Сервисы домена Windows Server 2008 Domain Services

Во второй части этой серии статей о сервисах домена в Windows Server 2008 Domain Services, я остановлюсь на службе Active Directory Federation Services (AD FS) и вкратце затрону службу Active Directory Lightweight Directory Services (AD LDS). В своей последней статье (часть 1) я рассказывал о службах домена Active Directory.

Службы AD FS и AD LDS были представлены в Windows Server 2003 (R2), а их разработка продолжалась, и они были усовершенствованы для Windows Server 2008.

Что такое службы Active Directory Federation Services?

Active Directory Federation Services (AD FS) – это функция, представленная на Windows Server 2003 R2, которая обеспечивает решение идентификации доступа. Это дает возможность клиентам на базе браузеров, которые находятся внутри или за пределами вашей сети, для доступа по технологии Single-Sign-On (SSO) к веб приложениям. Важно отметить, что служба AD FS работает только с веб приложениями. AD FS может использоваться на веб хостинге или в окружении SharePoint. Эта служба очень полезна в тех ситуациях, когда ваша компания имеет веб серверы, расположенные в DMZ, на хостинге удаленного поставщика или бизнес партнера, и желает контролировать пользовательские мандаты для их веб приложений из внутренней Active Directory.

Новшества в AD FS для Windows Server 2008

Итак, что нового есть в AD FS для Windows Server 2008 по сравнению с Windows Server 2003 R2?

AD FS все еще является сравнительно новой технологией от компании Microsoft и это второе поколение данного продукта. Windows Server 2008 имеет некоторые новые функции для AD FS, которые не были доступны для Windows Server 2003 R2. Новые функциональные возможности этой службы снижают административные затраты и расширяют спектр поддерживаемых ключевых приложений Microsoft.

Вот краткий обзор новых функций:

• Усовершенствованная установка: AD FS входит в комплект в качестве роли сервера для Windows Server 2008, к мастеру установки также были добавлены проверки подтверждения сервера. Server Manager в Windows Server 2008 автоматически перечислит и установит все службы, которые AD FS требует во время установки роли AD FS (ASP.NET, IIS и т.д.).
• Улучшенная поддержка приложений: новая версия AD FS была более плотно интегрирована в Active Directory Rights Management Services (AD RMS) и Microsoft Office SharePoint Server 2007 (MOSS). MOSS 2007 теперь поддерживает возможности Single-Sign-On (SSO), которые интегрированы в AD FS. AD FS теперь поддерживает MOSS 2007 членство и провайдеров роли, что означает, что вы можете настраивать MOSS 2007 в качестве приложения, учитывающего запросы, в AD FS, а затем управлять любыми сайтами SharePoint, используя членский контроль и контроль доступа на основе роли.
• Более удобное администрирование при работе со смежными трастами: в AD FS была усовершенствована функция импорта и экспорта трастовой политики, чтобы свести к минимуму проблемы настройки конфигурации на основе партнерства (смежных конфигураций).

Как работает AD FS?

Active Directory Federation Services (AD FS) предоставляет службы идентифицированного управления между компаниями и смежными компаниями, которые позволяют большим корпорациям выборочно открывать инфраструктуру доверенным партнерам и клиентам. AD FS предоставляет три основные возможности:

• Аутентификация экстрасети (Extranet authentication)
• Технология Web single-sign-on
• Службы смежной идентификации для веб приложений на основе IIS (Identity federation services for IIS-based Web applications)

AD FS создана для использования в средних и больших организациях, имеющих следующие параметры:

• Как минимум одну службу директории (directory service): либо службу Active Directory Domain Services (AD DS), либо Active Directory Lightweight Directory Services (AD LDS)
• Компьютеры, объединенные на одном домене
• Компьютеры, использующие различные платформы операционных систем
• Компьютеры, подключенные к Интернет
• Одно или более веб приложений

Все связи между Active Directory и службой AD FS зашифрованы и все связи между клиентами и AD FS также зашифрованы в SSL.

Преимущество заключается в том, что в смежном окружении (federated environment) каждая компания продолжает управлять своими идентификациями, но каждая компания также может безопасно передавать и принимать идентификации других организаций.

Роли в AD FS

AD FS для Windows Server 2008 состоит из нескольких различных ролей, в зависимости от требований вашей организации вы можете разворачивать серверы, использующие одну или более AD FS ролей.

Вот обзор этих ролей:

• Служба Federation Service: Служба Federation Service может использоваться одним или несколькими смежными сервисами для совместного использования трастовой политики. Смежные сервисы используются для маршрутизации запросов аутентификации от учетных записей пользователей в других организациях или с клиентов, которые могут располагаться в сети Интернет.
• Модуль доступа Federation Service Proxy: Federation Service Proxy – это модуль доступа к Federation Service в сети периметра (DMZ). Модуль доступа Federation Service Proxy использует протоколы WS-Federation Passive Requestor Profile (WS-F PRP) для сбора пользовательских мандатов с браузера клиента, а затем отправляет мандаты пользователей службе Federation Service от имени этих пользователей.
• Агент, учитывающий запросы (Claims-aware agent): Агент Claims-aware устанавливается на веб сервер, на котором расположены приложения учитывающие запросы. Он необходим для того, чтобы разрешать запрос AD FS требований символов безопасности. К таким приложениям относятся Microsoft ASP.NET или другие стандартные приложения типа MOSS 2007.
• Агент Windows на базе маркера (token-based agent): Агент Windows на базе маркера может быть установлен на веб сервер, на котором расположены приложения Windows NT на базе маркера. Он необходим для поддержки преобразования из маркера безопасности AD FS в процесс выполнения роли другого компонента (impersonation-level). Приложения Windows NT на базе маркеров – это приложения использующие механизмы авторизации на базе Windows.

AD FS и ядро сервера (Server Core)

Роли Active Directory Federation Services не являются частью ядра сервера. Это от части является следствием их зависимости от ASP.NET, которая недоступна в ядре сервера.

AD FS и разработка

AD FS – это функция, которая может помочь разработчикам, создающим веб приложения. AD FS – может служить ключом при предоставлении защищенного внешнего доступа к вашим веб приложениям. AD FS можно использовать со службой Active Directory Lightweight Directory Services (AD LDS) в качестве провайдера идентификации для аутентификации и Windows Authorization Manager для контролирования политики доступа, обеспечивая полное решение для предоставления ваших веб приложений доверенным организациям.

Службы Active Directory Lightweight Directory Services

Active Directory Lightweight Directory Services (AD LDS) ранее известные как Active Directory Application Mode (ADAM) – это специальный режим AD, в котором службы директории настроены исключительно для приложений. Этот режим AD обеспечивает хранение и доступ к приложениям, используя те интерфейсы, которые понятны администраторам и разработчикам.

AD LDS – это LDAP хранение и получение доступа к данным службы директории для приложений, активированных в директории, без зависимостей, которые требуются для AD DS. Она также не хранит правила безопасности, которые хранятся в AD DS.

Разработчики могут использовать AD LDS для работы с информацией Active Directory в своих приложениях.

AD FS – это одно из приложений, использующее AD LDS для хранения информации мандатов.

Заключение

Active Directory Federation Services (AD FS) – это мощная функция в Windows Server 2008, которая дает организациям больше гибкости при подключении веб приложений и управлении мандатами учетных записей.

Интегрированная поддержка для Microsoft Office SharePoint Server 2007 просто замечательна, и она является характеристикой, на которую организациям, имеющим Интернет сайты продвижения и SharePoint сайты, следует обратить внимание.

Дополнительные ссылки о AD FS и AD LDS:

• General site about AD FS
• AD FS on Microsoft TechNet
• Step-by-step Guide for installing AD FS in Windows Server 2008
• Active Directory Lightweight Directory Services (AD LDS)
• Windows Authorization Manager