ADFS é um novo recurso do sistema operacional Windows Server 2008. Ele fornece uma solução de acesso unificada para acesso baseado em navegador para usuários internos e externos. Este novo recurso pode até permitir a comunicação entre contas e aplicativos entre duas redes ou organizações completamente diferentes.
Para entender como funciona o ADFS, você pode primeiro considerar como funciona o Active Directory. Quando um usuário se autentica por meio do Active Directory, o controlador de domínio verifica o certificado do usuário. Depois de provar ser um usuário legítimo, o usuário pode acessar livremente quaisquer recursos autorizados na rede Windows sem precisar se autenticar novamente cada vez que acessar um servidor diferente. ADFS aplica o mesmo conceito à Internet. Todos sabemos que quando uma aplicação web precisa acessar dados de back-end localizados em um banco de dados ou outros tipos de recursos de back-end, os problemas de autenticação de segurança para os recursos de back-end costumam ser complicados. Existem muitos métodos de autenticação diferentes disponíveis hoje para fornecer tal autenticação. Por exemplo, o usuário pode implementar um mecanismo de autenticação de propriedade através de um servidor RADIUS (Remote Authentication Dial-in User Service) ou através de uma parte do código do aplicativo. Todos esses mecanismos de autenticação podem implementar funções de autenticação, mas também apresentam algumas deficiências. Uma desvantagem é o gerenciamento de contas. O gerenciamento de contas não é um grande problema quando os aplicativos são acessados apenas pelos próprios funcionários da empresa. No entanto, se todos os fornecedores e clientes da empresa usarem o aplicativo, os usuários descobrirão repentinamente que precisam criar novas contas de usuário para funcionários de outras empresas. A segunda deficiência é a manutenção. Quando funcionários de outras empresas saem e novos funcionários são contratados, os usuários também precisam excluir contas antigas e criar novas.
O que o ADFS pode fazer por você?
Como seria se os usuários transferissem tarefas de gerenciamento de contas para seus clientes, fornecedores ou outras pessoas usando o aplicativo Web. Imagine que o aplicativo Web fornecesse serviços para outras empresas e os usuários não precisassem mais criar usuários para esses funcionários ou redefinir. sua senha. Se isso não bastasse, os usuários não precisam mais fazer login no aplicativo para utilizá-lo. Isso seria uma coisa tão emocionante.
O que o ADFS precisa?
É claro que os serviços de federação do Active Directory também exigem o uso de outras configurações, e os usuários precisam de alguns servidores para executar essas funções. O mais básico é o servidor de federação, que executa o componente de serviço de federação do ADFS. A principal função do servidor de federação é enviar solicitações de diferentes usuários externos. Ele também é responsável pela emissão de tokens para usuários autenticados.
Além disso, na maioria dos casos, é necessário um agente conjunto. Imagine só, se a rede externa precisa ser capaz de estabelecer um protocolo de federação com a rede interna do usuário, isso significa que o servidor de federação do usuário deve estar acessível através da Internet. Mas a federação do Active Directory não depende muito do Active Directory, portanto, expor diretamente o servidor da federação à Internet trará grandes riscos. Por causa disso, o servidor de federação não pode ser conectado diretamente à Internet, mas é acessado por meio do proxy de federação. O proxy de federação encaminha solicitações de federação externas para o servidor de federação, para que o servidor de federação não fique diretamente exposto ao mundo externo.
Outro componente importante do ADFS é o Agente Web ADFS. Os aplicativos da Web devem ter um mecanismo para autenticar usuários externos. Esses mecanismos são o proxy da web ADFS. O proxy web ADFS gerencia tokens de segurança e cookies de autenticação emitidos para servidores web.
No artigo a seguir, conduziremos você por um ambiente de teste simulado para experimentar a nova experiência que o serviço ADFS traz para as empresas. Sem mais delongas, vamos iniciar o teste de configuração do ADFS.
Etapa 1: tarefas de pré-instalação
Para concluir o experimento a seguir, os usuários devem preparar pelo menos quatro computadores antes de instalar o ADFS.
1) Configure o sistema operacional e o ambiente de rede do computador
Use a tabela a seguir para configurar o sistema do computador e o ambiente de rede para o teste.
2)Instale o ADDS
Os usuários usam a ferramenta Dcpromo para criar uma nova floresta do Active Directory para cada servidor de federação (FS). Para obter o nome específico, consulte a tabela de configuração abaixo.
3) Crie contas de usuário e contas de recursos
Depois de configurar as duas florestas, os usuários podem usar a ferramenta "Contas de Usuário e Computadores" (Usuários e Computadores do Active Directory) para criar algumas contas em preparação para os experimentos a seguir. A lista a seguir fornece alguns exemplos para referência do usuário:
4) Junte o computador de teste ao domínio apropriado
Siga a tabela abaixo para adicionar os computadores correspondentes ao domínio apropriado. Deve-se observar que antes de adicionar esses computadores ao domínio, os usuários precisam desabilitar o firewall no controlador de domínio correspondente.
Etapa 2: instalar o serviço de função do AD FS e configurar o certificado
Agora que configuramos os computadores e os adicionamos ao domínio, também instalamos os componentes ADFS em cada servidor.
1) Instale o serviço de aliança
Instalar o serviço de aliança em dois computadores Após a conclusão da instalação, os dois computadores se tornarão servidores de aliança. As etapas a seguir nos orientarão na criação de um novo arquivo de política de confiança, SSL e certificado:
Clique em Iniciar, selecione Ferramentas Administrativas e clique em Gerenciador de Servidores. Clique com o botão direito em Gerenciar funções e selecione Adicionar funções para iniciar o Assistente para adicionar funções. Clique em Avançar na página Antes de começar. Na página Selecionar funções de servidor, selecione Serviços de Federação do Active Directory e clique em Avançar. Marque a caixa de seleção Serviço de Federação em Selecionar Serviços de Função. Se o sistema solicitar que o usuário instale os serviços de função do Servidor Web (IIS) ou do Serviço de Ativação do Windows (WAS), clique em Adicionar Serviços de Função Necessários para adicioná-los e clique em Avançar quando concluído. Na página Escolher um certificado para criptografia SSL, clique em Criar um certificado autoassinado para criptografia SSL, clique em Avançar para continuar, na página Escolher certificado de assinatura de token, clique em Criar um certificado de assinatura de token autoassinado e clique em Avançar. Selecione Política de Confiança Na página, selecione Criar uma nova política de confiança. Em seguida, entre na página Selecionar Serviços de Função e clique em Avançar para confirmar o valor padrão. Após verificar as informações em Confirmar opções de instalação, você pode clicar em Instalar para iniciar a instalação.
[Página cortada]
2) Atribua a conta do sistema local à identidade ADFSAppPool
Clique em Iniciar, no Gerenciador do Internet Information Services (IIS) em Ferramentas Administrativas, clique duas vezes em ADFSRESOURCE ou ADFSACCOUNT, selecione Pools de Aplicativos, clique com o botão direito em ADFSAppPool no painel central, selecione Definir Padrões do Pool de Aplicativos, em Tipo de Identidade, clique em LocalSystem e, em seguida, clique em Iniciar. selecione OK.
3) Instale o Agente Web do AD FS
No Gerenciador do Servidor em Ferramentas Administrativas, clique com o botão direito em Gerenciar Funções, selecione Adicionar funções, selecione Serviços de Federação do Active Directory na página Selecionar Funções de Servidor de acordo com o assistente, clique em Avançar e marque a caixa de seleção Agente com reconhecimento de declarações na janela Selecionar Serviços de Função . Se o assistente solicitar que o usuário instale os serviços de função do Servidor Web (IIS) ou do Serviço de Ativação do Windows (WAS), clique em Adicionar Serviços de Função Necessários para concluir a instalação. Após a conclusão, na página Selecionar serviços de função, marque a caixa de seleção Autenticação de mapeamento de certificado de cliente (para realizar esta etapa, o IIS precisa criar uma autenticação de serviço autoassinada). Depois de verificar as informações, você pode iniciar a instalação.
Para configurar com sucesso um servidor web e um servidor de aliança, outra etapa importante é a criação, importação e exportação de certificados. Anteriormente, usamos o assistente de adição de função para criar certificados de autorização de servidor entre servidores da aliança. Tudo o que resta fazer é criar os certificados de autorização correspondentes para o computador adfsweb. Devido ao espaço limitado, não irei apresentá-lo em detalhes aqui. Para conteúdo relacionado, você pode conferir os artigos relacionados ao certificado da série.
Etapa 3: configurar o servidor web
Nesta etapa, o que queremos concluir principalmente é como configurar um aplicativo com reconhecimento de declarações em um servidor Web (adfsweb).
Primeiro, configuramos o IIS. Tudo o que precisamos fazer é ativar as configurações de SSL do site padrão adfsweb. Após a conclusão, clicamos duas vezes em Sites no ADFSWEB do IIS, clicamos com o botão direito em Site padrão, selecionamos Adicionar aplicativo e digitamos Claimapp. o Alias da caixa de diálogo Adicionar aplicativo Clique no botão..., crie uma nova pasta chamada Claimapp e confirme. Deve-se observar que é melhor não usar letras maiúsculas ao nomear uma nova pasta, caso contrário você precisará usar as letras maiúsculas correspondentes ao usá-la posteriormente.
Etapa 4: configurar o servidor da aliança
Agora que instalamos o serviço ADFS e configuramos o servidor web para acessar o aplicativo com reconhecimento de declarações, vamos configurar os serviços de aliança das duas empresas (Trey Research e A. Datum Corporation) no ambiente de teste.
Vamos primeiro configurar a política de confiança. Clique em Serviços de Federação do Active Directory em Ferramentas Administrativas, clique duas vezes em Serviço de Federação, clique com o botão direito e selecione Política de Confiança e selecione Propriedades. Digite urn:federation:adatum na opção URI do Serviço de Federação na guia Geral. Em seguida, verifique se o URL a seguir está correto na caixa de texto URL do terminal do Serviço de Federação https://adfsaccount.adatum.com/adfs/ls/ Por fim, digite A. Datum no Nome de exibição para esta política de confiança na guia Nome de exibição e selecione OK Claro. Após a conclusão, entramos novamente nos Serviços de Federação do Active Directory. Clique duas vezes em Serviço de Federação, Política de Confiança, Minha Organização, clique com o botão direito em Declarações da Organização, clique em Nova e clique em Declaração da Organização. Digite Trey ClaimApp Claim no nome da declaração em Criar uma. Caixa de diálogo Nova declaração de organização. Certifique-se de que a reivindicação de grupo esteja selecionada e clique em OK. A configuração de outra empresa é basicamente semelhante à operação acima, por isso não entrarei em detalhes novamente.
Etapa 5: Acesse o aplicativo piloto por meio do computador cliente
Definir as configurações do navegador para o serviço de federação adfsaccount
Faça login no adfsclient como usuário alansh, inicie o IE, clique em Opções da Internet no menu Ferramentas, clique em Intranet local na guia Segurança e clique em Sites. Em seguida, clique em Avançado. Digite https://adfsaccount em Adicionar este site à zona. .adatum.com, clique em Adicionar. Em seguida, digite https://adfsweb.treyresearch.net/claimapp/ no navegador IE. Mas quando for solicitado o domínio inicial, clique em A. Datum e em Enviar. Dessa forma, o aplicativo de exemplo com reconhecimento de declarações aparece no navegador e o usuário pode ver as declarações selecionadas do aplicativo no SingleSignOnIdentity.SecurityPropertyCollection. Se houver algum problema durante o acesso, o usuário pode executar o iisreset ou reiniciar o computador adfsweb e tentar acessar novamente.
Neste ponto, um modelo básico de teste ADFS foi construído. É claro que o ADFS ainda é uma nova tecnologia abrangente e complexa. Em um ambiente de produção real, ainda teremos muitas operações e configurações. conforme mencionado acima, o ADFS expandirá enormemente os recursos dos aplicativos da Web e expandirá o nível de informatização dos negócios externos da empresa. Vamos esperar e ver como a tecnologia ADFS no Windows Server 2008 é usada em aplicações práticas.
[Página cortada]2) Atribua a conta do sistema local à identidade ADFSAppPool
Clique em Iniciar, no Gerenciador do Internet Information Services (IIS) em Ferramentas Administrativas, clique duas vezes em ADFSRESOURCE ou ADFSACCOUNT, selecione Pools de Aplicativos, clique com o botão direito em ADFSAppPool no painel central, selecione Definir Padrões do Pool de Aplicativos, em Tipo de Identidade, clique em LocalSystem e, em seguida, clique em Iniciar. selecione OK.
3) Instale o Agente Web do AD FS
No Gerenciador do Servidor em Ferramentas Administrativas, clique com o botão direito em Gerenciar Funções, selecione Adicionar funções, selecione Serviços de Federação do Active Directory na página Selecionar Funções de Servidor de acordo com o assistente, clique em Avançar e marque a caixa de seleção Agente com reconhecimento de declarações na janela Selecionar Serviços de Função . Se o assistente solicitar que o usuário instale os serviços de função do Servidor Web (IIS) ou do Serviço de Ativação do Windows (WAS), clique em Adicionar Serviços de Função Necessários para concluir a instalação. Após a conclusão, na página Selecionar serviços de função, marque a caixa de seleção Autenticação de mapeamento de certificado de cliente (para realizar esta etapa, o IIS precisa criar uma autenticação de serviço autoassinada). Depois de verificar as informações, você pode iniciar a instalação.
Para configurar com sucesso um servidor web e um servidor de aliança, outra etapa importante é a criação, importação e exportação de certificados. Anteriormente, usamos o assistente de adição de função para criar certificados de autorização de servidor entre servidores da aliança. Tudo o que resta fazer é criar os certificados de autorização correspondentes para o computador adfsweb. Devido ao espaço limitado, não irei apresentá-lo em detalhes aqui. Para conteúdo relacionado, você pode conferir os artigos relacionados ao certificado da série.
Etapa 3: configurar o servidor web
Nesta etapa, o que queremos concluir principalmente é como configurar um aplicativo com reconhecimento de declarações em um servidor Web (adfsweb).
Primeiro, configuramos o IIS. Tudo o que precisamos fazer é ativar as configurações de SSL do site padrão adfsweb. Após a conclusão, clicamos duas vezes em Sites no ADFSWEB do IIS, clicamos com o botão direito em Site padrão, selecionamos Adicionar aplicativo e digitamos Claimapp. o Alias da caixa de diálogo Adicionar aplicativo Clique no botão..., crie uma nova pasta chamada Claimapp e confirme. Deve-se observar que é melhor não usar letras maiúsculas ao nomear uma nova pasta, caso contrário você precisará usar as letras maiúsculas correspondentes ao usá-la posteriormente.
Etapa 4: configurar o servidor da aliança
Agora que instalamos o serviço ADFS e configuramos o servidor web para acessar o aplicativo com reconhecimento de declarações, vamos configurar os serviços de aliança das duas empresas (Trey Research e A. Datum Corporation) no ambiente de teste.
Vamos primeiro configurar a política de confiança. Clique em Serviços de Federação do Active Directory em Ferramentas Administrativas, clique duas vezes em Serviço de Federação, clique com o botão direito e selecione Política de Confiança e selecione Propriedades. Digite urn:federation:adatum na opção URI do Serviço de Federação na guia Geral. Em seguida, verifique se o URL a seguir está correto na caixa de texto URL do terminal do Serviço de Federação https://adfsaccount.adatum.com/adfs/ls/ Por fim, digite A. Datum no Nome de exibição para esta política de confiança na guia Nome de exibição e selecione OK Claro. Após a conclusão, entramos novamente nos Serviços de Federação do Active Directory. Clique duas vezes em Serviço de Federação, Política de Confiança, Minha Organização, clique com o botão direito em Declarações da Organização, clique em Nova e clique em Declaração da Organização. Digite Trey ClaimApp Claim no nome da declaração em Criar uma. Caixa de diálogo Nova declaração de organização. Certifique-se de que a reivindicação de grupo esteja selecionada e clique em OK. A configuração de outra empresa é basicamente semelhante à operação acima, por isso não entrarei em detalhes novamente.
Etapa 5: Acesse o aplicativo piloto por meio do computador cliente
Definir as configurações do navegador para o serviço de federação adfsaccount
Faça login no adfsclient como usuário alansh, inicie o IE, clique em Opções da Internet no menu Ferramentas, clique em Intranet local na guia Segurança e clique em Sites. Em seguida, clique em Avançado. Digite https://adfsaccount em Adicionar este site à zona. .adatum.com, clique em Adicionar. Em seguida, digite https://adfsweb.treyresearch.net/claimapp/ no navegador IE. Mas quando for solicitado o domínio inicial, clique em A. Datum e em Enviar. Dessa forma, o aplicativo de exemplo com reconhecimento de declarações aparece no navegador e o usuário pode ver as declarações selecionadas do aplicativo no SingleSignOnIdentity.SecurityPropertyCollection. Se houver algum problema durante o acesso, o usuário pode executar o iisreset ou reiniciar o computador adfsweb e tentar acessar novamente.
Neste ponto, um modelo básico de teste ADFS foi construído. É claro que o ADFS ainda é uma nova tecnologia abrangente e complexa. Em um ambiente de produção real, ainda teremos muitas operações e configurações. conforme mencionado acima, o ADFS expandirá enormemente os recursos dos aplicativos da Web e expandirá o nível de informatização dos negócios externos da empresa. Vamos esperar e ver como a tecnologia ADFS no Windows Server 2008 é usada em aplicações práticas.