Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



23.06.2020

PLNOG Online

PLNOG Online
23.06.2020

Nowe zagrożenie

Ramsay
23.06.2020

Chmurowe kopie

Veeam Backup dla Microsoft Azure
19.06.2020

Nowości w kontenerach

Red Hat OpenShift 4.4
19.06.2020

Analityka bezpieczeństwa

FortiAI
19.06.2020

UPS dla obliczeń edge

Schneider APC Smart-UPS
16.06.2020

Przemysłowe SD

Nowe karty Transcend
16.06.2020

Storage dla SMB

QNAP TS-451DeU
16.06.2020

Pamięć masowa

Dell EMC PowerStore

ADFS – relacje zaufania federacji

Data publikacji: 21-07-2015 Autor: Michał Gajda
Kierunek relacji zaufania...

Relacje zaufania federacji są alternatywą dla nadawania dostępu do zasobów użytkownikom z obcych usług Active Directory. Jednocześnie, dzięki wykorzystaniu protokołu HTTPS, pozwalają na ich łatwą implementację w ramach infrastruktury IT, bez konieczności kłopotliwego zestawiania relacji zaufania usługi AD.

Zastosowanie usługi Active Directory Federation Services (ADFS) pozwala na wdrożenie w ramach infrastruktury organizacji mechanizmu jednokrotnego logowania. Przedstawiane rozwiązanie domyślnie pozwala na dostęp do zasobów organizacji przy wykorzystaniu lokalnego lasu usługi Active Directory, w ramach której został zainstalowany i skonfigurowany serwer ADFS. Niemniej jednak odpytywanie lokalnego lasu AD poprzez usługę federacyjną nie jest jedynym źródłem informacji o uwierzytelnianych kontach użytkowników. W praktyce możliwe jest odpytywanie praktycznie dowolnej usługi Active Directory w celu umożliwienia dostępu dla konkretnych użytkowników. Aby to było możliwe, konieczne jest zestawienie odpowiednich relacji zaufania, które zostaną przybliżone w niniejszym artykule.

Dzięki możliwości zestawienia relacji zaufania federacji możliwe jest zapewnienie dla usługi federacyjnej, bezpiecznego kanału pomiędzy lokalną a partnerską usługą federacyjną. Partnerską usługą federacyjną może być odseparowany las usługi Active Directory, dostępny na przykład w ramach strefy zdemilitaryzowanej (DMZ) lub dowolnej partnerskiej organizacji. Oczywiście, wymogiem do realizacji omawianego celu jest konieczność posiadania odpowiednio skonfigurowanych usług federacyjnych w ramach obydwu stron realizowanego zaufania.

Sam kanał komunikacji w prezentowanych relacjach zaufania federacji jest bardzo prosty w ustanowieniu oraz w całej obsłudze. W przeciwieństwie do zaufania usług Active Directory wymagane jest jedynie zapewnienie łączności w ramach protokołu HTTPS. Dodatkowo ważne jest odpowiednie ustanowienie kierunku zaufania pomiędzy odpowiednimi serwerami usługi federacyjnej. Mianowicie należy pamiętać, aby zaufanie było zwrócone od strony partnera obsługującego zasoby do partnera obsługującego konta, czyli analogicznie jak w przypadku klasycznego zaufania jednokierunkowego usługi Active Directory. Dzięki niniejszemu podejściu, poprzez uwierzytelnianie kont partnerskiego lasu AD, możliwe jest uzyskanie dostępu do udostępnianych zasobów dla usługi jednokrotnego logowania.

> KONFIGURACJA PARTNERA ZASOBÓW

Podstawowym elementem podczas zestawiania relacji zaufania federacji jest utworzenie dla usługi federacyjnej obiektu zaufanego dostawcy oświadczeń. W ramach tworzonego obiektu konieczne jest zdefiniowanie niezbędnych metadanych, wskazujących na serwer ADSF dla usługi federacyjnej partnera kont. Oczywiście, samo utworzenie obiektu zaufanego dostawcy nie jest jedyną czynnością, jaką należy wykonać na omawianym etapie. Dodatkowo konieczne jest zdefiniowanie odpowiednich reguł oświadczeń, tak aby lokalna usługa federacyjna mogła właściwie wykorzystywać przychodzące oświadczenia od zaufanego dostawcy. Niniejszy proces został opisany krok po kroku w ramce Tworzenie zaufanego dostawcy oświadczeń.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"