Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
É recomendável que você aprenda sobre os conceitos importantes dos Serviços de Federação do Ative Directory e se familiarize com seu conjunto de recursos.
Tip
Você pode encontrar links de recursos adicionais do AD FS em Noções básicas sobre conceitos de chave do AD FS.
Terminologia do AD FS usada neste guia
| Termo AD FS | Definition |
|---|---|
| Organização parceira da conta | Uma organização parceira de federação que é representada por uma entidade provedora de declarações no Serviço de Federação. A organização parceira da conta inclui os utilizadores que irão aceder a aplicações baseadas na Web na organização parceira dos recursos. |
| Servidor de federação de conta | O servidor de federação na organização parceira da conta. O servidor de federação de conta emite tokens de segurança para os usuários com base na autenticação do usuário. O servidor autentica o usuário, extrai os atributos relevantes e as informações de associação ao grupo do repositório de atributos, empacota essas informações em declarações e gera e assina um token de segurança (que contém as declarações) para retornar ao usuário — seja para ser usado em sua própria organização ou para ser enviado a uma organização parceira. |
| Base de dados de configuração do AD FS | Um banco de dados usado para armazenar todos os dados de configuração que representam uma única instância do AD FS ou Serviço de Federação. Esses dados de configuração podem ser armazenados em um banco de dados do SQL Server ou usando o recurso Banco de Dados Interno do Windows incluído no Windows Server 2016, Windows Server 2012 e 2012 R2 e Windows Server 2008 e 2008 R2.
Você pode criar o banco de dados de configuração do AD FS para SQL Server usando a ferramenta de linha de comando Fsconfig.exe e para o Banco de Dados Interno do Windows usando o Assistente de Configuração do Servidor de Federação do AD FS. |
| Provedor de sinistros | A organização que fornece reivindicações aos seus utilizadores. Veja organização parceira da conta. |
| Confiança do provedor de declarações | No snap-in de Gestão do AD FS, as relações de confiança do provedor de declarações são objetos de confiança normalmente criados em organizações parceiras de recursos para representar a organização na relação de confiança, cujas contas irão aceder a recursos na organização parceira de recursos. Um objeto de confiança de fornecedor de declarações consiste numa variedade de identificadores, nomes e regras que identificam este parceiro junto ao Serviço de Federação local. |
| Confiança do provedor de declarações local | Um objeto de confiança que representa diretórios do AD LDS ou baseados em LDAP de terceiros num farm do AD FS. Um objeto de confiança do provedor de declarações local consiste em uma variedade de identificadores, nomes e regras que identificam esse diretório baseado em LDAP para o Serviço de Federação local. |
| Metadados de federação | O formato de dados para comunicar informações de configuração entre um provedor de declarações e uma parte confiável, a fim de facilitar a configuração adequada das relações de confiança do provedor de declarações e das relações de confiança da parte confiável. O formato de dados é definido em SAML (Security Assertion Markup Language) 2.0 e é estendido no WS-Federation. |
| Servidor de federação | Um Windows Server que foi configurado usando o Assistente de Configuração do Servidor de Federação do AD FS para atuar na função de servidor de federação. Um servidor de federação emite tokens e serve como parte de um Serviço de Federação. |
| Proxy do servidor de federação | Um Windows Server que foi configurado usando o Assistente de Configuração de Proxy do Servidor de Federação do AD FS para atuar como um serviço de proxy intermediário entre um cliente da Internet e um Serviço de Federação localizado atrás de um firewall em uma rede corporativa. |
| Servidor de federação primário | Um Windows Server que foi configurado na função de servidor de federação usando o Assistente de Configuração do Servidor de Federação do AD FS e tem uma cópia de leitura/gravação do banco de dados de configuração do AD FS.
O servidor de federação primário é criado quando você usa o Assistente de Configuração do Servidor de Federação do AD FS e seleciona a opção para criar um novo Serviço de Federação e tornar esse computador o primeiro servidor de federação no farm. Todos os outros servidores de federação nesta fazenda devem replicar as alterações feitas no servidor de federação primário para uma cópia somente leitura do banco de dados de configuração do AD FS armazenada localmente. O termo "servidor de federação primário" não se aplica quando o banco de dados de configuração do AD FS é armazenado em um banco de dados SQL, pois todos os servidores de federação podem ler e gravar igualmente em um banco de dados de configuração armazenado em um SQL Server. |
| Parte confiadora | A organização que recebe e processa reclamações. Consulte a organização parceira de recursos. |
| Confiança da parte confiadora | No snap-in de gestão do AD FS, as confianças de partes confiáveis são objetos de confiança normalmente criados em: - Organizações parceiras de conta para representar a organização na relação de confiança cujas contas estarão a aceder a recursos na organização parceira de recursos. Um objeto de confiança de terceira parte confiável consiste em uma variedade de identificadores, nomes e regras que identificam esse parceiro ou aplicativo Web para o Serviço de Federação local. |
| Servidor de federação de recursos | O servidor de federação na organização parceira de recursos. O servidor de federação de recursos normalmente emite tokens de segurança para os usuários com base em um token de segurança emitido por um servidor de federação de conta. O servidor recebe o token de segurança, verifica a assinatura, aplica a lógica da regra de declaração às declarações não empacotadas para produzir as declarações de saída desejadas, gera um novo token de segurança (com as declarações de saída) com base nas informações do token de segurança de entrada e assina o novo token para retornar ao usuário e, finalmente, ao aplicativo Web. |
| Organização parceira de recursos | Um parceiro de federação representado por uma relação de confiança de terceira parte no Serviço de Federação. O parceiro de recursos emite tokens de segurança baseados em reivindicações que incluem aplicações web publicadas, as quais os utilizadores do parceiro de conta podem aceder. |
Visão geral do AD FS
O AD FS é uma solução de acesso de identidade que fornece aos computadores clientes (internos ou externos à sua rede) acesso SSO contínuo a aplicativos ou serviços protegidos voltados para a Internet, mesmo quando as contas de usuário e os aplicativos estão localizados em redes ou organizações completamente diferentes.
Quando um aplicativo ou serviço está em uma rede e uma conta de usuário está em outra rede, normalmente o usuário é solicitado a fornecer credenciais secundárias quando ele ou ela tenta acessar o aplicativo ou serviço. Essas credenciais secundárias representam a identidade do usuário no território onde o aplicativo ou serviço reside. Eles geralmente são exigidos pelo servidor Web que hospeda o aplicativo ou serviço para que ele possa tomar a decisão de autorização mais apropriada.
Com o AD FS, as organizações podem ignorar solicitações de credenciais secundárias fornecendo relações de confiança (confianças de federação) que essas organizações podem usar para projetar a identidade digital e os direitos de acesso de um usuário para parceiros confiáveis. Nesse ambiente federado, cada organização continua a gerenciar suas próprias identidades, mas cada organização também pode projetar e aceitar identidades de outras organizações com segurança.