Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



20.07.2020

Baramundi

Pomoc w czasie pandemii.
20.07.2020

Stop infekcjom

CloudGuard
17.07.2020

Analiza zagrożeń

Kaspersky Threat Attribution Engine
17.07.2020

Strażnik danych

QGD-1602P
16.07.2020

Dysk przemysłowy

Transcend MTE352T
16.07.2020

Połączenie sił

Fugaku
16.07.2020

Brama bezpieczeństwa

Check Point 1570R
23.06.2020

PLNOG Online

PLNOG Online
23.06.2020

Nowe zagrożenie

Ramsay

Wdrażanie usług federacyjnych

Data publikacji: 22-05-2015 Autor: Michał Gajda
Rys. 1. Generowanie żądania...

Usługi federacyjne są jednym z wielu rozwiązań pozwalających na wdrożenie jednokrotnego logowania (Single Sign On). Podstawą działania takiego mechanizmu może być najnowsze wydanie serwera ADFS 3.0, dostarczane w ramach systemu Windows Server 2012 R2.

Rozwój organizacji wiąże się z koniecznością stosowania coraz to większej liczby aplikacji, które pozwalają sprawnie zarządzać konkretnymi obszarami firmy. Niestety, nadmiar narzędzi często wiąże się z koniecznością stosowania przez jednego użytkownika wielu różnych loginów i haseł. Takie podejście nie wpływa zbyt korzystnie na kwestie bezpieczeństwa zasobów IT. Rozwiązaniem tego typu problemu jest stosowanie usługi jednokrotnego logowania, znane jako Single Sign On (SSO).

Usługi SSO pracują jako niezależne komponenty, które tylko pośredniczą w procesie uwierzytelniania użytkownika w ramach różnych aplikacji webowych. Z jednej strony dostarczają one programistom niezbędnego API, które umożliwia zaimplementowanie danego mechanizmu wewnątrz tworzonych aplikacji, z drugiej strony pozwalają na odpytywanie centralnej bazy kont użytkowników. Zazwyczaj taką bazą jest usługa katalogowa (np. Active Directory). Z kolei jednym z rozwiązań pozwalających na wdrożenie mechanizmu jednokrotnego logowania są tak zwane usługi federacyjne, będące rozszerzeniem usługi katalogowej, dostępne w ramach serwera Active Directory Federation Server (ADFS).

> ACTIVE DIRECTORY FEDERATION SERVER

Usługi federacyjne w systemach serwerowych Windows nie są niczym nowym – ich pierwsza wersja została udostępniona wraz z Windows Server 2003 R2. W ciągu kolejnych lat usługa Active Directory Federation Server była rozwijana, a jej obecna wersja, pomimo iż oznaczona numerem 3.0, jest już piątym z kolei wydaniem.

Jak wspomniano, podstawowym celem omawianej usługi jest zapewnienie uproszczonego dostępu do wielu aplikacji webowych dzięki wykorzystaniu SSO. Sama sesja jednokrotnego logowania tworzona jest w momencie uwierzytelniania do pierwszej z dostępnych aplikacji webowych. Weryfikowane są wtedy poświadczenia bazujące np. na lokalnym lesie Active Directory. W przypadku pomyślnego zakończenia procedury poświadczenia zapamiętywane są w ramach sesji serwera ADFS. Każdorazowy dostęp do kolejnych aplikacji wykorzystujących mechanizmy serwera ADFS odbywa się z wykorzystaniem istniejącej już sesji, dlatego nie ma konieczności kolejnego podawania poświadczeń użytkownika.

Usługi federacyjne nie skupiają się jedynie na samym uwierzytelnianiu, pozwalają również na mapowanie zdefiniowanych zestawów atrybutów uwierzytelnionych kont użytkownika Active Directory do aplikacji końcowej. Dodatkowo usługi federacyjne służą też do zestawiania połączeń pomiędzy odrębnymi lasami AD – oczywiście podobną rolę pełnią relacje zaufania stosowane pomiędzy lasami usługi katalogowej, niemniej jednak dotyczą one dostępności wszystkich elementów lasu, co niekiedy nie jest pożądanym efektem. Ponadto relacje zaufania Active Directory wymagają udostępniania łączności na specyficznych portach usługi katalogowej, co przekłada się na problemy związane z bezpieczeństwem. 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"