Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



31.12.2020

Cykl webinarów

weinnovators.club
30.12.2020

Integracja z Teams

Veeam Backup
30.12.2020

Namierzanie zagrożeń

Flowmon Networks i Fortinet
30.12.2020

Wsparcie dla przedsiębiorstw

VMware Cloud on AWS
29.12.2020

Nowe NAS-y Thunderbolt 3

QNAP QuTS TVS-h1288X i TVS-h1688X
29.12.2020

Modele kompaktowe

VPL-PHZ60 i VPL-PHZ50
28.12.2020

Dedykowane przemysłowi

Seria TJ
28.12.2020

Nowa generacja

Router QHora-301W

ADFS – relacje zaufania federacji

Data publikacji: 21-07-2015 Autor: Michał Gajda
Kierunek relacji zaufania...

Relacje zaufania federacji są alternatywą dla nadawania dostępu do zasobów użytkownikom z obcych usług Active Directory. Jednocześnie, dzięki wykorzystaniu protokołu HTTPS, pozwalają na ich łatwą implementację w ramach infrastruktury IT, bez konieczności kłopotliwego zestawiania relacji zaufania usługi AD.

Zastosowanie usługi Active Directory Federation Services (ADFS) pozwala na wdrożenie w ramach infrastruktury organizacji mechanizmu jednokrotnego logowania. Przedstawiane rozwiązanie domyślnie pozwala na dostęp do zasobów organizacji przy wykorzystaniu lokalnego lasu usługi Active Directory, w ramach której został zainstalowany i skonfigurowany serwer ADFS. Niemniej jednak odpytywanie lokalnego lasu AD poprzez usługę federacyjną nie jest jedynym źródłem informacji o uwierzytelnianych kontach użytkowników. W praktyce możliwe jest odpytywanie praktycznie dowolnej usługi Active Directory w celu umożliwienia dostępu dla konkretnych użytkowników. Aby to było możliwe, konieczne jest zestawienie odpowiednich relacji zaufania, które zostaną przybliżone w niniejszym artykule.

Dzięki możliwości zestawienia relacji zaufania federacji możliwe jest zapewnienie dla usługi federacyjnej, bezpiecznego kanału pomiędzy lokalną a partnerską usługą federacyjną. Partnerską usługą federacyjną może być odseparowany las usługi Active Directory, dostępny na przykład w ramach strefy zdemilitaryzowanej (DMZ) lub dowolnej partnerskiej organizacji. Oczywiście, wymogiem do realizacji omawianego celu jest konieczność posiadania odpowiednio skonfigurowanych usług federacyjnych w ramach obydwu stron realizowanego zaufania.

Sam kanał komunikacji w prezentowanych relacjach zaufania federacji jest bardzo prosty w ustanowieniu oraz w całej obsłudze. W przeciwieństwie do zaufania usług Active Directory wymagane jest jedynie zapewnienie łączności w ramach protokołu HTTPS. Dodatkowo ważne jest odpowiednie ustanowienie kierunku zaufania pomiędzy odpowiednimi serwerami usługi federacyjnej. Mianowicie należy pamiętać, aby zaufanie było zwrócone od strony partnera obsługującego zasoby do partnera obsługującego konta, czyli analogicznie jak w przypadku klasycznego zaufania jednokierunkowego usługi Active Directory. Dzięki niniejszemu podejściu, poprzez uwierzytelnianie kont partnerskiego lasu AD, możliwe jest uzyskanie dostępu do udostępnianych zasobów dla usługi jednokrotnego logowania.

> KONFIGURACJA PARTNERA ZASOBÓW

Podstawowym elementem podczas zestawiania relacji zaufania federacji jest utworzenie dla usługi federacyjnej obiektu zaufanego dostawcy oświadczeń. W ramach tworzonego obiektu konieczne jest zdefiniowanie niezbędnych metadanych, wskazujących na serwer ADSF dla usługi federacyjnej partnera kont. Oczywiście, samo utworzenie obiektu zaufanego dostawcy nie jest jedyną czynnością, jaką należy wykonać na omawianym etapie. Dodatkowo konieczne jest zdefiniowanie odpowiednich reguł oświadczeń, tak aby lokalna usługa federacyjna mogła właściwie wykorzystywać przychodzące oświadczenia od zaufanego dostawcy. Niniejszy proces został opisany krok po kroku w ramce Tworzenie zaufanego dostawcy oświadczeń.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"