Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


31.08.2020

Konferencja PIKE 2020 „Nowy...

Polska Izba Komunikacji Elektronicznej wraz z Polską Fundacją Wspierania Rozwoju...
31.08.2020

Sprawna migracja

Oracle Cloud VMware Solution
31.08.2020

Aktywne cybergangi

Grupa Lazarus
31.08.2020

Coraz groźniej

Ransomware
31.08.2020

Analityka w chmurze

SAS Viya 4
31.08.2020

Fujitsu

Fujitsu zaprezentowało odświeżone portfolio biurowych komputerów stacjonarnych Esprimo...
31.08.2020

Monitory dla biura

EIZO FlexScan
27.08.2020

ABBYY FineReader Server –...

Obecna sytuacja na świecie spowodowała, że musieliśmy się odnaleźć w nowych realiach...
27.08.2020

E-commerce ratuje gospodarkę

W tym roku rodzimy handel elektroniczny odnotowuje najwyższy – od kilkunastu lat –...

ADFS – relacje zaufania federacji

Data publikacji: 21-07-2015 Autor: Michał Gajda
Kierunek relacji zaufania...

Relacje zaufania federacji są alternatywą dla nadawania dostępu do zasobów użytkownikom z obcych usług Active Directory. Jednocześnie, dzięki wykorzystaniu protokołu HTTPS, pozwalają na ich łatwą implementację w ramach infrastruktury IT, bez konieczności kłopotliwego zestawiania relacji zaufania usługi AD.

Zastosowanie usługi Active Directory Federation Services (ADFS) pozwala na wdrożenie w ramach infrastruktury organizacji mechanizmu jednokrotnego logowania. Przedstawiane rozwiązanie domyślnie pozwala na dostęp do zasobów organizacji przy wykorzystaniu lokalnego lasu usługi Active Directory, w ramach której został zainstalowany i skonfigurowany serwer ADFS. Niemniej jednak odpytywanie lokalnego lasu AD poprzez usługę federacyjną nie jest jedynym źródłem informacji o uwierzytelnianych kontach użytkowników. W praktyce możliwe jest odpytywanie praktycznie dowolnej usługi Active Directory w celu umożliwienia dostępu dla konkretnych użytkowników. Aby to było możliwe, konieczne jest zestawienie odpowiednich relacji zaufania, które zostaną przybliżone w niniejszym artykule.

Dzięki możliwości zestawienia relacji zaufania federacji możliwe jest zapewnienie dla usługi federacyjnej, bezpiecznego kanału pomiędzy lokalną a partnerską usługą federacyjną. Partnerską usługą federacyjną może być odseparowany las usługi Active Directory, dostępny na przykład w ramach strefy zdemilitaryzowanej (DMZ) lub dowolnej partnerskiej organizacji. Oczywiście, wymogiem do realizacji omawianego celu jest konieczność posiadania odpowiednio skonfigurowanych usług federacyjnych w ramach obydwu stron realizowanego zaufania.

Sam kanał komunikacji w prezentowanych relacjach zaufania federacji jest bardzo prosty w ustanowieniu oraz w całej obsłudze. W przeciwieństwie do zaufania usług Active Directory wymagane jest jedynie zapewnienie łączności w ramach protokołu HTTPS. Dodatkowo ważne jest odpowiednie ustanowienie kierunku zaufania pomiędzy odpowiednimi serwerami usługi federacyjnej. Mianowicie należy pamiętać, aby zaufanie było zwrócone od strony partnera obsługującego zasoby do partnera obsługującego konta, czyli analogicznie jak w przypadku klasycznego zaufania jednokierunkowego usługi Active Directory. Dzięki niniejszemu podejściu, poprzez uwierzytelnianie kont partnerskiego lasu AD, możliwe jest uzyskanie dostępu do udostępnianych zasobów dla usługi jednokrotnego logowania.

> KONFIGURACJA PARTNERA ZASOBÓW

Podstawowym elementem podczas zestawiania relacji zaufania federacji jest utworzenie dla usługi federacyjnej obiektu zaufanego dostawcy oświadczeń. W ramach tworzonego obiektu konieczne jest zdefiniowanie niezbędnych metadanych, wskazujących na serwer ADSF dla usługi federacyjnej partnera kont. Oczywiście, samo utworzenie obiektu zaufanego dostawcy nie jest jedyną czynnością, jaką należy wykonać na omawianym etapie. Dodatkowo konieczne jest zdefiniowanie odpowiednich reguł oświadczeń, tak aby lokalna usługa federacyjna mogła właściwie wykorzystywać przychodzące oświadczenia od zaufanego dostawcy. Niniejszy proces został opisany krok po kroku w ramce Tworzenie zaufanego dostawcy oświadczeń.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"