"For en komplett guide til sikkerhet, sjekk ut" Security + Study Guide og DVD Training System "fra Amazon.com"
Active Directory Federation Services ( ADFS)
Active Directory Federation Services, eller ADFS for kort, er den nye Microsoft webtjenester teknologi som gjør det mulig for selskaper å satse på web-baserte transaksjoner med forretningspartnere (business to business eller B2B) godt. Når du arbeider med andre selskaper må du noen ganger tillater klienter å få tilgang til ressurser i domenet, eller vice versa. På grunn av naturen av Internett, kan ressursdeling alltid være nervepirrende - det er mer sikkerhet som må iverksettes, og at teknologien kalles WS-Federation. De fleste ganger, gjør web-transaksjoner kan anses usikker, og hvis du trenger å vedlikeholde informasjon identitet for utenfor forretningspartnere og kunder, er ADFS for deg. Integrert tett med Active Directory, hjelper ADFS å holde web-transaksjoner sikker. En prøve B2B forbindelse kan sees i det neste bildet.
Som du ser av dette eksemplet, Company A og Selskap B trenger å dele en ressurs ... Company A intranett server. En datamaskin bruker i Selskap B ønsker å bruke den ressursen og under normale omstendigheter, hvis de ble logget inn Company A domene, et tillitsforhold kunne brukes. Også aldri glemme spørsmålet som er viktigst - hvordan gjør man det sikkert over det offentlige internett? Active Directory Federation Services (ADFS) gir en sikker infrastruktur for å bygge et forent identitetsadministrasjon løsning som kan utvide organisasjonens eksisterende identitet ledelse evner til Internett.
adfs Krav og fordeler
ADFS krever Active Directory, eller enda viktigere, brukerkontoer som er lagret i Active Directory. Federation tjenester bruker disse kontoene for B2B-godkjenning. Som du kan se, er ADFS tett integrert med Active Directory. ADFS godkjenner brukere mot Active Directory og den bruker sikkerhets tokens som er opprettet av Active Directory. Den bruker også Windows integrasjon autentisering. Hva gjør ADFS gjøre for deg? Ved å utplassere ADFS, kan du utvide Active Directory sikkert til Internett. Ved å gjøre dette, vil du være i stand til å opprettholde en sikker katalogtjenester infrastruktur uten å måtte bruke andre sign-on eller enkel pålogging (SSO) tilbydere. Du vil også være i stand til å la dine kunder og kunder til å bruke SSO og har en sømløs opplevelse av tilgang til ressurser aktiverte på tillit fra en organisasjon til den andre. Så hva blir det neste? Bygge føderasjonen tillit ...
Federation Trust
Akkurat som alle tillitsforhold i Windows, hvis satt opp riktig, vil du være i stand til å utvide dine tjenester til andre samarbeidspartnere, mulighet for godkjenning til å flyte og ressursbruk sømløs. Når du distribuerer ADFS du er i hovedsak å distribuere en føderasjon server som vil styre tilgangen til systemene basert på identifikasjon, autentisering og autorisasjon gjennom føderasjonen tillit-husk at du arbeider med det offentlige Internett, så det er viktig at du sikre og kontroll sendinger over den. Du kan ikke rive ned brannmuren din, men du kan trygt tillate overføringer gjennom det, og hvis de samme sendingene var også sikker og åpner for forenklet tilgang til ressurser på en sikker måte over Internett ... ADFS ble bygget for å gjøre det. Med en føderasjon tillit, kan du utvide Active Directory for å tillate deling av ressurser sikkert i et B2B miljø. Den neste illustrasjonen viser hvordan det ville se ut hvis du planlegger og distribuert en føderasjon tillit fra Company A til selskapet B. Ressursene er i selskapet A og Selskap B har klienter som ønsker å få tilgang til ressursen.
Nå som tilliten er planlagt fra ressursen domene til domene der du har kontoene dine, kan du ha sikker online transaksjoner mellom Selskap A og Selskap B forbundet med føderasjonen tillitsforhold. Føderasjonen tillit mellom de to federation servere viser 'retning' av den tillit som er viktig. I denne illustrasjonen ressursdomenet har klarert domene der regnskapet er basert ... brukeren domene. Pilen peker på kontoen siden av tillit, vekk fra ressursdomenet.
Når federation tilliten er etablert, kan autentiseringsforespørsler som er laget til intranett server i ressursdomenet strømme gjennom federation tillit fra brukere som befinner seg i det domene der regnskapet er plassert uten problem. Konfigurasjonsfeil og sette tilliten til den i feil retning vil holde deg fra å oppnå en vellykket tillitsforhold.
Merk Bilde:
Du kan bruke Active Directory Federation Services snap-in for å konfigurere federation tillit; dette vil bli dekket i en fremtidig artikkel.
La oss bruke denne siste illustrasjon som en oppsummering av hva som må planlegges:
Ved å utplassere federation servere som gir mulighet for en tillit til å krysse over brannmurer og offentlige Internett, kan du opprette stiftelser, dele ressurser og alt fra forlengelsen av Active Directory makt og ADFS.
Merk Bilde:
Sørg for at du forbereder deg til federation tillit. Du må forberede nettverket til å akseptere et forent tillit så vet portene og så videre og utforme forhånd er viktig å sikre at ADFS vil bli utplassert på riktig måte. Hvis den ene siden av en føderasjon tillit (enten kontoen partner eller ressursen partner) ikke er konfigurert, eller hvis det er feil konfigurert av administratoren for enten organisasjon, føderasjonen tillit kan ikke bli opprettet
Federation Servere
Som du har sett de siste to illustrasjoner, ved distribusjon ADFS, du skal utplassere nye federation servere for hvert område du ønsker å bygge federation klareringer til og fra. Ren og enkel, Federation servere vertskap for Federation Service komponent av ADFS som er WS-Federation. Disse serverne spille en svært viktig rolle ... de rute alle autentiseringsforespørsler laget av brukere i partner (B2B) organisasjoner over det offentlige Internett, selv klienter som ligger ute på offentlig Internett. Federation servere vil ha ulike roller avhengig av hvor de er plassert ... for eksempel, hvis du tenker på Selskap A og Selskap B, ressursene var i selskapet A, slik at serveren kommer til å ha en annen rolle rett og slett fordi det er basert i ressurs domene. Federation server plassert i domenet med regnskapene vil ha enda en server rolle. Rollene er lett å huske: hvis du har en føderasjon server i domenet uten ressursene brukes til å logge seg på lokale brukerkontoer i Active Directory. Federation servere i ressursdomene validere sikkerhetsmerker som er utstedt av forbundets servere på kontoen domene.
Ikke glem, er ADFS ny på R2, så hvis du ønsker å distribuere den, må du sørge for at R2 er riktig installert på din Windows Server 2003-systemer. Å bygge en føderasjon server, vil denne serveren må skaleres riktig. Bruk kravene oppført i linkene i denne artikkelen for å finne ut mer om R2, og de spesielle krav. Siden ADFS kan bare operere på R2 baserte servere, at du først har det konfigurert. Det er også spesielle krav i 'design' Føderasjons servere plassert på hver side av tillit så betaler nær oppmerksomhet til design når du bestemmer deg for å rulle ut ADFS.
Sammendrag
Den ADFS løsning hjelper administratorer håndtere forent identitet ledelse utfordringer ved å gjøre det mulig for organisasjoner å sikkert dele en brukers identitet informasjon over federation klareringer. ADFS støtter forent identitets scenarier som bruker Web Services Security (WS-Security) spesifikasjoner og kjernekomponenten Føderasjons truster - WS-Federation. I denne artikkelen vi dekket det grunnleggende av Active Directory Federation Services (ADFS) nye med utgivelsen av Windows Server 2003 R2. Vennligst bruk ressurs linker for å finne mer informasjon samt å laste ned og teste R2 og Federation klareringer for deg slik at du kan se den makten som de holder for din organisasjon eller dine klienter. Følg med for flere nyheter om R2 i fremtidige artikler.
Lenker og Reference Material
R2 Resource Center
http://www.microsoft.com/windowsserver2003/R2/default.mspx
Windows Server 2003 R2 Beta programvare
http://www.microsoft.com/windowsserver2003/R2/trial/default.mspx
R2 Systemkrav
http: //www.microsoft.com/windowsserver2003/evaluation/sysreqs/default.mspx