Relacje zaufania federacji są alternatywą dla nadawania dostępu do zasobów użytkownikom z obcych usług Active Directory. Jednocześnie, dzięki wykorzystaniu protokołu HTTPS, pozwalają na ich łatwą implementację w ramach infrastruktury IT, bez konieczności kłopotliwego zestawiania relacji zaufania usługi AD.

Zastosowanie usługi Active Directory Federation Services (ADFS) pozwala na wdrożenie w ramach infrastruktury organizacji mechanizmu jednokrotnego logowania. Przedstawiane rozwiązanie domyślnie pozwala na dostęp do zasobów organizacji przy wykorzystaniu lokalnego lasu usługi Active Directory, w ramach której został zainstalowany i skonfigurowany serwer ADFS. Niemniej jednak odpytywanie lokalnego lasu AD poprzez usługę federacyjną nie jest jedynym źródłem informacji o uwierzytelnianych kontach użytkowników. W praktyce możliwe jest odpytywanie praktycznie dowolnej usługi Active Directory w celu umożliwienia dostępu dla konkretnych użytkowników. Aby to było możliwe, konieczne jest zestawienie odpowiednich relacji zaufania, które zostaną przybliżone w niniejszym artykule.

Dzięki możliwości zestawienia relacji zaufania federacji możliwe jest zapewnienie dla usługi federacyjnej, bezpiecznego kanału pomiędzy lokalną a partnerską usługą federacyjną. Partnerską usługą federacyjną może być odseparowany las usługi Active Directory, dostępny na przykład w ramach strefy zdemilitaryzowanej (DMZ) lub dowolnej partnerskiej organizacji. Oczywiście, wymogiem do realizacji omawianego celu jest konieczność posiadania odpowiednio skonfigurowanych usług federacyjnych w ramach obydwu stron realizowanego zaufania.

Sam kanał komunikacji w prezentowanych relacjach zaufania federacji jest bardzo prosty w ustanowieniu oraz w całej obsłudze. W przeciwieństwie do zaufania usług Active Directory wymagane jest jedynie zapewnienie łączności w ramach protokołu HTTPS. Dodatkowo ważne jest odpowiednie ustanowienie kierunku zaufania pomiędzy odpowiednimi serwerami usługi federacyjnej. Mianowicie należy pamiętać, aby zaufanie było zwrócone od strony partnera obsługującego zasoby do partnera obsługującego konta, czyli analogicznie jak w przypadku klasycznego zaufania jednokierunkowego usługi Active Directory. Dzięki niniejszemu podejściu, poprzez uwierzytelnianie kont partnerskiego lasu AD, możliwe jest uzyskanie dostępu do udostępnianych zasobów dla usługi jednokrotnego logowania.

> KONFIGURACJA PARTNERA ZASOBÓW

Podstawowym elementem podczas zestawiania relacji zaufania federacji jest utworzenie dla usługi federacyjnej obiektu zaufanego dostawcy oświadczeń. W ramach tworzonego obiektu konieczne jest zdefiniowanie niezbędnych metadanych, wskazujących na serwer ADSF dla usługi federacyjnej partnera kont. Oczywiście, samo utworzenie obiektu zaufanego dostawcy nie jest jedyną czynnością, jaką należy wykonać na omawianym etapie. Dodatkowo konieczne jest zdefiniowanie odpowiednich reguł oświadczeń, tak aby lokalna usługa federacyjna mogła właściwie wykorzystywać przychodzące oświadczenia od zaufanego dostawcy. Niniejszy proces został opisany krok po kroku w ramce Tworzenie zaufanego dostawcy oświadczeń.