Служба AD FS (Active Directory Federation Services) поддерживает проекты федеративной идентификации (ранее упоминавшиеся как сценарии федерации), которые используют спецификации федерации веб-служб (Web Services Federation), профиля пассивной запрашивающей стороны федерации веб-служб (WS-Federation Passive Requestor Profile) и профиля взаимодействия пассивной запрашивающей стороны федерации веб-служб (WS-Federation Passive Requestor Interoperability Profile). Службы AD FS помогают администраторам в решении задач управления федеративной идентификацией, предоставляя для организаций возможности безопасного обмена сведениями об идентификации пользователей через федеративные доверительные отношения. Следующие три описания проектов развертывания демонстрируют, как можно использовать комбинацию ролей сервера AD FS для объединения идентификационных данных в зависимости от потребностей организации. Дополнительные сведения о различных ролях сервера см. в разделе Общее представление о службах роли «Служба федерации Active Directory».
Федеративная веб-служба SSO
В проекте федеративной веб-службы SSO (Single Sign-On) используется безопасное взаимодействие, которое часто охватывает помимо всей инфраструктуры маршрутизации Интернета множество брандмауэров, демилитаризованных зон и серверов разрешения имен. Взаимодействие через среду федеративной веб-службы SSO может помочь формированию более эффективных и безопасных интерактивных операций между организациями, объединенными доверительными отношениями федерации.
Как показано на следующем рисунке, доверительные отношения федерации могут устанавливаться между двумя коммерческими компаниями. В этом проекте серверы федерации выполняют маршрутизацию запросов проверки подлинности от пользовательских учетных записей в компании «Tailspin Toys» к веб-приложениям, расположенным в сети компании «Online Retailer».
Серверы федерации проверяют подлинность запросов от доверенных партнеров на основе учетных данных этих партнеров. Обмен представлениями учетных данных осуществляется в форме токенов безопасности.
В целях повышения безопасности могут применяться прокси-серверы федерации для ретрансляции запросов на серверы федерации, к которым отсутствует прямой доступ из Интернета.
Федеративная веб-служба SSO с доверием лесов
Как показано на следующем рисунке, в проекте федеративной веб-службы SSO с доверием лесов используются два леса Active Directory в одной организации. Один из лесов находится на границе сети (известной также под названием демилитаризованной зоны, экстрасети или экранированной подсети) организации. Другой лес находится во внутренней сети. Устанавливается однонаправленное доверие лесов, чтобы лес в демилитаризованной зоне доверял лесу во внутренней сети. Серверы федерации развертываются в обеих сетях. Доверительное отношение федерации устанавливается с тем, чтобы учетные записи во внутреннем лесу могли использоваться для доступа к веб-приложению в демилитаризованной зоне независимо от того, получают ли учетные записи доступ к сайту из леса интрасети или из Интернета.
В этом проекте внешние пользователи, такие как клиенты, могут получать доступ к веб-приложению путем проверки подлинности на внешнем сервере федерации учетных записей, который находится в демилитаризованной зоне. Учетные записи внешних пользователей находятся в лесу Active Directory пограничной сети. Внутренние пользователи, такие как сотрудники организации, могут получать доступ к веб-приложению путем проверки подлинности на внутреннем сервере федерации учетных записей, который находится во внутренней сети. Учетные записи внутренних пользователей находятся в лесу Active Directory внутренней сети.
Если веб-приложением является приложение, использующее токены Windows NT, то веб-агент AD FS, запущенный на сервере веб-приложений, перехватывает запросы и создает токены безопасности Windows NT, которые необходимы веб-приложению для проведения авторизации. Для внешних пользователей это возможно, поскольку веб-сервер с поддержкой AD FS, на котором размещено приложение, использующее токены Windows NT, входит в домен во внешнем лесу. Для внутренних пользователей эта возможность обеспечивается через доверительное отношение лесов, которое существует между пограничным лесом и внутренним лесом.
Если веб-приложение является приложением, поддерживающим утверждения, веб-агент AD FS, запущенный на сервере веб-приложений, не должен создавать для пользователя токены безопасности Windows NT. Веб-агент AD FS может раскрывать проходящие через него утверждения, что позволяет приложению выполнять авторизацию на основе содержимого токена безопасности, который предоставляется сервером федерации учетных записей. Благодаря этому при развертывании приложений, поддерживающих утверждения, веб-сервер с поддержкой AD FS может не входить в домен и не требуется наличие доверия между внешним лесом и внутренним лесом.
Веб-служба SSO
В проекте AD FS веб-службы SSO пользователи должны проходить проверку подлинности только один раз для получения доступа к нескольким веб-приложениям. В этом проекте все пользователи являются внешними, и федеративного доверия не существует. Так как веб-серверы с поддержкой AD FS должны быть доступны из Интернета и к тому же входить в домен Active Directory, они подключены к двум сетям; то есть являются многосетевыми серверами. Первая сеть подключена к Интернету (демилитаризованная зона) для предоставления необходимых подключений. Вторая сеть содержит лес Active Directory (защищенная сеть), к которому нет прямого доступа из Интернета. Прокси-сервер федерации также является многосетевым для предоставления необходимых подключений к серверу федерации и Интернету. В этом проекте помещение сервера федерации в сеть, к которой нет прямого доступа из Интернета, значительно снижает риск уязвимости для сервера федерации.