Table of contents
TOC
Sbalit obsah
Rozbalit obsah
Bill Mathers|Poslední aktualizace: 10.03.2017
|
1 Přispěvatel

Platí pro: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Vysvětlení pojmů klíče AD FS

Je vhodné získat informace o důležité koncepty pro Active Directory Federation Services a seznámit se s jeho sadu funkcí.

Tip

Můžete najít další odkazy na zdroje služby AD FS na AD FS obsahu mapy stránky na wikiwebu Microsoft TechNet. Tato stránka je spravována členy Společenství AD FS a pravidelně kontroloval tým produktu AD FS.

AD FS terminologie použitá v této příručce

AD FS termínDefinice
Organizaci partnera poskytujícího účtyPartnerské organizace federace, která představuje vztah důvěryhodnosti zprostředkovatele deklarací ve službě Federation Service. Organizaci partnera poskytujícího účty obsahuje uživatele, kteří budou přistupovat k webu-aplikace na partnera poskytujícího prostředky.
Federační server účtůFederační server v organizaci partnera poskytujícího účty. Federační server účtů vydává tokeny zabezpečení pro uživatele na základě ověření uživatele. Server ověřuje uživatele, extrahuje odpovídající atributy a informace o členství skupiny z úložiště atributů, balíčky této informace do deklarací a generuje a podepisuje tokeny zabezpečení (který obsahuje deklarace) vrátit uživateli – pro použití v jeho vlastní organizaci nebo pro odeslání do partnerské organizace.
AD FS konfigurační databázeDatabáze používá k ukládání všech konfiguračních dat, která představuje jednu instanci služby AD FS nebo služby Federation Service. Tato konfigurační data mohou být uloženy v databázi serveru SQL Server nebo pomocí funkce interní databáze systému Windows je součástí systému Windows Server 2016, Windows Server 2012 a 2012 R2 a Windows Server 2008 a 2008 R2.
Můžete vytvořit konfigurační databázi služby AD FS pro SQL Server pomocí příkazu Fsconfig.exe-čára a pomocí Průvodce konfigurací federačního serveru služby AD FS interní databáze systému Windows.
Zprostředkovatel nárokůOrganizace, která poskytuje deklarace pro uživatele. Naleznete v organizaci partnera poskytujícího účty.
Vztah důvěryhodnosti zprostředkovatele deklaracíV AD FS Management modul snap-, nároky zprostředkovatel důvěryhodnosti jsou objekty zabezpečení obvykle vytvořen za zdrojů partnerských organizací představuje organizaci ve vztahu důvěryhodnosti účty budou přistupovat k prostředkům v organizaci partnera poskytujícího prostředky. Objekt důvěryhodnosti zprostředkovatele deklarací se skládá z různých identifikátorů, názvů a pravidel, které identifikují tohoto partnera pro místní služby Federation Service.
Vztah důvěryhodnosti zprostředkovatele deklarací místníObjekt důvěryhodnosti, který představuje služby AD LDS nebo třetí-strany LDAP-na základě adresářů ve farmě AD FS. Místní tvrdí zprostředkovatel důvěryhodnosti objekt se skládá z různých identifikátorů, názvů a pravidel, které identifikují tohoto protokolu LDAP-na základě adresáře místní služby Federation Service.
Federace metadataDatový formát pro sdělování informací o konfiguraci mezi poskytovatele deklarací a předávající stranou usnadnit správné konfiguraci vztahy důvěryhodnosti zprostředkovatele deklarací a předávající strana vztahy důvěryhodnosti. Formát dat je definován v Security Assertion Markup Language (SAML) 2.0 a je rozšířen v WS-federace.
Federační serverWindows Server, který byl nakonfigurován tak, aby pracovala v roli federačního serveru pomocí Průvodce konfigurací federačního serveru služby AD FS. Federační server vydává tokeny a slouží jako část služby Federation Service.
Proxy federačního serveruWindows Server, který byl nakonfigurován pomocí Průvodce konfigurací serveru Proxy AD FS Federation pracoval jako zprostředkující server proxy služby mezi klientem v Internetu a službou Federation Service, který se nachází za branou firewall v podnikové síti.
Primární federační serverWindows Server, která byla nakonfigurována v roli federačního serveru pomocí Průvodce konfigurací federačního serveru služby AD FS a čtení\/zapsat kopii konfigurační databázi služby AD FS.
Primární federační server je vytvořen při použití Průvodce konfigurací federačního serveru služby AD FS a vyberte možnost vytvořit novou službou Federation Service a nastavením počítače prvního federačního serveru ve farmě. Všechny ostatní federační servery v této farmě musí replikovat změny primárního federačního serveru na čtení-kopie konfigurační databáze služby AD FS, který je uložen místně. Termín "primární federační server" neplatí, pokud konfigurační databáze služby AD FS je uložena v databázi SQL, všechny federační servery stejně číst a zapisovat do konfigurační databáze uložené na serveru SQL Server.
Předávající stranaOrganizace, která přijímá a zpracovává žádosti. Viz organizace partnera poskytujícího prostředky.
Předávající strana vztahu důvěryhodnostiV AD FS Management modul snap-, předávající strana vztahy důvěryhodnosti jsou obvykle vytvořen za objekty důvěryhodnosti:

-Účet partnerské organizace zastupovat organizaci ve vztahu důvěryhodnosti, jejíž účty budou v organizaci partnera poskytujícího prostředky.
-Zdrojů partnerských organizací představuje vztah důvěryhodnosti mezi službou Federation Service a pouze jeden web-aplikace.

Objekt vztahu důvěryhodnosti předávající strany se skládá z různých identifikátorů, názvů a pravidel, které identifikují tohoto partnera nebo web-aplikace pro místní služby Federation Service.
Federační server prostředkůFederační server v organizaci partnera poskytujícího prostředky. Federační server prostředků obvykle vydává tokeny zabezpečení pro uživatele, založené na token zabezpečení, který vydává federační server účtů. Server přijímá token zabezpečení, ověří podpis, platí tvrzení pravidla logiky nebalených nároky k výrobě požadovaného odchozích deklarací, generuje nový token zabezpečení (s odchozích deklarací) na základě informací v příchozím tokenu zabezpečení a podepíše nový token vrátit uživateli a nakonec do webové aplikace.
Organizaci partnera poskytujícího prostředkyFederační partner, který je reprezentován předávající strana vztahu důvěryhodnosti ve službě Federation Service. Partnera poskytujícího prostředky vydává deklarace-základě tokeny zabezpečení, které obsahuje publikované webové-aplikace, které přístup uživatelé partnera poskytujícího účty.

Přehled služby AD FS

Služba AD FS je řešení přístupu k identitám, které poskytuje klientským počítačům (interní nebo externí sítě) bezproblémové SSO přístup k chráněné síti Internet-čelí aplikace nebo služby, i v případě, že uživatelské účty a aplikace jsou umístěny v naprosto rozdílných sítích nebo organizacích.

Pokud aplikace nebo služba je v jedné síti a uživatelský účet je v jiné síti, obvykle bude uživatel vyzván k sekundární pověření při mu pokusí o přístup k aplikaci nebo službu. Tato sekundární pověření představují identitu uživatele ve sféře, kde je umístěna aplikace nebo služby. Jsou zpravidla vyžaduje webový server, který je hostitelem aplikace nebo služby tak, aby mohl učinit nejvhodnější autorizační rozhodnutí.

Se službou AD FS mohou organizace obejít požadavky na sekundární pověření zajištěním vztahů důvěryhodnosti (federační vztahy důvěryhodnosti) , tyto organizace můžete v projektu uživatele digitální identity a přístupových práv důvěryhodným partnerům. V tomto federovaném prostředí každé organizace nadále spravovat své vlastní identity, ale každá organizace můžete také bezpečně projektu a akceptovat identity pocházející z jiných organizací.

© 2017 Microsoft