Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



25.02.2020

Koszty w górę

Zmiany w licencjach VMware
24.02.2020

VPN na nowo

WireGuard w Linuksie
24.02.2020

Wydajność pod kontrolą

Citrix Analytics for Performance
24.02.2020

Zaawansowany backup

Veeam Availability Suite v10
20.02.2020

Serwery Enterprise

OVHCloud stawia na Ryzeny
20.02.2020

Monitory dla biznesu

Newline IP
20.02.2020

Przemysłowe SSD

Dyski Transcend M.2 NVMe
23.01.2020

Google Project Zero

Inicjatywa Google Project Zero
23.01.2020

Ochrona tylko w chmurze

Kaspersky Security Cloud Free

ADFS – relacje zaufania federacji

Data publikacji: 21-07-2015 Autor: Michał Gajda
Kierunek relacji zaufania...

Relacje zaufania federacji są alternatywą dla nadawania dostępu do zasobów użytkownikom z obcych usług Active Directory. Jednocześnie, dzięki wykorzystaniu protokołu HTTPS, pozwalają na ich łatwą implementację w ramach infrastruktury IT, bez konieczności kłopotliwego zestawiania relacji zaufania usługi AD.

Zastosowanie usługi Active Directory Federation Services (ADFS) pozwala na wdrożenie w ramach infrastruktury organizacji mechanizmu jednokrotnego logowania. Przedstawiane rozwiązanie domyślnie pozwala na dostęp do zasobów organizacji przy wykorzystaniu lokalnego lasu usługi Active Directory, w ramach której został zainstalowany i skonfigurowany serwer ADFS. Niemniej jednak odpytywanie lokalnego lasu AD poprzez usługę federacyjną nie jest jedynym źródłem informacji o uwierzytelnianych kontach użytkowników. W praktyce możliwe jest odpytywanie praktycznie dowolnej usługi Active Directory w celu umożliwienia dostępu dla konkretnych użytkowników. Aby to było możliwe, konieczne jest zestawienie odpowiednich relacji zaufania, które zostaną przybliżone w niniejszym artykule.

Dzięki możliwości zestawienia relacji zaufania federacji możliwe jest zapewnienie dla usługi federacyjnej, bezpiecznego kanału pomiędzy lokalną a partnerską usługą federacyjną. Partnerską usługą federacyjną może być odseparowany las usługi Active Directory, dostępny na przykład w ramach strefy zdemilitaryzowanej (DMZ) lub dowolnej partnerskiej organizacji. Oczywiście, wymogiem do realizacji omawianego celu jest konieczność posiadania odpowiednio skonfigurowanych usług federacyjnych w ramach obydwu stron realizowanego zaufania.

Sam kanał komunikacji w prezentowanych relacjach zaufania federacji jest bardzo prosty w ustanowieniu oraz w całej obsłudze. W przeciwieństwie do zaufania usług Active Directory wymagane jest jedynie zapewnienie łączności w ramach protokołu HTTPS. Dodatkowo ważne jest odpowiednie ustanowienie kierunku zaufania pomiędzy odpowiednimi serwerami usługi federacyjnej. Mianowicie należy pamiętać, aby zaufanie było zwrócone od strony partnera obsługującego zasoby do partnera obsługującego konta, czyli analogicznie jak w przypadku klasycznego zaufania jednokierunkowego usługi Active Directory. Dzięki niniejszemu podejściu, poprzez uwierzytelnianie kont partnerskiego lasu AD, możliwe jest uzyskanie dostępu do udostępnianych zasobów dla usługi jednokrotnego logowania.

> KONFIGURACJA PARTNERA ZASOBÓW

Podstawowym elementem podczas zestawiania relacji zaufania federacji jest utworzenie dla usługi federacyjnej obiektu zaufanego dostawcy oświadczeń. W ramach tworzonego obiektu konieczne jest zdefiniowanie niezbędnych metadanych, wskazujących na serwer ADSF dla usługi federacyjnej partnera kont. Oczywiście, samo utworzenie obiektu zaufanego dostawcy nie jest jedyną czynnością, jaką należy wykonać na omawianym etapie. Dodatkowo konieczne jest zdefiniowanie odpowiednich reguł oświadczeń, tak aby lokalna usługa federacyjna mogła właściwie wykorzystywać przychodzące oświadczenia od zaufanego dostawcy. Niniejszy proces został opisany krok po kroku w ramce Tworzenie zaufanego dostawcy oświadczeń.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"