Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Рекомендуется узнать о важных понятиях служб федерации Active Directory и ознакомиться с его набором функций.
Tip
Дополнительные ссылки на ресурсы AD FS можно найти в разделе Понимание ключевых понятий AD FS.
Терминология AD FS, используемая в этом руководстве
| Термин AD FS | Definition |
|---|---|
| Организация партнера по учетной записи | Партнерская организация федерации, представленная доверием поставщика утверждений в службе федерации. Организация-партнер по учетной записи содержит пользователей, которые будут получать доступ к веб-приложениям в организации-партнере по ресурсам. |
| Сервер федерации учетных записей | Сервер федерации в организации-партнере учетной записи. Сервер федерации учетных записей выдает маркеры безопасности пользователям на основе проверки подлинности пользователей. Сервер проверяет подлинность пользователя, извлекает соответствующие атрибуты и сведения о членстве в группах из хранилища атрибутов, упаковывает эти сведения в утверждения и создает и подписывает маркер безопасности (который содержит утверждения), чтобы передать его пользователю — для использования в своей организации или отправки в партнерскую организацию. |
| База данных конфигурации AD FS | База данных, используемая для хранения всех данных конфигурации, представляющих один экземпляр AD FS или службу федерации. Эти данные конфигурации можно хранить в базе данных SQL Server или с помощью функции внутренней базы данных Windows, включенной в Windows Server 2016, Windows Server 2012 и 2012 R2 и Windows Server 2008 и 2008 R2.
Базу данных конфигурации AD FS для SQL Server можно создать с помощью средства командной строки Fsconfig.exe и внутренней базы данных Windows с помощью мастера настройки сервера федерации AD FS. |
| Поставщик утверждений | Организация, которая предоставляет утверждения своим пользователям. См. сведения о партнерской организации учетной записи. |
| Уровень доверия поставщику утверждений | В оснастке управления AD FS доверительные отношения с поставщиком утверждений представляют собой объекты доверия, которые обычно создаются в организациях-партнерах. Эти объекты представляют организацию в отношениях доверия, учетные записи которой будут получать доступ к ресурсам в партнерской организации. Объект доверия поставщика утверждений включает различные идентификаторы, имена и правила, с помощью которых этот партнер идентифицируется в локальной федеративной службе. |
| Доверие поставщика локальных утверждений | Объект доверия, представляющий каталоги AD LDS и сторонние каталоги на основе LDAP, работающие в ферме AD FS. Локальный объект доверия поставщика утверждений состоит из различных идентификаторов, имен и правил, определяющих этот каталог на основе LDAP в локальной службе федерации. |
| Метаданные федерации | Формат данных для передачи сведений о конфигурации между поставщиком утверждений и проверяющей стороной для упрощения правильной настройки доверия поставщика утверждений и доверия проверяющей стороны. Формат данных определен в языке разметки утверждений безопасности (SAML) 2.0 и расширен в WS-Federation. |
| Сервер федерации | Сервер Windows Server, настроенный с помощью мастера настройки сервера федерации AD FS для выполнения действий в роли сервера федерации. Сервер федерации выдает маркеры и служит частью службы федерации. |
| Прокси-сервер федерации | Windows Server, настроенный с помощью мастера настройки прокси-сервера федерации AD FS, выступает в качестве промежуточной прокси-службы между клиентом Интернета и службой федерации, расположенной за брандмауэром в корпоративной сети. |
| Основной сервер федерации | Windows Server, настроенный в роли сервера федерации с помощью мастера настройки сервера федерации AD FS, и имеет копию базы данных конфигурации AD FS с доступом на чтение и запись.
Сервер основной федерации создается при использовании мастера настройки сервера федерации AD FS и выбора параметра для создания новой службы федерации и создания этого компьютера первого сервера федерации в ферме. Все остальные серверы федерации в этой ферме должны реплицировать изменения, внесенные на сервере первичной федерации, в копию базы данных конфигурации AD FS только для чтения, которая хранится локально. Термин "основной сервер федерации" не применяется, если база данных конфигурации AD FS хранится в базе данных SQL, так как все серверы федерации могут одинаково считывать и записывать данные в базу данных конфигурации, хранящуюся в SQL Server. |
| Проверяющая сторона | Организация, которая получает и обрабатывает утверждения. См. статью о партнерской организации ресурсов. |
| Доверие проверяющей стороны | В оснастке управления AD FS доверие проверяющей стороны обычно создаются в следующих объектах: — Учетные записи партнерских организаций, которые представляют организацию в отношениях доверия, учетные записи которых будут получать доступ к ресурсам в партнерской организации ресурсов. Объект доверия доверяющей стороны состоит из различных идентификаторов, имен и правил, которые идентифицируют этого партнера или веб-приложение для локальной службы федерации. |
| Сервер федерации ресурсов | Сервер федерации в организации-партнере по ресурсам. Сервер федерации ресурсов обычно выдает токены безопасности пользователям на основании токена безопасности, выданного сервером федерации учетной записи. Сервер получает маркер безопасности, проверяет подпись, применяет логику правила утверждения к распакованным утверждениям для создания требуемых исходящих утверждений, создает новый маркер безопасности (с исходящими утверждениями) на основе информации входящего маркера безопасности и подписывает новый маркер для возврата пользователю и в конечном итоге веб-приложению. |
| Организация партнера по ресурсам | Партнер федерации, представляющий доверие проверяющей стороны в службе федерации. Партнер ресурсов выдает маркеры безопасности на основе утверждений, содержащие опубликованные веб-приложения, к которым пользователи в партнере учетной записи могут получить доступ. |
Общие сведения о AD FS
AD FS — это решение для управления доступом, предоставляющее клиентским компьютерам (внутренним или внешним по отношению к вашей сети) бесшовный единый вход к защищённым приложениям или службам, ориентированным на Интернет, даже если учетные записи пользователей и приложения находятся в совершенно разных сетях или организациях.
Когда приложение или служба находится в одной сети, а учетная запись пользователя находится в другой сети, обычно пользователю предлагается получить дополнительные учетные данные при попытке доступа к приложению или службе. Эти вторичные учетные данные представляют удостоверение пользователя в области, в которой находится приложение или служба. Они обычно требуются веб-сервером, на котором размещается приложение или служба, чтобы он мог принимать наиболее подходящее решение в отношении авторизации.
С помощью AD FS организации могут обходить запросы на вторичные учетные данные, предоставляя отношения доверия (доверия федерации), которые эти организации могут использовать для проецирования цифрового удостоверения пользователя и доступа к доверенным партнерам. В этой федеративной среде каждая организация продолжает управлять собственными удостоверениями, но каждая организация также может безопасно проектировать и принимать удостоверения из других организаций.