Esporta (0) Stampa
Espandi tutto

Ruolo Active Directory Federation Services

Aggiornamento: gennaio 2008

Si applica a: Windows Server 2008

ADFS (Active Directory® Federation Services) è un ruolo server del sistema operativo Windows Server® 2008 che consente di creare una soluzione di accesso alle identità protetta, ampiamente estendibile e scalabile per Internet, che supporta l'esecuzione su più piattaforme, inclusi ambienti Windows e non Windows. Nelle sezioni seguenti sono disponibili informazioni su ADFS in Windows Server 2008, incluse informazioni sulle funzionalità aggiuntive di ADFS in Windows Server 2008 a confronto con la versione di ADFS disponibile nel sistema operativo Windows Server 2003 R2.

Per ulteriori informazioni su AD LDS, vedere la panoramica su Active Directory Federation Services all'indirizzo http://go.microsoft.com/fwlink/?LinkId=87272. Per ulteriori informazioni su come configurare un ambiente di lavoro di prova per ADFS, vedere la Guida dettagliata di ADFS in Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkID=85685).

Utenti interessati a questa funzionalità

ADFS è progettato per essere distribuito in organizzazioni di medie o grandi dimensioni che dispongono di quanto segue:

  • Almeno un servizio directory: Servizi di dominio Active Directory oppure Active Directory Lightweight Directory Services (AD LDS), noto in precedenza come ADAM (Active Directory Application Mode)

  • Computer che eseguono sistemi operativi diversi

  • Computer membri di dominio

  • Computer connessi a Internet

  • Una o più applicazioni basate sul Web

Esaminare le presenti informazioni e leggere la documentazione aggiuntiva relativa ad ADFS se si fa parte di una delle seguenti tipologie di utenti:

  • Professionista IT responsabile del supporto di un'infrastruttura ADFS esistente

  • Analista, architetto o addetto alla pianificazione IT responsabile della valutazione di prodotti per la federazione di identità

Note speciali

Se si dispone di un'infrastruttura ADFS esistente, è consigliabile tenere presenti alcune note speciali prima di iniziare l'aggiornamento dei server federativi, dei proxy dei server federativi e dei server Web abilitati per ADFS che eseguono Windows Server 2003 R2 a Windows Server 2008. Tali note si applicano solo se si dispone di server ADFS che sono stati configurati manualmente per l'utilizzo di account del servizio univoci.

ADFS utilizza l'account Servizio di rete come account predefinito sia per Servizio Autenticazione agente Web ADFS sia per l'identità del pool di applicazioni ADFSAppPool. Se si configurano manualmente uno o più server ADFS nella distribuzione ADFS esistente affinché utilizzino un account del servizio diverso dall'account Servizio di rete predefinito, tenere traccia degli account del servizio univoci utilizzati dai diversi server ADFS e annotare il nome utente e la password di ognuno di essi.

Quando si esegue l'aggiornamento di un server a Windows Server 2008, il processo ripristina automaticamente i valori predefiniti di tutti gli account del servizio. È pertanto necessario in questi casi immettere nuovamente le informazioni degli account per ogni server applicabile al termine dell'installazione di Windows Server 2008.

Nuova funzionalità introdotta

Per Windows Server 2008, ADFS include nuove funzionalità non disponibili in Windows Server 2003 R2. Queste nuove funzionalità sono progettate per semplificare le attività amministrative ed estendere ulteriormente il supporto per applicazioni chiave:

  • Installazione migliorata: ADFS è incluso in Windows Server 2008 come ruolo server e l'installazione guidata prevede nuove verifiche di convalida per i nuovi server.

  • Supporto delle applicazioni migliorato: l'integrazione di ADFS con Microsoft Office SharePoint® Server 2007 e Servizi Microsoft Windows Rights Management di Active Directory (RMS di AD) è stata migliorata.

  • Esperienza amministrativa migliorata per la creazione di trust federativi: le funzionalità migliorate di importazione ed esportazione dei criteri di attendibilità consentono di ridurre al minimo i problemi di configurazione correlati ai partner che in genere si verificano durante la creazione di relazioni di trust federative.

Installazione migliorata

ADFS in Windows Server 2008 include diversi miglioramenti relativi al processo di installazione. Per individuare e installare ADFS in Windows Server 2003 R2 è necessario utilizzare Installazione applicazioni. In Windows Server 2008 è invece possibile installare ADFS come ruolo server mediante Server Manager.

È possibile utilizzare le pagine della migliorata procedura di configurazione di ADFS per eseguire verifiche di convalida dei server prima di procedere all'installazione del ruolo. Server Manager elenca e installa automaticamente tutti i servizi da cui dipende ADFS durante l'installazione del ruolo server. Tali servizi includono Microsoft ASP.NET 2.0 e altri servizi che fanno parte del ruolo Server Web (IIS).

Supporto delle applicazioni migliorato

ADFS in Windows Server 2008 include miglioramenti che aumentano la capacità di integrazione con altre applicazioni, quali Office SharePoint Server 2007 e RMS di AD.

Integrazione con Office SharePoint Server 2007

Office SharePoint Server 2007 sfrutta al meglio le funzionalità di SSO integrate nella versione corrente di ADFS. ADFS in Windows Server 2008 include funzionalità per il supporto dei provider di ruoli e dell'appartenenza a Office SharePoint Server 2007. Ciò significa che è possibile configurare in modo efficace Office SharePoint Server 2007 come applicazione in grado di riconoscere attestazioni in ADFS e amministrare i siti di Office SharePoint Server 2007 mediante controllo di accesso basato su ruolo e appartenenza. I provider di ruoli e appartenenza inclusi in questa versione di ADFS sono progettati esclusivamente per l'utilizzo da parte di Office SharePoint Server 2007.

Integrazione con AD RMS

RMS di AD e ADFS sono stati integrati in modo che le organizzazioni possano sfruttare le relazioni di trust federative per collaborare con partner esterni e condividere contenuti protetti con diritti. Ad esempio, un'organizzazione che ha distribuito RMS di AD può impostare una relazione federativa con un'organizzazione esterna mediante ADFS. L'organizzazione può quindi utilizzare tale relazione per condividere contenuti protetti tra le due organizzazioni senza la necessità di distribuire RMS di AD in entrambe.

Esperienza amministrativa migliorata per la creazione di trust federativi

In Windows Server 2003 R2 e Windows Server 2008, gli amministratori di ADFS possono creare un trust federativo tra due organizzazioni utilizzando un processo di importazione ed esportazione dei file dei criteri oppure una procedura manuale che prevede lo scambio reciproco dei valori dei partner, ad esempio gli URI (Uniform Resource Indicator), i tipi di attestazioni, i mapping delle attestazioni, i nomi visualizzati e così via. La procedura manuale richiede che l'amministratore che riceve i dati li digiti tutti nelle pagine appropriate dell'Aggiunta guidata partner, il che espone al rischio di errori di digitazione. La procedura manuale prevede inoltre che l'amministratore del partner account invii una copia del certificato di verifica per il server federativo all'amministratore del partner risorse in modo che tale certificato possa essere aggiunto durante la procedura guidata.

Sebbene la possibilità di importare ed esportare file sia disponibile in Windows Server 2003 R2, la creazione di trust federativi tra organizzazioni partner è più semplice in Windows Server 2008 grazie alle funzionalità migliorate di importazione ed esportazione basate su criteri. Tali miglioramenti sono stati apportati per agevolare le attività amministrative garantendo maggiore flessibilità per quanto concerne le funzionalità di importazione della procedura guidata per l'aggiunta dei partner. Se ad esempio viene importato un criterio partner, l'amministratore può utilizzare la procedura guidata per modificarne i valori prima che il processo di aggiunta venga completato. È tra l'altro possibile specificare un certificato diverso per la verifica del partner account, nonché definire il mapping tra attestazioni in ingresso e in uscita tra i partner.

Le funzionalità di esportazione e importazione incluse in ADFS in Windows Server 2008 consentono agli amministratori di esportare in modo semplice le proprie impostazioni dei criteri di attendibilità in un file con estensione xml che può essere inviato all'amministratore del partner. Questo scambio di file consente di ottenere tutti gli URI, i tipi di attestazioni, i mapping delle attestazioni e di altri valori e i certificati di verifica necessari per creare un trust federativo tra le due organizzazioni partner.

Nell'illustrazione seguente e nelle relative istruzioni viene spiegato come lo scambio corretto dei criteri tra partner, iniziato in questo caso dall'amministratore dell'organizzazione partner account, può semplificare il processo di creazione di un trust federativo tra due organizzazioni fittizie, ovvero A. Datum Corporation e Trey Research.

Processo di importazione/ esportazione AD FS
  1. L'amministratore del partner account specifica l'opzione Esporta criteri partner di base facendo clic con il pulsante destro del mouse sulla cartella Criteri di attendibilità ed esporta un file di criteri partner contenente URI; nome visualizzato, URL del proxy del server federativo e il certificato di verifica di A. Datum Corporation. L'amministratore del partner account invia quindi il file (tramite posta elettronica o altro mezzo) all'amministratore del partner risorse.

  2. L'amministratore del partner risorse crea un nuovo partner account mediante l'Aggiunta guidata partner account e seleziona l'opzione per importare un file di criteri del partner account. L'amministratore del partner risorse procede quindi a specificare il percorso del file di criteri e verifica che tutti i valori visualizzati nelle pagine della procedura guidata, le quali vengono compilate con i dati importati, siano esatti. L'amministratore completa quindi la procedura guidata.

  3. L'amministratore del partner risorse può ora configurare ulteriori importazioni dei criteri di attendibilità e delle attestazioni specifiche del partner account. Al termine della configurazione, l'amministratore specifica l'opzione Esporta criterio facendo clic con il pulsante destro del mouse sul partner account A. Datum Corporation. L'amministratore del partner risorse esporta un file di criteri partner contenente valori quali l'URI, l'URL del proxy del server federativo, il nome visualizzato, i tipi di attestazioni e i mapping delle attestazioni per l'organizzazione Trey Research. L'amministratore del partner risorse invia quindi il file dei criteri all'amministratore del partner account.

  4. L'amministratore del partner account crea un nuovo partner risorse mediante l'Aggiunta guidata partner risorse e seleziona l'opzione per importare un file di criteri del partner risorse. L'amministratore del partner account specifica il percorso del file di criteri e verifica che tutti i valori visualizzati nelle pagine della procedura guidata, le quali vengono compilate con i dati importati, siano esatti. L'amministratore completa quindi la procedura guidata.

Al termine di questo processo viene stabilita una relazione di trust federativa tra i due partner. Il processo di importazione ed esportazione dei criteri può ugualmente essere iniziato dagli amministratori dei partner risorse, sebbene tale modalità non sia descritta qui.

Impostazioni aggiunte o modificate

Lo snap-in Gestione IIS consente di configurare le impostazioni di un agente Web con supporto delle applicazioni basate su token di Windows NT. Per supportate le nuove funzionalità incluse in Internet Information Services (IIS) 7.0, ADFS in Windows Server 2008 include aggiornamenti dell'interfaccia utente del servizio ruolo agente Web ADFS. Nella tabella seguente sono elencate le diverse posizioni in Gestione IIS per IIS 6.0 o IIS 7.0 di ognuna delle pagine delle proprietà dell'agente Web ADFS, a seconda della versione di IIS utilizzata.

 

Pagina delle proprietà di IIS 6.0 Posizione precedente Pagina delle proprietà di IIS 7.0 Nuova posizione

Scheda Agente Web ADFS

<NOMECOMPUTER>\Siti Web

URL servizio federativo

<NOMECOMPUTER> (nella sezione Altro del riquadro centrale)

Scheda Agente Web ADFS

<NOMECOMPUTER>\Siti Web\<Sito o directory virtuale>

Agente Web ADFS

<NOMECOMPUTER>\Siti Web\<Sito o directory virtuale> (nella sezione IIS\Autenticazione del riquadro centrale)

noteNota
Non sussistono differenze significative a livello di interfaccia utente tra lo snap-in Active Directory Federation Services in Windows Server 2008 e quello in Windows Server 2003 R2.

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.

Aggiunte alla community

AGGIUNGI
Mostra:
© 2014 Microsoft