Exportera (0) Skriv ut
Visa allt

Översikt över Active Directory Federation Services (ADFS)

Uppdaterad: april 2007

Gäller för: Windows Server 2008

Du kan använda serverrollen Active Directory® Federation Services (AD FS) i operativsystemen Windows Server® 2008 och Windows Server 2008 R2 för att skapa en utökningsbar och säker identitetsåtkomstlösning som är skalbar för webben och som kan köras på flera plattformar, t.ex. både i Windows och andra miljöer.

Följande avsnitt innehåller mer information om AD FS, inklusive en översikt över tekniken och hur du installerar och hanterar serverrollen.

Vad är AD FS?

AD FS är en identitetsåtkomstlösning som tillhandahåller webbläsarbaserade klienter (interna eller externa för nätverket) med sömlös, enkel åtkomst till ett eller flera skyddade webborienterade program, även om användarkontona och programmen finns i olika nätverk eller organisationer.

Om ett program finns i ett nätverk och användarkontona i ett annat uppmanas användarna vanligtvis att ange ytterligare autentiseringsuppgifter när de försöker få åtkomst till programmet. Dessa "sekundära" autentiseringsuppgifter representerar användarnas identitet i den sfär som programmet finns i. Webbservern som är värd för programmet behöver ofta dessa autentiseringsuppgifter för att kunna bevilja rätt behörigheter.

Med AD FS behövs inte dessa sekundära konton och autentiseringsuppgifter. I stället skapas förtroenderelationer som kan användas för att fastställa en användares digitala identitet och åtkomsträttigheter till betrodda partners. I en federationsmiljö hanterar varje organisation sina egna identiteter, men varje organisation kan också riskfritt hantera och acceptera identiteter från andra organisationer.

Dessutom kan du distribuera federationsservrar i flera organisationer, vilket förenklar B2B-transaktioner (Business To Business) mellan betrodda partnerorganisationer. Federerade B2B-förhållanden identifierar affärspartners som någon av följande typer av organisationer:

  • Resursorganisation: Organisationer som äger och hanterar resurser som är tillgängliga från Internet kan distribuera AD FS-federationsservrar och AD FS-aktiverade webbservrar som hanterar åtkomst till skyddade resurser för betrodda partners. Dessa betrodda partners kan vara externa tredje parter eller andra avdelningar eller lokala kontor i samma organisation.

  • Kontoorganisation: Organisationer som äger och hanterar användarkonton kan distribuera AD FS-federationsservrar som autentiserar lokala användare och skapar säkerhetstoken som senare kan användas av federationsservrar i resursorganisationen för att fatta behörighetsbeslut.

Autentiseringen i ett nätverk samtidigt som en anslutning upprättas till resurser i ett annat nätverk, utan att användaren behöver logga in flera gånger, kallas för enkel inloggning (SSO, Single Sign-On). AD FS tillhandahåller en webbaserad lösning för enkel inloggning som autentiserar användaren i flera webbprogram under samma webbläsarsession.

AD FS-rolltjänster

AD FS-serverrollen inkluderar federationsservrar, proxytjänster och webbagenttjänster som du kan konfigurera för att aktivera enkel webbinloggning, federera webbaserade resurser, anpassa åtkomstinställningarna, samt för att ange hur befintliga användare autentiseras för att få åtkomst till program.

Beroende på organisationens krav kan du distribuera servrar som kör någon av följande AD FS-rolltjänster:

  • Federationstjänst: Federationstjänsten omfattar en eller flera federationsservrar med en gemensam förtroendeprincip. Du använder federationsservrar för att dirigera autentiseringsbegäranden från användarkonton i andra organisationer eller från klienter som kan finnas var som helst på Internet.

  • Federationstjänstproxy: En federationstjänstproxy är en proxyserver för federationstjänsten i gränsnätverket (kallas även demilitariserad zon och avskärmat undernät). Proxyservern använder WS-F PRP-protokoll (WS-Federation Passive Requester Profile) för att samla in autentiseringsinformation för användare från webbläsarklienter, och skickar sedan informationen till federationstjänsten.

  • Anspråksmedveten agent: Du kan använda den anspråksmedvetna agenten på en webbserver som är värd för ett anspråksmedvetet program för att tillåta förfrågningar till anspråk i AD FS-säkerhetstoken. Ett anspråksmedvetet program är ett Microsoft ASP.NET-program som använder anspråk i en AD FS-säkerhetstoken för att fatta behörighetsbeslut och anpassa program.

  • Windows-tokenbaserad agent: Du kan använda den Windows-tokenbaserade agenten på en webbserver som är värd för ett Windows NT-tokenbaserat program för att möjliggöra konvertering från en AD FS-säkerhetstoken till en Windows NT-åtkomsttoken på personifieringsnivå. Ett Windows NT-tokenbaserat program är ett program som använder Windows-baserade auktoriseringsmetoder.

Installera AD FS-rollen

När du har installerat operativsystemet visas en lista med konfigurationsåtgärder. Du installerar AD FS genom att först klicka på Lägg till roller i åtgärdslistan och sedan på Active Directory Federation Services.

Detaljerade anvisningar om hur du installerar och konfigurerar en testmiljö för AD FS finns i steg-för-steg-guiden för AD FS i Windows Server 2008 R2 (http://go.microsoft.com/fwlink/?LinkID=133009). Sidan kan vara på engelska.

Hantera AD FS-rollen

Du kan hantera serverroller med MMC-snapin-modulerna (Microsoft Management Console). När du har installerat AD FS kan du använda snapin-modulen Active Directory Federation Services för att hantera rolltjänsterna Federationstjänst och Federationstjänstproxy. Du öppnar snapin-modulen genom att klicka på Start, klicka på Administrationsverktyg och sedan på Active Directory Federation Services.

Du kan hantera den Windows-tokenbaserade agenten genom att klicka på Start, klicka på Administrationsverktyg, klicka på Internet Information Services-hanteraren och sedan på Anslut till lokalvärd.

Mer information

Mer information om AD FS finns i hjälpen på servern. Du visar hjälpen genom att först öppna snapin-modulen Active Directory Federation Services (se anvisningarna i föregående avsnitt) och sedan trycka på F1.

Var detta till hjälp?
(1500 tecken kvar)
Tack för dina kommentarer

Gruppinnehåll

Visa:
© 2014 Microsoft