Службы федерации Active Directory

 

Службы федерации Active Directory (AD FS) упрощают доступ к системам и приложениям с помощью механизма проверки подлинности на основе заявок (CBA). AD FS поддерживает технологии единого входа (SSO), помогающие ИТ-организациям в совместной работе, не ограниченной пределами организации. AD FS 2.0 — это загружаемое обновление для Windows Server , пришедшее на смену AD FS 1.0, которое впервые появилось в Windows Server 2003 R2, и AD FS 1.1, которое стало доступным как роль сервера в Windows Server 2008 и Windows Server 2012 R2.

Что такое AD FS?

AD FS представляет собой решение доступа идентичности, которая предоставляет своим клиентам на основе браузера (внутренние или внешние по отношению к сети) с бесшовной "один запрос" доступ к одному или более защищенным интернет-приложениям, даже когда учетные записи пользователей и приложения находятся в полностью различных сетей или организаций.

Когда приложение находится в одной сети и учетные записи пользователей в другой сети, это характерно для пользователей, чтобы столкнуться с приглашения для вторичных учетных данных при попытке доступа к приложению. Эти вторичные учетные данные представляют личность пользователей в области, где находится приложение. Веб-сервер, на котором находится приложение, как правило, требует, чтобы эти полномочия, чтобы он мог сделать наиболее подходящее решение об авторизации.

AD FS делает вторичные счета и их полномочия излишние путем предоставления доверительных отношений, которые можно использовать для проецирования цифрового удостоверения и права доступа пользователя доверенным партнерам. В федеративной среде каждая организация продолжает управлять своими собственными идентичностей, но каждая организация также может безопасно передавать и принимать идентификации других организаций.

Кроме того, вы можете развертывать серверы федерации в нескольких организациях, чтобы облегчить бизнес-бизнес (B2B) сделок между доверенными партнерскими организациями. Федеративные B2B партнерства идентификации деловых партнеров в качестве одного из следующих типов организаций:

Организация ресурсов: организации, которые владеют и управляют ресурсами, которые доступны из интернета можно развернуть AD FS серверов федерации и AD FS с поддержкой веб–серверов , которые управляют доступом к защищенным ресурсам для доверенных партнеров. Этими доверенными партнерами могут быть внешние организации либо другие подразделения или филиалы в той же организации.

Организация счета: организации , которые владеют и управлять учетными записями пользователей можно развернуть AD FS серверов федерации , которые прошли проверку подлинности локальных пользователей и создавать маркеры безопасности, федерации серверов в организации использования ресурса позже принятия решений об авторизации.

Процесс аутентификации в одной сети при доступе к ресурсам в другой сети, без бремени повторных действий входа пользователями-известен как единого входа (SSO). AD FS предоставляет веб-интерфейс, SSO решение, которое проверяет подлинность пользователей на нескольких веб-приложений в течение срока действия одного сеанса браузера.

AD FS службы ролей

Роль служб федерации Active Directory сервер включает службы федерации, прокси-сервисы и услуги веб-агента, настраиваемые для включения веб-службы единого входа, федеративные веб-ресурсов, настроить опыт доступа и управления, как существующие пользователи имеют право доступа к приложениям.

В зависимости от требований организации, можно развернуть серверы под управлением любой из следующих служб роли AD FS:

Служба федерации: Служба федерации включает в себя один или несколько серверов федерации , которые разделяют общую политику доверия. Вы используете серверов федерации для маршрутизации запросов аутентификации от учетных записей пользователей в других организациях или от клиентов , которые могут располагаться в любом месте в Интернете.

Службы федерации Прокси-сервер: Федерация служба прокси является прокси в службу федерации в сети периметра (также известный как демилитаризованная зона и экранированная подсеть). Службы федерации прокси -сервер использует WS-Federation Passive Запроса Profile (WS-F PRP) протоколы для сбора учетных данных пользователей от клиентов браузеров, и он отправляет сведения об учетных данных в службу федерации от их имени.

Иски-Aware Агент: Используется по заявкам агента на веб-сервере , на котором размещены приложения по заявкам , чтобы позволить выполнять поиск претензий маркеров безопасности AD FS. По заявкам приложение является приложением Microsoft ASP.NET , которая использует требования, которые присутствуют в маркере безопасности AD FS для принятия решений об авторизации и персонализировать приложения.

Установка роли AD FS

После завершения установки операционной системы появляется список задач начальной настройки. Чтобы установить AD FS, в списке задач, нажмиать кнопку Добавить роли , а затем нажмать кнопку Службы федерации Active Directory .

Хранилище Windows 2012 R2: пространства хранения

File Server ( Файловый сервер). Этот компонент позволяет управлять общими ресурсами и предоставляет пользователям возможность доступа к файлам на конкретном сервере в сети организации.

BranchCache for Network Files (BranchCache для сетевых файлов). Этот компонент позволяет серверам BranchCache иметь сетевые файловые службы.

Data Deduplication ( Дедупликация данных). Эта служба помогает управлять и экономить дисковое пространство, анализируя содержимое тома и удостоверя- ясь в существовании только одной версии каждого файла. Продолжая приведенный ранее пример с Сарой и ее файлами из отдела кадров, предположим, что Меттью, коллега Сары в отделе кадров, сохранил копию файла в каком-то другом месте, подумав о том, что она недоступна. Служба Data Deduplication обеспечивает существование только одной версии конкретного файла, но делает доступными ссылки на него, так что Меттью сможет найти свой файл.

DFS Namespaces ( Пространства имен DFS). Распределенная файловая система ( Distributed File System - DFS) позволяет настроить группу общих папок, ко- торые могли бы располагаться на других серверах в организации, но выглядеть как имеющие одно имя. Вот пример: сервер 1 имеет общую папку по имени \\Server1\Files; сервер 2 имеет общую папку по имени \\Server2\Stuff. С помощью DFS Namespaces можно было бы определить их как \\Bigfirm\ Shared.

DFS Replication ( Репликация DFS). Этот компонент позволяет синхронизи- ровать общие папки по сети WAN. Он не требует DFS Namespaces, но может применяться совместно.

File Server Resource Manager (Диспетчер ресурсов файлового сервера). Диспетчер ресурсов файлового сервера ( File Server Resource Manager - FSRM) - это инструмент для управления и мониторинга производительности, который предоставит более детальные отчеты о том, что происходит с хранилищем. Посредством FSRM можно также строить файловые политики, квоты и клас- сификации.

File Server VSS Agent Service (Служба агента VSS файлового сервера). Эту службу можно использовать для копирования приложений и данных, хранящихся на конкретном сервере, на котором установлена роль File and Storage Services, с применением службы теневого копирования томов ( Volume Shadow Copy Service — VSS).

iSCSI Target Server (Целевой сервер iSCSI). Это предоставляет инструменты и связанные службы для управления серверами iSCSI.

iSCSI Target Storage Provider (VDS and VSS Hardware Providers) (Поставщик целевого хранилища iSCSI (поставщики оборудования VDS и VSS)). Работает подобно службе File Server VSS Agent Service, но специфичен для серверов, которые используют цели iSCSI и службу виртуальных дисков ( Virtual Disk Service — VDS).

Server for NFS (Сервер для NFS). Вы можете включить сетевую файловую систему ( Network File System - NFS), которая применяется в компьютерах с Unix/Linux, так что общие ресурсы из установки Windows Server 2012 R2 будут видимыми таким клиентам.

Work Folders ( Рабочие папки). Этот новый компонент Windows Server 2012 R2 предоставляет простой способ управления файлами, которые существуют на множестве рабочих станций и персональных устройств. Рабочая папка будет действовать в качестве хоста и синхронизировать файлы пользователей с этим местоположением, так что пользователи могут получать доступ к своим файлам изнутри или снаружи сети. Отличие от компонента File Server или DFS Namespaces в том, что файлы размещены на клиентах. Снова возвратившись к примеру с Сарой и Меттью из отдела кадров, отметим, что они могли бы использовать Work Folders для обеспечения синхронизации и обновления файлов, хранящихся в определенных местоположениях на их рабочих станциях, с файловым сервером. Если они работают над проектом вместе, но находятся в разных местах, нужные файлы будут всегда доступны и синхронизированы. Все эти компоненты можно установить через управляющую панель диспетчера серверов, которая предоставляет детальные сведения о каждом компоненте и любые предварительные условия. В следующем разделе мы определим кластер и поможем построить высоко доступные службы при участии кластеризации с обходом отказа.

Возможности SAN и улучшенные инструменты

SAN – сеть хранения данных, представляющая собой решение для подключения устройств хранения данных к серверам таким образом, чтобы операционная система определила все подключённые внешние ресурсы как локальные. Основой SAN является отдельная от LAN/WAN сеть, которая служит для организации доступа к данным серверов и рабочих станций, занимающихся их прямой обработкой. Почти единственным недостатком SAN на сегодня остается относительно высокая цена компонент, но при этом общая стоимость владения для корпоративных систем, построенных с использованием технологии сетей хранения данных, является довольно низкой.

SAN позволяет решить следующие задачи:

- повысить скорость и надежность передачи данных;

- обеспечить доступ к устройствам хранения, находящимся на большом расстоянии от серверов, с минимальным снижением производительности;

- решить задачу построения отказоустойчивого решения с физически распределенными хостами обработки и хранения данных;

- подключить к системе новые серверы и дисковые RAID-массивы к SAN без прекращения работы ИТ-среды.