Các dịch vụ miền của Windows Server 2008 – Phần 2: Active Directory Federation Services

Peter Schmidt

Trong phần hai của loạt bài về Domain Service của Windows Server 2008, chúng tôi sẽ tập trung vào Active Directory Federation Services (AD FS) và giới thiệu tóm tắt về Active Directory Lightweight Directory Services (AD LDS). AD FS và AD LDS đã được giới thiệu đến trong Windows Server 2003 (R2) và luôn được phát triển và cải thiện cùng với Windows Server 2008.

Active Directory Federation Services là gì?

Active Directory Federation Services (AD FS) là tính năng đã được giới thiệu đến trong Windows Server 2003 R2, tính năng này cung cấp giải pháp nhận dạng truy cập. Nó cho phép các trình duyệt trên client, bên trong hoặc bên ngoài mạng của bạn có khả năng truy cập một lần (Single-Sign-On (SSO)) vào các ứng dụng dựa trên Web. Tuy nhiên bạn cũng cần lưu ý rằng AD FS chỉ làm việc cho các ứng dụng nền tảng Web. AD FS có thể được sử dụng trong việc cấu hình Web hoặc các môi trường SharePoint. Nó cũng rất hữu dụng khi một công ty nào đó có các máy chủ web nằm trong một DNZ hoặc trên một hãng hosting từ xa hoặc đối tác kinh doanh và muốn kiểm soát các thông tin quan trọng đối với các ứng dụng web của họ từ Active Directory bên trong.

Những điểm mới trong AD FS của Windows Server 2008

Vậy những gì là mới của AD FS trong Windows Server 2008 khi mang so sánh với Windows Server 2003 R2?

AD FS vẫn là một công nghệ tương đối mới của Microsoft và đây là thế hệ thứ hai của sản phẩm này. Windows Server 2008 có một số tính năng mới cho AD FS, các tính năng này không có sẵn trong Windows Server 2003 R2. Các tính năng mới này sẽ tạo điều kiện dễ dàng trong quản trị và mở rộng sự hỗ trợ cho các ứng dụng chính của Microsoft.

Tổng quan về một số tính năng mới:

  • Cải thiện về vấn đề cài đặt:
    Wizard cài đặt của AD FS gồm một role máy chủ trong Windows Server 2008 và các kiểm tra hợp lệ hóa máy chủ. Server Manager trong Windows Server 2008 sẽ tự động liệt kê và cài đặt tất cả các dịch vụ mà AD FS yêu cầu trong quá trình cài đặt AD FS role (ASP.NET, IIS,..).
  • Cải thiện về sự hỗ trợ:
    Phiên bản mới của AD FS đã được tích hợp chặt chẽ hơn với Active Directory Rights Management Services (AD RMS) và Microsoft Office SharePoint Server 2007 (MOSS). MOSS 2007 hiện hỗ trợ khả năng đăng nhập một lần đã được tích hợp trong AD FS. AD FS hỗ trợ thành viên MOSS 2007 và các nhà cung cấp role, điều đó có nghĩa rằng bạn có thể cấu hình MOSS 2007 với tư cách là một ứng dụng thân thuộc bên trong AD FS và sau đó quản trị bất kỳ site này của SharePoint bằng điều khiển truy cập dựa trên role và thành viên.
  • Quản trị tốt hơn:
    AD FS đã được cải thiện bằng một chức năng import và export chính sách mới, giúp giảm tối thiểu những vấn đề cấu hình trên đối tác.

AD FS làm việc như thế nào?

Active Directory Federation Services (AD FS) cung cấp các dịch vụ quản lý nhận dạng rộng rãi, cho phép các công ty lớn mở rộng được cơ sở hạ tầng của họ cho các đối tác tin cậy và khách hàng. AD FS có 3 khả năng chính dưới đây:

  • Thẩm định mạng nội bộ mở rộng (Extranet)
  • Cơ chế đăng nhập một lần dựa trên Web
  • Các dịch vụ nhận dạng rộng cho các ứng dụng web dựa trên IIS.

AD FS được thiết kết để có thể được triển khai trong các tổ chức lớn và trung bình có những điều kiện sau:

  • Ít nhất một dịch vụ thư mục (directory): Active Directory Domain Services (AD DS) hoặc Active Directory Lightweight Directory Services (AD LDS)
  • Các máy tính nằm trong miền
  • Các máy tính đang chạy trên nhiều nền tảng hệ điều hành khác nhau
  • Các máy tính được kết nối Internet
  • Một vài ứng dụng dựa trên Web

Tất cả việc truyền thông từ Active Directory đến AD FS đều được mã hóa và tất cả các truyền thông từ các client đến AD FS cũng đều được mã hóa SSL.

Những lợi ích đem lại trong môi trường rộng đó là mỗi công ty liên tục có thể quản lý được sự phân biệt với chính nó, nhưng mỗi công ty cũng có thể đặt dự án một cách bảo đảm và chấp nhận sự phân biệt với các tổ chức khác.

Các Role trong AD FS

AD FS trong Windows Server 2008 có một số role khác, phụ thuộc vào các yêu cầu của tổ chức mà bạn có thể triển khai máy chủ đang chạy một hoặc nhiều role AD FS.

Tổng quan về các role này:

  • Dịch vụ Federation:
    Dịch vụ Federation có thể được sử dụng bởi một hoặc nhiều máy chủ federation để chia sẻ một chính sách nhất quán nào đó. Các máy chủ này được sử dụng để định tuyến các yêu cầu thẩm định từ các tài khoản người dùng trong những tổ chức khác hoặc trừ các client được đặt trên Internet.
  • Federation Service Proxy:
    Federation Service Proxy là một proxy cho dịch vụ Federation trong mạng vành đai (DMZ). Federation Service Proxy sử dụng các giao thức WS-Federation Passive Requestor Profile (WS-F PRP) để chọn thông tin của người dùng từ các trình duyệt máy khách và gửi thông tin này đến dịch vụ Federation.
  • Claims-aware agent:
    Claims-aware agent được cài đặt trên máy chủ Web để cấu hình ứng dụng claims-aware. Nó cũng cần thiết để cho phép truy vấn các ưu sách thẻ bảo mật AD FS. Ứng dụng claims-aware là một ứng dụng ASP.NET của Microsoft hoặc một ứng dụng chuẩn giống như MOSS 2007.
  • Tác nhân dựa trên thẻ
    Tác nhân thẻ có thể đựợc cài đặt trên một máy chủ Web cấu hình ứng dụng thẻ của Windows NT. Nó cần thiết để hỗ trợ cho việc chuyển đổi từ thể bảo mật AD FS sang mức nhân cách hóa. Ứng dụng thẻ của Windows NT là ứng dụng sử dụng các cơ chế thẩm định dựa trên Windows.

AD FS và Server Core

Active Directory Federation Services roles không nằm trong Server Core. Nó phần nào phụ thuộc vào ASP.NET, một nền tảng không có trong Server Core.

AD FS và sự phát triển

AD FS là một tính năng có thể giúp các chuyên gia phát triển tạo các ứng dụng web. AD FS cũng có thể là chìa khóa trong việc cung cấp truy cập bên ngoài an toàn đối với các ứng dụng Web của bạn. Nó cũng có thể được sử dụng với Active Directory Lightweight Directory Services (AD LDS) với tư cách là một bộ cung cấp nhận dạng cho việc chứng thực và Windows Authorization Manager cho việc kiểm soát chính sách truy cập, cung cấp giải pháp hoàn tất để mở rộng các ứng dụng Web cho các tổ chức tin cậy.

Active Directory Lightweight Directory Services

Active Directory Lightweight Directory Services (AD LDS) trước đây được biết đến với tên Active Directory Application Mode (ADAM), là một chế độ đặt biệt của AD trong đó, các dịch vụ thư mục được cấu hình chỉ một cho các ứng dụng. Chế độ này cung cấp khả năng lưu trữ và truy cập cho các ứng dụng, sử dụng cùng các giao diện quản trị viên và các chuyên gia phát triển đã thân thuộc.

AD LDS là một tính năng lưu trữ và truy vấn dữ liệu dịch vụ thư mục của LDAP cho các ứng dụng đã thư mục, không phụ thuộc vào những yêu cầu cho AD DS. Nó cũng không lưu trữ các nguyên lý bảo mật vẫn có trong AD DS.

Các chuyên gia phát triển có thể sử dụng AD LDS để làm việc với các thông tin của Active Directory trong các ứng dụng của họ. AD FS là một trong những ứng dụng sử dụng AD LDS để lưu các thông tin quan trọng này.

Kết luận

Active Directory Federation Services (AD FS) là một tính năng mạnh của Windows Server 2008, nó cho phép các tổ chức có được khả năng linh hoạt trong việc kết nối các ứng dụng Web và quản lý các thông tin về tài khoản.

Thứ Ba, 03/06/2008 17:24
31 👨 5.279
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp