Implantando servidores de federação

Para implantar servidores de federação no AD FS (Serviços de Federação do Active Directory (AD FS)), conclua cada uma das tarefas em Lista de verificação: configurar um servidor de federação.

Observação

Ao usar essa lista de verificação, é recomendável primeiro fazer a leitura das referências para o planejamento do servidor de federação no Guia de design do AD FS no Windows Server 2012 antes de iniciar os procedimentos para configurar os servidores. Seguir a lista de verificação dessa maneira fornecerá um melhor reconhecimento do processo de design e de implantação para servidores de federação.

Sobre os servidores de federação

Os servidores de federação são computadores que executam o Windows Server 2008 com o software AD FS instalado e foram configurados para atuar na função de servidor de federação. Os servidores de federação autenticam ou roteiam as solicitações de contas de usuário em outras organizações e de computadores cliente que podem estar localizados em qualquer lugar na Internet.

Ao instalar o software AD FS em um computador e usar o Assistente de Configuração do Servidor de Federação do AD FS para configurá-lo para a função de servidor de federação tornará esse computador um servidor de federação. Ele também disponibiliza o snap-in Gerenciamento do AD FS nesse computador no menu Iniciar\Ferramentas Administrativas\ para que você possa especificar o seguinte:

  • O nome do host do AD FS em que as organizações e os aplicativos de parceiros enviarão as solicitações e as respostas de token

  • O identificador do AD FS que as organizações e os aplicativos de parceiros usarão para identificar o nome ou o local exclusivo da organização

  • O certificado de assinatura de token que todos os servidores de federação em um farm de servidores usarão para emitir e assinar os tokens

  • A localização de páginas da Web do ASP.NET personalizadas para fazer logon, logoff e descoberta de parceiro de conta cliente que aprimorarão a experiência do cliente

    Observação

    A maioria dessas configurações principais da interface do usuário está contida no arquivo web.config em cada servidor de federação. O nome do host do AD FS e os valores do identificador do AD FS não são especificados no arquivo web.config.

Os servidores de federação hospedam um mecanismo de emissão de declarações que emite tokens com base nas credenciais (por exemplo, nome de usuário e senha) apresentadas a ele. Um token de segurança é uma unidade de dados assinada criptograficamente que expressa uma ou mais declarações. Uma declaração é uma instrução que um servidor faz (por exemplo, nome, identidade, chave, grupo, privilégio ou capacidade) sobre um cliente. Após as credenciais serem verificadas no servidor de federação (por meio do processo de logon do usuário), as declarações do usuário serão coletadas pelo exame dos atributos do usuário armazenados no repositório de atributos especificado.

Em designs de SSO (Logon Único) da Web Federado (designs do AD FS em que há duas ou mais organizações envolvidas), é possível modificar as declarações por regras de declaração para uma terceira parte confiável específica. As declarações são incorporadas a um token que é enviado a um servidor de federação na organização do parceiro de recurso. Depois que um servidor de federação no parceiro de recurso recebe as declarações como declarações de entrada, ele executa o mecanismo de emissão de declarações para executar um conjunto de regras de declaração para filtrar, passar ou transformar essas declarações. Em seguida, as declarações são incorporadas a um novo token que é enviado ao servidor Web no parceiro de recurso.

No design de SSO da Web (um design do AD FS em que há apenas uma organização envolvida), é possível usar um único servidor de federação para que os funcionários possam fazer logon uma vez e ainda acessar vários aplicativos.