建议了解 Active Directory 联合身份验证服务的重要概念,并熟悉其功能集。
小窍门
可以在 “了解关键 AD FS 概念”中找到其他 AD FS 资源链接。
本指南中使用的 AD FS 术语
| AD FS 术语 | 定义 |
|---|---|
| 帐户伙伴组织 | 由联合身份验证服务中的声明提供方信任表示的联合身份验证伙伴组织。 帐户合作伙伴组织包含将访问资源合作伙伴中基于 Web 的应用程序的用户。 |
| 帐户联合服务器 | 帐户伙伴组织中的联合服务器。 帐户联合服务器根据用户身份验证向用户颁发安全令牌。 服务器对用户进行身份验证,将相关属性和组成员身份信息从属性存储中提取出来,将此信息打包到声明中,并生成并签名安全令牌(其中包含声明)以返回给用户-要么用于自己的组织,要么发送到合作伙伴组织。 |
| AD FS 配置数据库 | 用于存储表示单个 AD FS 实例或联合身份验证服务的所有配置数据的数据库。 此配置数据可以存储在 SQL Server 数据库中,也可以使用 Windows Server 2016、Windows Server 2012 和 2012 R2 随附的 Windows 内部数据库功能,以及 Windows Server 2008 和 2008 R2。 可以使用 Fsconfig.exe 命令行工具和 AD FS 联合服务器配置向导为 Windows 内部数据库创建 SQL Server 的 AD FS 配置数据库。 |
| 索赔提供商 | 为用户提供索赔的组织。 请参阅帐户伙伴组织。 |
| 声明提供方信任 | 在“AD FS 管理”管理单元中,声明提供程序信任是指通常在资源伙伴组织中创建的信任对象,用于在信任关系中表示其帐户将访问资源伙伴组织中的资源的组织。 声明提供者信任对象由各种标识符、名称和规则组成,这些元素用于将此合作伙伴识别给本地联合服务。 |
| 本地声明提供程序信任 | 一个表示 AD LDS 或 AD FS 场中基于第三方 LDAP 的目录的信任对象。 本地声明提供程序信任对象包含各种标识符、名称和用于在本地联合身份验证服务中标识此基于 LDAP 的目录的规则。 |
| 联合元数据 | 用于在声明提供方和信赖方之间通信配置信息,以便正确配置声明提供方信任和信赖方信任的数据格式。 数据格式在安全断言标记语言(SAML)2.0 中定义,并在 WS-Federation 中扩展。 |
| 联邦服务器 | 已使用 AD FS 联合服务器配置向导配置的 Windows Server,用于充当联合服务器角色。 联合服务器颁发令牌,并充当联合身份验证服务的一部分。 |
| 联合服务器代理 | 一台 Windows 服务器,已使用 AD FS 联合服务器代理配置向导进行配置,以充当 Internet 客户端和位于企业网络防火墙后面的联合身份验证服务之间的中间代理服务。 |
| 主联盟服务器 | 一台 Windows 服务器,已使用 AD FS 联合服务器配置向导配置为联合服务器角色,并且具有 AD FS 配置数据库的读/写副本。 当您使用 AD FS 联合服务器配置向导,并选择创建新的联合服务的选项时,将创建主联合服务器,并将该计算机设为场中的第一个联合服务器。 此服务器场中的所有其他联合服务器都必须将主联合服务器上所做的更改复制到本地存储的 AD FS 配置数据库的只读副本。 当 AD FS 配置数据库存储在 SQL 数据库中时,术语“主联合服务器”不适用,因为所有联合服务器可以同样读取和写入存储在 SQL Server 上的配置数据库。 |
| 信赖方 | 接收和处理声明的组织。 请参阅资源伙伴组织。 |
| 信赖方信任 | 在“AD FS 管理”管理单元中,信赖方信任是指通常在以下内容中创建的信任对象: - 在信任关系中表示组织的帐户伙伴组织,其帐户将访问资源伙伴组织中的资源。 信赖方信任对象包含各种标识符、名称和用于在本地联合身份验证服务中标识此伙伴或 Web 应用程序的规则。 |
| 资源联合服务器 | 资源伙伴组织中的联合服务器。 资源联合服务器通常根据帐户联合服务器颁发的安全令牌向用户颁发安全令牌。 服务器接收安全令牌、验证签名、将声明规则逻辑应用于未打包的声明以生成所需的传出声明、基于传入安全令牌中的信息生成新的安全令牌(带有传出声明),并签署新令牌以返回到用户并最终返回到 Web 应用程序。 |
| 资源合作伙伴组织 | 由联合身份验证服务中的信赖方信任表示的联合身份验证伙伴。 资源合作伙伴颁发基于声明的安全令牌,这些令牌包含帐户合作伙伴中用户可以访问的已发布的基于 Web 的应用程序。 |
AD FS 概述
AD FS 是一种标识访问解决方案,它为客户端计算机(内部或网络外部)提供对受保护面向 Internet 的应用程序或服务的无缝 SSO 访问,即使用户帐户和应用程序位于完全不同的网络或组织中也是如此。
当应用程序或服务位于一个网络中并且用户帐户位于另一个网络中时,通常会在用户尝试访问应用程序或服务时提示输入辅助凭据。 这些辅助凭据表示应用程序或服务所在的领域中的用户标识。 托管应用程序或服务的 Web 服务器通常需要它们,以便它可以做出最合适的授权决策。
借助 AD FS,组织可以通过提供信任关系(联合信任)来绕过对辅助凭据的请求,这些信任关系(联合信任)可用于投影用户的数字标识和对受信任合作伙伴的访问权限。 在此联合环境中,每个组织继续管理自己的标识,但每个组织也可以安全地投影和接受来自其他组织的标识。