ADFS — это новая функция операционной системы Windows Server 2008. Она обеспечивает унифицированное решение для доступа через браузер для внутренних и внешних пользователей. Эта новая функция может даже обеспечить связь между учетными записями и приложениями между двумя совершенно разными сетями или организациями.
Чтобы понять, как работает ADFS, сначала рассмотрим, как работает Active Directory. Когда пользователь проходит аутентификацию через Active Directory, контроллер домена проверяет сертификат пользователя. Подтвердив, что он является законным пользователем, он может свободно получить доступ к любым авторизованным ресурсам в сети Windows без необходимости повторной аутентификации каждый раз, когда он обращается к другому серверу. ADFS применяет ту же концепцию к Интернету. Мы все знаем, что когда веб-приложению требуется доступ к внутренним данным, расположенным в базе данных или к другим типам внутренних ресурсов, вопросы аутентификации безопасности для внутренних ресурсов часто усложняются. Сегодня существует множество различных методов аутентификации, позволяющих обеспечить такую аутентификацию. Например, пользователь может реализовать механизм аутентификации владения через сервер RADIUS (служба удаленной аутентификации пользователей с телефонным подключением) или через часть кода приложения. Все эти механизмы аутентификации могут реализовывать функции аутентификации, но у них также есть некоторые недостатки. Одним из недостатков является управление учетными записями. Управление учетными записями не является большой проблемой, когда доступ к приложениям имеют только собственные сотрудники компании. Однако если все поставщики и клиенты компании будут использовать приложение, пользователи внезапно обнаружат, что им необходимо создавать новые учетные записи пользователей для сотрудников других компаний. Второй недостаток – обслуживание. Когда сотрудники из других компаний уходят и нанимаются новые сотрудники, пользователям также необходимо удалять старые учетные записи и создавать новые.
Чем ADFS может вам помочь?
Что было бы, если бы пользователи переложили задачи по управлению учетными записями на своих клиентов, поставщиков или других лиц, использующих веб-приложение. Представьте, что веб-приложение предоставляет услуги другим предприятиям, и пользователям больше не нужно создавать пользователей для этих учетных записей или сбрасывать их настройки. ваш пароль. Кроме того, пользователям больше не нужно входить в приложение, чтобы использовать его. Это было бы очень интересно.
Что нужно ADFS?
Конечно, службы федерации Active Directory также требуют использования других конфигураций, и пользователям нужны некоторые серверы для выполнения этих функций. Самым простым является сервер федерации, на котором работает компонент службы федерации ADFS. Основная роль сервера федерации — отправлять запросы от разных внешних пользователей. Он также отвечает за выдачу токенов прошедшим проверку подлинности пользователям.
Кроме того, в большинстве случаев требуется совместный агент. Представьте себе, если внешняя сеть должна иметь возможность установить протокол федерации с внутренней сетью пользователя, это означает, что сервер федерации пользователя должен быть доступен через Интернет. Но федерация Active Directory не сильно зависит от Active Directory, поэтому прямой доступ сервера федерации к Интернету сопряжен с большими рисками. По этой причине сервер федерации не может быть подключен напрямую к Интернету, а доступ к нему осуществляется через прокси-сервер федерации. Прокси-сервер федерации перенаправляет запросы федерации извне на сервер федерации, чтобы сервер федерации не подвергался непосредственному воздействию внешнего мира.
Еще одним важным компонентом ADFS является веб-агент ADFS. Веб-приложения должны иметь механизм аутентификации внешних пользователей. Этими механизмами являются веб-прокси ADFS. Веб-прокси ADFS управляет маркерами безопасности и файлами cookie проверки подлинности, выдаваемыми веб-серверам.
В следующей статье мы проведем вас через смоделированную тестовую среду, чтобы испытать новые возможности, которые служба ADFS предоставляет предприятиям. Без лишних слов, давайте начнем тест конфигурации ADFS.
Шаг 1. Задачи перед установкой
Чтобы выполнить следующий эксперимент, пользователи должны подготовить как минимум четыре компьютера перед установкой ADFS.
1) Настройте операционную систему компьютера и сетевое окружение.
Используйте следующую таблицу, чтобы настроить компьютерную систему и сетевое окружение для теста.
2) Установите AD DS.
Пользователи используют инструмент Dcpromo для создания нового леса Active Directory для каждого сервера федерации (FS). Конкретное имя можно найти в таблице конфигурации ниже.
3) Создайте учетные записи пользователей и учетные записи ресурсов.
После настройки двух лесов пользователи могут использовать инструмент «Учетные записи пользователей и компьютеры» (Active Directory — пользователи и компьютеры), чтобы создать несколько учетных записей для подготовки к следующим экспериментам. В следующем списке приведены некоторые примеры для справки пользователя:
4) Присоедините тестовый компьютер к соответствующему домену.
Следуйте приведенной ниже таблице, чтобы добавить соответствующие компьютеры в соответствующий домен. Следует отметить, что перед добавлением этих компьютеров в домен пользователям необходимо отключить брандмауэр на соответствующем контроллере домена.
Шаг 2. Установите службу роли AD FS и настройте сертификат.
Теперь, когда мы настроили компьютеры и добавили их в домен, мы также установили компоненты ADFS на каждый сервер.
1) Установить сервис альянса
Установите службу альянса на два компьютера. После завершения установки эти два компьютера станут серверами альянса. Следующие шаги помогут нам создать новый файл политики доверия, SSL и сертификат:
Нажмите «Пуск», выберите «Администрирование» и нажмите «Диспетчер сервера». Щелкните правой кнопкой мыши «Управление ролями» и выберите «Добавить роли», чтобы запустить мастер добавления роли. Нажмите «Далее» на странице «Перед началом работы». На странице «Выбор ролей сервера» выберите «Службы федерации Active Directory» и нажмите «Далее». Установите флажок «Служба федерации» в разделе «Выбрать службы ролей». Если система предложит пользователю установить службы ролей веб-сервера (IIS) или службы активации Windows (WAS), нажмите «Добавить необходимые службы ролей», чтобы добавить их, и нажмите «Далее» после завершения. На странице «Выбор сертификата для шифрования SSL» нажмите «Создать самозаверяющий сертификат для шифрования SSL», нажмите «Далее», чтобы продолжить, на странице «Выбор сертификата для подписи токена» нажмите «Создать самозаверяющий сертификат для подписи токена», нажмите «Далее». Выберите политику доверия. На странице выберите «Создать новую политику доверия». Далее перейдите на страницу «Выбор служб ролей» и нажмите «Далее», чтобы подтвердить значение по умолчанию. После проверки информации в разделе «Подтверждение параметров установки» вы можете нажать «Установить», чтобы начать установку.
[Вырезанная страница]
2) Назначьте учетную запись локальной системы удостоверению ADFSAppPool.
Нажмите «Пуск», в диспетчере служб IIS в разделе «Администрирование» дважды щелкните ADFSRESOURCE или ADFSACCOUNT, выберите «Пулы приложений», щелкните правой кнопкой мыши ADFSAppPool на центральной панели, выберите «Задать параметры пула приложений по умолчанию», нажмите «Локальная система», а затем выберите «Задать параметры пула приложений по умолчанию». выберите ОК.
3) Установите веб-агент AD FS.
В Диспетчере сервера в разделе «Администрирование» щелкните правой кнопкой мыши «Управление ролями», выберите «Добавить роли», выберите «Службы федерации Active Directory» на странице «Выбор ролей сервера» в соответствии с мастером, нажмите «Далее» и установите флажок «Агент с поддержкой утверждений» в окне «Выбрать службы ролей». . Если мастер предложит пользователю установить ролевые службы веб-сервера (IIS) или службы активации Windows (WAS), нажмите «Добавить необходимые ролевые службы», чтобы завершить установку. После завершения на странице «Выбор ролевых служб» установите флажок «Аутентификация сопоставления сертификатов клиента» (для выполнения этого шага IIS необходимо создать самозаверяющую службу аутентификации). После проверки информации вы можете начать установку.
Для успешной настройки веб-сервера и сервера альянса еще одним важным шагом является создание, импорт и экспорт сертификатов. Ранее мы использовали мастер добавления ролей для создания сертификатов авторизации между серверами альянса. Осталось только создать соответствующие сертификаты авторизации для компьютера adfsweb. Из-за ограниченности места я не буду подробно описывать это здесь. Соответствующий контент вы можете найти в статьях этой серии, посвященных сертификатам.
Шаг 3. Настройте веб-сервер
На этом этапе мы в основном хотим выполнить настройку приложения, поддерживающего утверждения, на веб-сервере (adfsweb).
Сначала нам нужно настроить IIS, это включить настройки SSL для веб-сайта adfsweb по умолчанию. После завершения дважды щелкните «Веб-сайты» в ADFSWEB IIS, щелкните правой кнопкой мыши «Веб-сайт по умолчанию», выберите «Добавить приложение» и введите «claimapp». В диалоговом окне «Псевдоним добавления приложения» нажмите кнопку «...», создайте новую папку с именем «claimapp», а затем подтвердите. Следует отметить, что при названии новой папки лучше всего не использовать заглавные буквы, иначе при дальнейшем использовании вам придется использовать соответствующие заглавные буквы.
Шаг 4. Настройка сервера Alliance
Теперь, когда мы установили службу ADFS и настроили веб-сервер для доступа к приложению, поддерживающему заявки, давайте настроим союзные службы двух компаний (Trey Research и A. Datum Corporation) в тестовой среде.
Давайте сначала настроим политику доверия. Нажмите «Службы федерации Active Directory» в разделе «Администрирование», дважды щелкните «Служба федерации», щелкните правой кнопкой мыши и выберите «Политика доверия» и выберите «Свойства». Введите urn:federation:adatum в поле URI службы федерации на вкладке Общие. Затем убедитесь, что следующий URL-адрес правильный в текстовом поле URL-адрес конечной точки службы федерации https://adfsaccount.adatum.com/adfs/ls/. Наконец, введите A. Datum в поле «Отображаемое имя» для этой политики доверия на вкладке «Отображаемое имя» и выберите ОК. Конечно. После завершения мы снова входим в службы федерации Active Directory. Дважды щелкните «Служба федерации», «Политика доверия», «Моя организация», щелкните правой кнопкой мыши «Заявки организации», выберите «Создать», а затем выберите «Заявка организации» в поле «Имя заявки» в поле «Создать заявку». Диалоговое окно «Новая заявка на организацию». Убедитесь, что выбрана групповая заявка, и нажмите «ОК». Конфигурация другой компании по сути аналогична описанной выше операции, поэтому не буду вдаваться в подробности еще раз.
Шаг 5. Доступ к пилотному приложению через клиентский компьютер
Настройка параметров браузера для службы федерации adfsaccount.
Войдите в adfsclient как пользователь alansh, запустите IE, выберите «Свойства обозревателя» в меню «Сервис», выберите «Локальная интрасеть» на вкладке «Безопасность», а затем нажмите «Сайты». Затем нажмите «Дополнительно» в поле «Добавить этот веб-сайт в зону». .adatum.com нажмите «Добавить». Затем введите https://adfsweb.treyresearch.net/claimapp/ в браузере IE. Но когда будет предложено указать домашнюю область, нажмите A. Datum, а затем нажмите «Отправить». Таким образом, образец приложения с поддержкой утверждений отображается в браузере, и пользователь может видеть выбранные утверждения приложения в коллекции SingleSignOnIdentity.SecurityPropertyCollection. Если во время доступа возникла проблема, пользователь может запустить iisreset или перезагрузить компьютер adfsweb, а затем попытаться получить доступ еще раз.
На данный момент базовая тестовая модель ADFS создана. Конечно, ADFS по-прежнему представляет собой комплексную и сложную новую технологию. В реальной производственной среде нам еще предстоит выполнить множество операций и настроек. Как уже говорилось выше, ADFS значительно расширит возможности веб-приложений и повысит уровень информатизации внешнего бизнеса компании. Подождем и посмотрим, как технология ADFS в Windows Server 2008 будет использоваться в практических приложениях.
[Вырезанная страница]2) Назначьте учетную запись локальной системы удостоверению ADFSAppPool.
Нажмите «Пуск», в диспетчере служб IIS в разделе «Администрирование» дважды щелкните ADFSRESOURCE или ADFSACCOUNT, выберите «Пулы приложений», щелкните правой кнопкой мыши ADFSAppPool на центральной панели, выберите «Задать параметры пула приложений по умолчанию», нажмите «Локальная система», а затем выберите «Задать параметры пула приложений по умолчанию». выберите ОК.
3) Установите веб-агент AD FS.
В Диспетчере сервера в разделе «Администрирование» щелкните правой кнопкой мыши «Управление ролями», выберите «Добавить роли», выберите «Службы федерации Active Directory» на странице «Выбор ролей сервера» в соответствии с мастером, нажмите «Далее» и установите флажок «Агент с поддержкой утверждений» в окне «Выбрать службы ролей». . Если мастер предложит пользователю установить ролевые службы веб-сервера (IIS) или службы активации Windows (WAS), нажмите «Добавить необходимые ролевые службы», чтобы завершить установку. После завершения на странице «Выбор ролевых служб» установите флажок «Аутентификация сопоставления сертификатов клиента» (для выполнения этого шага IIS необходимо создать самозаверяющую службу аутентификации). После проверки информации вы можете начать установку.
Для успешной настройки веб-сервера и сервера альянса еще одним важным шагом является создание, импорт и экспорт сертификатов. Ранее мы использовали мастер добавления ролей для создания сертификатов авторизации между серверами альянса. Осталось только создать соответствующие сертификаты авторизации для компьютера adfsweb. Из-за ограниченности места я не буду подробно описывать это здесь. Соответствующий контент можно найти в статьях этой серии, посвященных сертификатам.
Шаг 3. Настройте веб-сервер
На этом этапе мы в основном хотим выполнить настройку приложения, поддерживающего утверждения, на веб-сервере (adfsweb).
Сначала нам нужно настроить IIS, это включить настройки SSL для веб-сайта adfsweb по умолчанию. После завершения дважды щелкните «Веб-сайты» в ADFSWEB IIS, щелкните правой кнопкой мыши «Веб-сайт по умолчанию», выберите «Добавить приложение» и введите «claimapp». В диалоговом окне «Псевдоним добавления приложения» нажмите кнопку «...», создайте новую папку с именем «claimapp», а затем подтвердите. Следует отметить, что при названии новой папки лучше всего не использовать заглавные буквы, иначе при дальнейшем использовании вам придется использовать соответствующие заглавные буквы.
Шаг 4. Настройка сервера Alliance
Теперь, когда мы установили службу ADFS и настроили веб-сервер для доступа к приложению, поддерживающему заявки, давайте настроим союзные службы двух компаний (Trey Research и A. Datum Corporation) в тестовой среде.
Давайте сначала настроим политику доверия. Нажмите «Службы федерации Active Directory» в разделе «Администрирование», дважды щелкните «Служба федерации», щелкните правой кнопкой мыши и выберите «Политика доверия» и выберите «Свойства». Введите urn:federation:adatum в поле URI службы федерации на вкладке Общие. Затем убедитесь, что следующий URL-адрес правильный в текстовом поле URL-адрес конечной точки службы федерации https://adfsaccount.adatum.com/adfs/ls/. Наконец, введите A. Datum в поле «Отображаемое имя» для этой политики доверия на вкладке «Отображаемое имя» и выберите ОК. Конечно. После завершения мы снова входим в службы федерации Active Directory. Дважды щелкните «Служба федерации», «Политика доверия», «Моя организация», щелкните правой кнопкой мыши «Заявки организации», выберите «Создать», а затем выберите «Заявка организации» в поле «Имя заявки» в поле «Создать заявку». Диалоговое окно «Новая заявка на организацию». Убедитесь, что выбрана групповая заявка, и нажмите «ОК». Конфигурация другой компании по сути аналогична описанной выше операции, поэтому не буду вдаваться в подробности еще раз.
Шаг 5. Доступ к пилотному приложению через клиентский компьютер
Настройка параметров браузера для службы федерации adfsaccount.
Войдите в adfsclient как пользователь alansh, запустите IE, выберите «Свойства обозревателя» в меню «Сервис», выберите «Локальная интрасеть» на вкладке «Безопасность», а затем нажмите «Сайты». Затем нажмите «Дополнительно» в поле «Добавить этот веб-сайт в зону». .adatum.com нажмите «Добавить». Затем введите https://adfsweb.treyresearch.net/claimapp/ в браузере IE. Но когда будет предложено указать домашнюю область, нажмите A. Datum, а затем нажмите «Отправить». Таким образом, образец приложения с поддержкой утверждений отображается в браузере, и пользователь может видеть выбранные утверждения приложения в коллекции SingleSignOnIdentity.SecurityPropertyCollection. Если во время доступа возникла проблема, пользователь может запустить iisreset или перезагрузить компьютер adfsweb, а затем попытаться получить доступ еще раз.
На данный момент базовая тестовая модель ADFS создана. Конечно, ADFS по-прежнему представляет собой комплексную и сложную новую технологию. В реальной производственной среде нам еще предстоит выполнить множество операций и настроек. Как уже говорилось выше, ADFS значительно расширит возможности веб-приложений и повысит уровень информатизации внешнего бизнеса компании. Подождем и посмотрим, как технология ADFS в Windows Server 2008 будет использоваться в практических приложениях.