Службы федерации Active Directory

 

Службы федерации Active Directory (AD FS) упрощают доступ к системам и приложениям с помощью механизма проверки подлинности на основе заявок (CBA). AD FS поддерживает технологии единого входа (SSO), помогающие ИТ-организациям в совместной работе, не ограниченной пределами организации. AD FS 2.0 — это загружаемое обновление для Windows Server, пришедшее на смену AD FS 1.0, которое впервые появилось в Windows Server 2003 R2, и AD FS 1.1, которое стало доступным как роль сервера в Windows Server 2008 и Windows Server 2012 R2.

Что такое AD FS?

AD FS представляет собой решение доступа идентичности, которая предоставляет своим клиентам на основе браузера (внутренние или внешние по отношению к сети) с бесшовной "один запрос" доступ к одному или более защищенным интернет-приложениям, даже когда учетные записи пользователей и приложения находятся в полностью различных сетей или организаций.

Когда приложение находится в одной сети и учетные записи пользователей в другой сети, это характерно для пользователей, чтобы столкнуться с приглашения для вторичных учетных данных при попытке доступа к приложению. Эти вторичные учетные данные представляют личность пользователей в области, где находится приложение. Веб-сервер, на котором находится приложение, как правило, требует, чтобы эти полномочия, чтобы он мог сделать наиболее подходящее решение об авторизации.

AD FS делает вторичные счета и их полномочия излишние путем предоставления доверительных отношений, которые можно использовать для проецирования цифрового удостоверения и права доступа пользователя доверенным партнерам. В федеративной среде каждая организация продолжает управлять своими собственными идентичностей, но каждая организация также может безопасно передавать и принимать идентификации других организаций.

Кроме того, вы можете развертывать серверы федерации в нескольких организациях, чтобы облегчить бизнес-бизнес (B2B) сделок между доверенными партнерскими организациями. Федеративные B2B партнерства идентификации деловых партнеров в качестве одного из следующих типов организаций:

Организация ресурсов: организации, которые владеют и управляют ресурсами, которые доступны из интернета можно развернуть AD FS серверов федерации и AD FS с поддержкой веб–серверов, которые управляют доступом к защищенным ресурсам для доверенных партнеров. Этими доверенными партнерами могут быть внешние организации либо другие подразделения или филиалы в той же организации.

Организация счета: организации, которые владеют и управлять учетными записями пользователей можно развернуть AD FS серверов федерации, которые прошли проверку подлинности локальных пользователей и создавать маркеры безопасности, федерации серверов в организации использования ресурса позже принятия решений об авторизации.

Процесс аутентификации в одной сети при доступе к ресурсам в другой сети, без бремени повторных действий входа пользователями-известен как единого входа (SSO). AD FS предоставляет веб-интерфейс, SSO решение, которое проверяет подлинность пользователей на нескольких веб-приложений в течение срока действия одного сеанса браузера.

AD FS службы ролей

Роль служб федерации Active Directory сервер включает службы федерации, прокси-сервисы и услуги веб-агента, настраиваемые для включения веб-службы единого входа, федеративные веб-ресурсов, настроить опыт доступа и управления, как существующие пользователи имеют право доступа к приложениям.

В зависимости от требований организации, можно развернуть серверы под управлением любой из следующих служб роли AD FS:

Служба федерации: Служба федерации включает в себя один или несколько серверов федерации, которые разделяют общую политику доверия. Вы используете серверов федерации для маршрутизации запросов аутентификации от учетных записей пользователей в других организациях или от клиентов, которые могут располагаться в любом месте в Интернете.

Службы федерации Прокси-сервер: Федерация служба прокси является прокси в службу федерации в сети периметра (также известный как демилитаризованная зона и экранированная подсеть). Службы федерации прокси -сервер использует WS-Federation Passive Запроса Profile (WS-F PRP) протоколы для сбора учетных данных пользователей от клиентов браузеров, и он отправляет сведения об учетных данных в службу федерации от их имени.

Иски-Aware Агент: Используется по заявкам агента на веб-сервере, на котором размещены приложения по заявкам, чтобы позволить выполнять поиск претензий маркеров безопасности AD FS. По заявкам приложение является приложением Microsoft ASP.NET, которая использует требования, которые присутствуют в маркере безопасности AD FS для принятия решений об авторизации и персонализировать приложения.

Установка роли AD FS

После завершения установки операционной системы появляется список задач начальной настройки. Чтобы установить AD FS, в списке задач, нажмиать кнопку Добавить роли, а затем нажмать кнопку Службы федерации Active Directory.

Хранилище Windows 2012 R2: пространства хранения

File Server (Файловый сервер). Этот компонент позволяет управлять общими ресурсами и предоставляет пользователям возможность доступа к файлам на конкретном сервере в сети организации.

BranchCache for Network Files (BranchCache для сетевых файлов). Этот компонент позволяет серверам BranchCache иметь сетевые файловые службы.

Data Deduplication (Дедупликация данных). Эта служба помогает управлять и экономить дисковое пространство, анализируя содержимое тома и удостоверя- ясь в существовании только одной версии каждого файла. Продолжая приведенный ранее пример с Сарой и ее файлами из отдела кадров, предположим, что Меттью, коллега Сары в отделе кадров, сохранил копию файла в каком-то другом месте, подумав о том, что она недоступна. Служба Data Deduplication обеспечивает существование только одной версии конкретного файла, но делает доступными ссылки на него, так что Меттью сможет найти свой файл.

DFS Namespaces (Пространства имен DFS). Распределенная файловая система (Distributed File System - DFS) позволяет настроить группу общих папок, ко- торые могли бы располагаться на других серверах в организации, но выглядеть как имеющие одно имя. Вот пример: сервер 1 имеет общую папку по имени \\Server1\Files; сервер 2 имеет общую папку по имени \\Server2\Stuff. С помощью DFS Namespaces можно было бы определить их как \\Bigfirm\ Shared.

DFS Replication (Репликация DFS). Этот компонент позволяет синхронизи- ровать общие папки по сети WAN. Он не требует DFS Namespaces, но может применяться совместно.

File Server Resource Manager (Диспетчер ресурсов файлового сервера). Диспетчер ресурсов файлового сервера (File Server Resource Manager - FSRM) - это инструмент для управления и мониторинга производительности, который предоставит более детальные отчеты о том, что происходит с хранилищем. Посредством FSRM можно также строить файловые политики, квоты и клас- сификации.

File Server VSS Agent Service (Служба агента VSS файлового сервера). Эту службу можно использовать для копирования приложений и данных, хранящихся на конкретном сервере, на котором установлена роль File and Storage Services, с применением службы теневого копирования томов (Volume Shadow Copy Service — VSS).

iSCSI Target Server (Целевой сервер iSCSI). Это предоставляет инструменты и связанные службы для управления серверами iSCSI.

iSCSI Target Storage Provider (VDS and VSS Hardware Providers) (Поставщик целевого хранилища iSCSI (поставщики оборудования VDS и VSS)). Работает подобно службе File Server VSS Agent Service, но специфичен для серверов, которые используют цели iSCSI и службу виртуальных дисков (Virtual Disk Service — VDS).

Server for NFS (Сервер для NFS). Вы можете включить сетевую файловую систему (Network File System - NFS), которая применяется в компьютерах с Unix/Linux, так что общие ресурсы из установки Windows Server 2012 R2 будут видимыми таким клиентам.

Work Folders (Рабочие папки). Этот новый компонент Windows Server 2012 R2 предоставляет простой способ управления файлами, которые существуют на множестве рабочих станций и персональных устройств. Рабочая папка будет действовать в качестве хоста и синхронизировать файлы пользователей с этим местоположением, так что пользователи могут получать доступ к своим файлам изнутри или снаружи сети. Отличие от компонента File Server или DFS Namespaces в том, что файлы размещены на клиентах. Снова возвратившись к примеру с Сарой и Меттью из отдела кадров, отметим, что они могли бы использовать Work Folders для обеспечения синхронизации и обновления файлов, хранящихся в определенных местоположениях на их рабочих станциях, с файловым сервером. Если они работают над проектом вместе, но находятся в разных местах, нужные файлы будут всегда доступны и синхронизированы. Все эти компоненты можно установить через управляющую панель диспетчера серверов, которая предоставляет детальные сведения о каждом компоненте и любые предварительные условия. В следующем разделе мы определим кластер и поможем построить высоко доступные службы при участии кластеризации с обходом отказа.

Возможности SAN и улучшенные инструменты

SAN – сеть хранения данных, представляющая собой решение для подключения устройств хранения данных к серверам таким образом, чтобы операционная система определила все подключённые внешние ресурсы как локальные. Основой SAN является отдельная от LAN/WAN сеть, которая служит для организации доступа к данным серверов и рабочих станций, занимающихся их прямой обработкой. Почти единственным недостатком SAN на сегодня остается относительно высокая цена компонент, но при этом общая стоимость владения для корпоративных систем, построенных с использованием технологии сетей хранения данных, является довольно низкой.

SAN позволяет решить следующие задачи:

- повысить скорость и надежность передачи данных;

- обеспечить доступ к устройствам хранения, находящимся на большом расстоянии от серверов, с минимальным снижением производительности;

- решить задачу построения отказоустойчивого решения с физически распределенными хостами обработки и хранения данных;

- подключить к системе новые серверы и дисковые RAID-массивы к SAN без прекращения работы ИТ-среды.