Службы федерации Active Directory

Службы федерации Active Directory(AD FS), a программный компонент, разработанный Microsoft, может работать в операционных системах Windows Server для предоставления пользователям единого входа доступа к системам и приложениям, расположенным через организационные границы. Он использует модель авторизации с контролем доступа на основе утверждений для обеспечения безопасности приложений и реализации федеративного удостоверения. Аутентификация на основе утверждений включает в себя аутентификацию пользователя на основе набора утверждений о идентичности этого пользователя, содержащихся в доверенном токене. Такой токен часто выдается и подписывается объектом, который может аутентифицировать пользователя другими способами и которому доверяет объект, выполняющий аутентификацию на основе утверждений. Это часть Службы Active Directory.

• 1 Подробности
• 2 Версии
• 3 См. Также
• 4 Ссылки
• 5 Внешние ссылки

В AD FS федерация удостоверений устанавливается между двумя организациями путем установления доверия между двумя областями безопасности. Сервер федерации на одной стороне (сторона учетных записей) аутентифицирует пользователя стандартными средствами в Active Directory доменных службах, а затем выдает токен, содержащий серию утверждений о пользователе, включая его личность. С другой стороны, на стороне ресурсов, другой сервер федерации проверяет токен и выдает еще один токен для локальных серверов, чтобы они приняли заявленное удостоверение. Это позволяет системе предоставлять контролируемый доступ к своим ресурсам или службам пользователю, принадлежащему к другой области безопасности, без необходимости аутентификации пользователя непосредственно в системе и без совместного использования двумя системами базы данных идентификаторов пользователей или паролей.

На практике пользователь обычно воспринимает этот подход следующим образом:

1. Пользователь входит в свой локальный ПК (как обычно, когда он начинает работу утром).
2. Пользователю нужно для получения информации с веб-сайта экстрасети партнерской компании, например для получения информации о ценах или продукте.
3. Пользователь переходит на сайт экстрасети партнерской компании, например: http://example.com.
4. Партнерский сайт теперь не требует ввода пароля; вместо этого учетные данные пользователя (в защищенном утверждении) передаются на партнерский сайт экстрасети с использованием AD FS.
5. Теперь пользователь вошел на партнерский веб-сайт и может взаимодействовать с веб-сайтом, как если бы он вошел в систему.

AD FS интегрируется с доменными службами Active Directory, используя их в качестве поставщика удостоверений. AD FS может взаимодействовать с другими WS- * и SAML 2.0 -совместимыми службами федерации в качестве партнеров по федерации.

• ADFS 1.0 - Windows Server 2003 R2 ( дополнительная загрузка)
• ADFS 1.1 - Windows Server 2008 и Windows Server 2008 R2
• ADFS 2.0 - Windows Server 2008 и Windows Server 2008 R2 (загрузка с Microsoft.com)
• ADFS 2.1 - Windows Server 2012
• ADFS 3.0 - Windows Server 2012 R2
• Windows Server 2016 AD FS - Windows Server 2016
• Windows Server 2019 AD FS - Windows Server 2019

• Удостоверение на основе утверждений
• Цифровое удостоверение
• Информационная карта
• LDAP
• SAML
• Windows CardSpace
• Windows Server 2012
• Windows Server 2008
• WS -Federation
• Office 365

• Карта содержимого AD FS 2.0
• Библиотека TechNet AD FS
• Библиотека AD FS MSDN
• AD FS в Server 2016 Что новый