помощью механизмов проверки подлинности на основе токенов Windows NT.

Примечание

Это означает, что в схемах федерации для проверки подлинности на основе токенов Windows NT могут потребоваться учетные записи ресурсов или группы ресурсов.

Токен безопасности служб федерации Active Directory, посылаемый агенту, использующему токены Windows NT, может содержать утверждение любого из следующих типов:

  • предназначенное для пользователя утверждение на имя участника-пользователя;

  • предназначенное для пользователя утверждение на электронную почту;

  • утверждение о группе;

  • настраиваемое утверждение для пользователя;

  • утверждение на имя участника-пользователя, на электронную почту, о группе или настраиваемое утверждение, содержащее идентификаторы безопасности для учетной записи пользователя. (Этот вариант действует, только когда включен режим Доверие Windows.)

Веб-сервер с поддержкой служб федерации Active Directory генерирует токен доступа Windows на уровне олицетворения. Токен доступа на уровне олицетворения захватывает сведения о безопасности процесса клиента, что позволяет службе «олицетворять» процесс клиента в операциях безопасности.

Для веб-приложений, использующих токены Windows NT, создание токена Windows NT определяется приводимой ниже последовательностью процессов.

  1. Если токен SAML в элементе совета SAML содержит ИД безопасности, для создания токена Windows NT используются ИД безопасности.

  2. Если токен SAML не содержит ИД безопасности, а вместо этого содержит идентификационное утверждение на имя участника-пользователя, для создания токена Windows NT используется утверждение на имя участника-пользователя.

  3. Если токен SAML не содержит ИД безопасности, а в идентификационном утверждении на электронную почту содержится идентификационное утверждение на имя участника-пользователя, оно интерпретируется как имя участника-пользователя и используется для создания токена Windows NT.

Такой порядок действует независимо от того, указано ли идентификационное утверждение на имя участника-пользователя или утверждение на электронную почту в качестве идентификационного утверждения, которое используется для создания токена Windows NT, когда в службе федерации создают запись политики доверия для веб-приложения.

Традиционная авторизация Windows

Для поддержки преобразования токена безопасности служб федерации Active Directory в токен доступа Windows NT на уровне олицетворения требуется множество компонентов.

  • Расширение программного интерфейса приложений ISAPI. Этим компонентом проверяются файлы «cookie» служб федерации Active Directory, проверяются токены безопасности, поступающие из службы федерации, выполняются перенаправления по соответствующему протоколу и записываются файлы «cookie», необходимые для работы служб федерации Active Directory.

  • Пакет проверки подлинности служб федерации Active Directory. Пакет проверки подлинности служб федерации Active Directory создает токены доступа на уровне олицетворения на основе имени участника-пользователя для учетной записи домена. Для работы пакета требуется, чтобы вызывающий объект имел привилегию TCB (Trusted Computing Base).

  • Страницы свойств Веб-агент AD FS и URL-адрес служб федерации в оснастке «Диспетчер служб IIS». Эти страницы свойств можно использовать для управления политикой и сертификатами с целью проверки токенов безопасности и файлов «cookie» служб федерации Active Directory.

  • Служба проверки подлинности веб-агента служб федерации Active Directory. Служба проверки подлинности веб-агента служб федерации Active Directory работает как локальная система, задача которой - генерировать токен с помощью либо службы «сервис для пользователя» (S4U), либо пакета проверки подлинности служб федерации Active Directory. Однако пул приложений IIS для работы в качестве локальной системы не нужен. Служба проверки подлинности веб-агента служб федерации Active Directory содержит интерфейсы, которые могут вызываться только посредством локально-удаленного вызова процедур (LRPC), а не удаленного вызова процедур (RPC). Если эта служба принимает токен безопасности или файл «cookie» служб федерации Active Directory, она возвращает токен доступа Windows NT на уровне олицетворения.

  • Фильтр ISAPI веб-агента служб федерации Active Directory. В некоторых традиционных веб-приложениях IIS используется фильтр ISAPI, который может изменить входящие данные, такие как URL-адрес. В таких случаях фильтр ISAPI веб-агента служб федерации Active Directory должен быть включен и настроен как фильтр с самым высоким приоритетом. По умолчанию этот фильтр отключен.


[an error occurred while processing this directive]