Adfs что это

Adfs что это

ADFS (Active Directory Federation Services) — это функция, представленная на Windows Server, которая обеспечивает решение идентификации доступа. Она дает возможность клиентам на базе браузеров, которые находятся внутри или за пределами локальной сети, получать доступ по технологии Single-Sign-On (SSO) к веб приложениям. В ADFS это достигается благодаря защищенному обмену цифровыми удостоверениями и правами (или «утверждениями», Claims) между партнерами, связанными федеративными отношениями.

Службы ADFS тесно интегрированы с Active Directory. ADFS извлекает атрибуты пользователей из Active Directory, а также проверяет подлинность пользователей в Active Directory. Кроме того, ADFS поддерживает встроенную проверку подлинности Windows.

В качестве стандарта для взаимодействия компонентов федерации, прикладных подсистем (проверяющих сторон) и клиентских приложений выбрана спецификация WS-Federation, входящая в составе стека протоколов WS-*, разработанного промышленным консорциумом при участии Microsoft, и базирующаяся на других протоколах данного стека, таких как WS-Security.

Для взаимодействия клиентов и серверных компонентов приложений в качестве транспорта используется протокол HTTPS.

Служба федерации ADFS является компонентом серверной платформы Microsoft Windows Server, реализующим Сервис маркеров доступа (Security Token Service, STS) в соответствии со спецификацией WS-Trust, WS-Federation. Сервис маркеров доступа (СМД) использует службу каталога Active Directory для аутентификации пользователей и хранения информации о них.

Основными операциями, выполняемыми СМД, являются:

• Первоначальная аутентификация пользователя
• Выпуск маркера доступа (Issue)
• Проверка маркера доступа (Validate)
• Обновление маркера доступа (Renew)
• Аннулирование маркера доступа (Cancel)

Маркер доступа выпускается СМД по факту успешной аутентификации пользователя. Маркер доступа однозначно связан с пользователем и достоверно идентифицирует пользователя приложения, являясь, одновременно, унифицированным форматом для передачи данных о пользователе в приложение. В качестве информации для подтверждения своей идентичности пользователь может использовать:

• имя пользователя и пароль;
• сертификат пользователя.

Маркер доступа соответствует спецификации SAML (SAML Token), которая базируется на XML и определяет синтаксис и структуру маркера. Данный формат является расширяемым, что позволяет формировать содержание маркера в соответствии с требованиями приложения, к которому осуществляется доступ. Маркер доступа зашифрован и подписан Сервисом маркеров доступа, которым он выпущен, для обеспечения подлинности маркера и целостности и конфиденциальности передаваемых в маркере данных. Срок действия маркера и область применения ограничены. Маркер доступа содержит информацию о пользователе в форме набора утверждений (Claims), которые используются приложением для создания контекста пользователя (в том числе для целей авторизации и персонификации). Приложение, или проверяющая сторона в ADFS (Relying Party, RP) — это прикладная система (веб-приложение или веб-сервис), которая использует внешний сервис аутентификации, доверяя ему аутентификацию пользователей, и является потребителем маркеров доступа, выдаваемых пользователям, успешно прошедшим аутентификацию СМД. Проверяющая сторона использует маркер доступа, включаемый в запрос пользователя к приложению, для создания контекста пользователя. Для проверяющих сторон, расположенных в одном домене безопасности, т.е. имеющих отношения доверия с общим Сервисом маркеров доступа, обеспечивается единая точка регистрации (Single Sign-on, SSO).

В процессе доступа к веб-приложению пересылаются следующие сообщения, относящиеся к ADFS:

1. Пользователь браузера пытается обратиться к приложению Web-сервера. Агент ADFS обнаруживает, что пользователь не прошел проверку подлинности в ADFS, и отсылает его на сервер федерации поставщика ресурсов.
2. На данном этапе, известном как обнаружение домашней области, пользователь браузера предоставляет информацию о своем домене серверу федерации поставщика ресурсов. Домашний домен — место, в котором определено и обслуживается удостоверение пользователя, иными словами, поставщик удостоверения пользователя. При первом подключении пользователя к веб-приложению пользователь предоставляет такие сведения, как имя поставщика удостоверения или адрес электронной почты. При последующих запросах сервер федерации поставщика ресурсов отыскивает эти данные в cookie-файле, переданном пользователем. В зависимости от данных, переданных в процессе обнаружения домашней области, сервер федерации поставщика ресурсов перенаправляет браузер пользователя на сервер федерации поставщика удостоверения для проверки подлинности.
3. Пользователь браузера проходит проверку подлинности в сервере федерации своего поставщика аутентификации с использованием своей учетной записи AD и соответствующих учетных данных.
4. Сервер федерации поставщика аутентификации проверяет учетные данные пользователя в AD. Если проверка завершается успешно, то сервер генерирует cookie-файл аутентификации и маркер безопасности ADFS.
5. Сервер федерации поставщика аутентификации формирует маркер безопасности и перенаправляет браузер пользователя вместе с маркером безопасности и cookie-файлом аутентификации на сервер федерации поставщика ресурсов.
6. Сервер федерации поставщика ресурсов преобразует заявку в маркере безопасности в набор заявок, распознаваемых веб-приложением, размещенным в поставщике ресурсов, и вставляет их в новый маркер безопасности. Этот процесс известен как преобразование заявки. Сервер федерации также генерирует cookie-файл аутентификации и перенаправляет пользователя браузера (вместе с новым маркером безопасности и cookie-файлом аутентификации) в агент ADFS Веб-приложения. Агент проверяет cookie-файл аутентификации, извлекает заявку из маркера безопасности и передает ее в веб-приложение.
7. Веб-приложение интерпретирует заявки в ходе проверки подлинности и передает соответствующие веб-материалы в браузер пользователя.

Многие компании заинтересованы в возможности обмениваться данными с доверенными внешними пользователями через Интернет. Клиентам удобно обращаться к ресурсам с использованием собственных учетных записей, не создавая учетных записей в чужой системе. Однако необходимо, чтобы доступ получали только проверенные пользователи.

Active Directory во многих организациях служит в качестве основной службы для хранения учетных данных и проверки подлинности. С помощью Active Directory доверие лесов может быть создано между двумя и более лесами для обеспечения доступа к ресурсам, расположенным в разных производственных подразделениях или организациях.

Однако в ряде случаев доверие лесов не является приемлемым типом отношений. Например, может потребоваться ограничить доступ к ресурсам, расположенным в разных организациях, только небольшим подмножеством пользователей, закрыв его для остальных членов леса. Именно в этих случаях ADFS является отличной заменой доверительным отношениям Active Directory.

Получить дополнительную информацию по описанной технологии и особенностях внедрения Вы можете здесь .

Обзор служб федерации Active Directory

Службы федерации Active Directory — это компонент операционных систем Microsoft® Windows Server® 2003 R2, Windows Server 2008 и Windows Server 2008 R2, который обеспечивает использование технологии единого входа для проверки подлинности пользователя в нескольких связанных веб-приложениях в течение всего сетевого сеанса. В службах федерации Active Directory это достигается путем предоставления безопасного общего доступа к цифровому удостоверению и правам (или «утверждениям») на границах организации и системы безопасности.

Функции служб федерации Active Directory

Федерация и единый вход в Интернет

Организации, которые применяют доменные службы Active Directory®, могут использовать преимущества технологии единого входа благодаря встроенной проверке подлинности Windows в границах области безопасности или в пределах организации. Службы федерации Active Directory расширяют эти функциональные возможности на приложения, подключенные к Интернету. Благодаря этому клиенты, партнеры и поставщики получают единообразный оптимизированный пользовательский интерфейс единого входа при работе с веб-приложениями организации. Кроме того, серверы федерации могут быть развернуты в нескольких организациях, что облегчает федеративные транзакции «бизнес-бизнес» между организациями-партнерами. Дополнительные сведения о федерации служб федерации Active Directory см. в разделе Общее представление о схемах федерации.

Службы федерации Active Directory предоставляют федеративное решение для службы управления идентификацией, которое взаимодействует с другими продуктами обеспечения безопасности, поддерживающими архитектуру веб-служб WS-*. Службы федерации Active Directory реализуют это, используя спецификацию федерации WS-*, которая называется WS-Federation. Спецификация WS-Federation позволяет создавать федеративные отношения со средами Windows в средах, в которых не используется модель идентификации Microsoft Windows®. Дополнительные сведения о спецификациях WS-* см. в разделе Службы федерации Active Directory: ресурсы.

Службы федерации Active Directory предоставляют расширяемую архитектуру, которая поддерживает тип токена SAML 1.1 и проверку подлинности Kerberos (в схеме федеративной веб-службы единого входа с доверием леса). Службы федерации Active Directory могут также выполнять сопоставление утверждений, например изменяя утверждения с использованием настраиваемой деловой логики в качестве переменной в запросе доступа. Организации могут использовать эту расширяемость для изменения служб федерации Active Directory в целях их адаптации к текущей инфраструктуре безопасности и деловым политикам. Дополнительные сведения об изменении утверждений см. в разделе Общее представление об утверждениях.

Расширение доменных служб Active Directory в Интернет

Доменные службы Active Directory во многих организациях выполняют функции основной службы по хранению учетных данных и проверке подлинности. С помощью Active Directory в Windows Server 2003 и доменных служб Active Directory в Windows Server 2008 и Windows Server 2008 R2 можно создавать доверия лесов между двумя и более лесами Windows Server 2003, Windows Server 2008 или Windows Server 2008 R2. Это позволяет обеспечить доступ к ресурсам, расположенным в разных производственных подразделениях или организациях. Дополнительные сведения о довериях лесов см. в статье, описывающей работу отношений доверия доменов и лесов (http://go.microsoft.com/fwlink/?LinkId=35356).

Однако существуют схемы, в которых доверия лесов не являются приемлемым типом отношений. Например, может потребоваться ограничение доступа к ресурсам, расположенным в разных организациях, только небольшим подмножеством пользователей, закрыв его для остальных членов леса.

Используя службы федерации Active Directory, организации могут расширить свои существующие инфраструктуры Active Directory для предоставления доступа к ресурсам, которые предлагают их доверенные партнеры в Интернете. Этими доверенными партнерами могут быть внешние организации либо другие подразделения или филиалы этой же организации.

Службы федерации Active Directory поддерживают распределенную проверку подлинности и авторизацию через Интернет. Службы федерации Active Directory могут быть интегрированы в существующее решение по управлению доступом организации или подразделения для преобразования утверждений, используемых в организации, в утверждения, которые согласованы как часть федерации. Службы федерации Active Directory могут создавать, защищать и проверять утверждения, перемещаемые между организациями. Чтобы гарантировать безопасность транзакций, эти службы могут также проводить аудит и контролировать действия по обмену данными между организациями и подразделениями.

Дополнительные обзорные сведения о службах федерации Active Directory см. в перечисленных ниже статьях.

Знакомство со службой федерации Active Directory

Служба федерации Active Directory в Windows Server 2003 R2 поддерживает протокол WS-F PRP (WS-Federation Passive Requestor Profile).

Ключевые особенности службы федерации Active Directory

Службе федерации Active Directory в Windows Server 2003 R2 присущи, в частности, следующие ключевые особенности:

Федерация и единый вход в Интернете

Организация, которая использует службу каталогов Active Directory™, имеет доступ к преимуществам технологии единого входа благодаря встроенной проверке подлинности Windows в границах области безопасности или в пределах организации. Служба федерации Active Directory распространяет эти функциональные возможности на веб-приложения, благодаря чему клиенты, партнеры и поставщики получают единообразный, оптимизированный пользовательский интерфейс SSO при работе с веб-приложениями организации. Кроме того, серверы федерации могут быть развернуты в нескольких организациях, облегчая федеративные транзакции «бизнес-бизнес» (B2B) между организациями-партнерами. Дополнительные сведения о федерации ADFS см. в разделе Сценарии федерации.

ADFS обеспечивает федеративное решение для управления подлинностью, которое взаимодействует с другими продуктами для обеспечения безопасности, поддерживающими архитектуру веб-служб WS-*. ADFS реализует это, используя спецификацию федерации WS-*, которая называется WS-федерацией. Спецификация WS-федерации позволяет средам, в которых не используется модель подлинности Windows, создавать федеративные отношения со средами Windows. Дополнительные сведения о спецификациях WS-* см. в разделе Ресурсы ADFS.

ADFS обеспечивает расширяемую архитектуру, которая поддерживает тип маркера SAML (Security Assertion Markup Language) и проверку подлинности Kerberos (в сценарии федеративного единого входа с доверием лесов). ADFS может также выполнять сопоставление заявок, например, изменяя заявки с использованием настраиваемой деловой логики в качестве переменной в запросе доступа. Организации могут использовать эту расширяемость для изменения службы ADFS в целях ее адаптации к их текущей инфраструктуре безопасности и деловым политикам. Дополнительные сведения об изменении заявок см. в разделе Сопоставление заявок.

Расширенное использование Active Directory в Интернете

Active Directory во многих организациях служит в качестве основной службы для хранения учетных данных и проверки подлинности. С помощью Active Directory в Windows Server 2003 доверие лесов может быть создано между двумя и более лесами Windows Server 2003 для обеспечения доступа к ресурсам, расположенным в разных производственных подразделениях или организациях. Дополнительные сведения о доверии лесов см. в cтатье Как работают отношения доверия доменов и лесов на веб-узле корпорации Майкрософт (http://go.microsoft.com/fwlink/?LinkId=35356).

Однако в ряде случаев доверие лесов не является приемлемым типом отношений. Например, может потребоваться ограничить доступ в пределах организации только небольшим подмножеством пользователей, закрыв его для остальных членов леса.

Используя ADFS, организации могут расширить свои существующие инфраструктуры Active Directory, получив доступ к ресурсам, которые предлагают их доверенные партнеры в Интернете. Этими доверенными партнерами могут быть внешние организации либо другие подразделения или филиалы в данной организации.

Служба ADFS тесно интегрирована с Active Directory. ADFS извлекает атрибуты пользователей из Active Directory, а также проверяет подлинность пользователей в Active Directory. Кроме того, ADFS использует встроенную проверку подлинности Windows.

ADFS работает как с Active Directory, так и со службой ADAM (Active Directory Application Mode). А именно: ADFS работает с этими службами на уровне развертывания Active Directory или экземпляров ADAM. Когда служба ADFS работает с Active Directory, она может использовать преимущества технологий строгой проверки подлинности Active Directory, включая Kerberos, цифровые сертификаты X.509 и смарт-карты. Работая с ADAM, ADFS в качестве средства проверки подлинности пользователей использует привязку по протоколу LDAP (Lightweight Directory Access Protocol). Дополнительные сведения о работе ADFS с Active Directory и ADAM см. в разделе Хранилища учетных записей.

ADFS поддерживает распределенную проверку подлинности и авторизацию через Интернет. Служба федерации Active Directory может быть интегрирована в существующее решение по управлению доступом организации или подразделения для преобразования термов, используемых в организации, в заявки, которые принимаются как часть федерации. Служба федерации Active Directory может создавать, защищать и проверять заявки, перемещаемые между организациями. Чтобы гарантировать безопасность транзакций, она может также проводить аудит и контролировать операции между организациями и подразделениями.

Adfs что это

Нажимая на кнопку, вы даете согласие на обработку

• Партнерская программа
• Агентская программа

• Корпоративный портал
• Адаптация новичков
• Система обучения
• Оценка 360
• Обратная связь
• Управление целями
• Геймификация и вовлечение
• Заявки и процессы

ADFS: настройка регистрации и авторизации
ADFS: настройка регистрации и авторизации
Настройка авторизации Server application
Сопоставление при загрузке сотрудников через эксель
Настройка регистрации на портале для Server application
Настройка авторизации Native application

ADFS (Active Directory Federation Services) — это компонент Windows Server, который используется для аутентификации в веб-приложениях. С его помощью можно настроить возможность регистрации и входа для ваших сотрудников, имеющих учетные записи в Active Directory в HRBOX.

Принцип работы ADFS показан на схеме ниже:

Настройка авторизации Server application
Открыть “ADFS Management”

Нажать на “Add Application Group”

Выбрать “Server application accessing a web API”

В “Redirect URI” указать “https://auth.hrbox.io/auth/oauth”

Сохранить у себя секретный ключ

В “Identifier” указать адрес вашего тенанта, для примера: “https://demo.hrbox.io”

Выбрать, как указано на изображениях:

Перейти в пункт “Certificates” и выбрать “Token-signing”, в открывшемся окне перейти на вкладку “Details”, запомнить алгоритм шифрования, нажать на кнопку “Copy to file”

Выбрать как на изображении

Открыть сохраненный сертификат для просмотра ключа

Перейти в HRBOX → Админка → Настройка → Общие настройки → Active Directory → ADFS, в домене указать домен ADFS-сервера.

Последующие поля заполнить из данных, которые были при создании “Add Application Group”.
Также можно добавить свою иконку и переименовать кнопку для входа.

После завершения всех настроек у ваших сотрудников появится возможность входить на портал через ADFS.

Чтобы авторизация сработала, пользователей нужно предварительно загрузить на платформу через 1С или эксель по инструкции. В таблице или карточках сотрудников 1С укажите дополнительное поле login с логином ADFS и сопоставьте его с полем login на портале:

Сопоставление при загрузке сотрудников через эксель

Все сотрудники, которым будет загружен логин ADFS, смогут войти в систему со своим корпоративным паролем без дополнительной отправки приглашения. Нужно просто выбрать опцию «Войти через ADFS» на странице входа на портал и аккаунт автоматически будет активирован после первого входа:

Настройка регистрации на портале для Server application

Добавить для регистрации дополнительный адрес для редиректа, домен должен быть указан текущего тенанта:

Выбрать “Web API” и открыть для редактирования:

В поле “Relying party identifiers” должен быть указан домен текущего тенанта, например, как показано на изображении: