Condividi tramite


Distribuzione di server federativi

Per distribuire server federativi in Active Directory Federation Services (AD FS), completare ognuna delle attività in Elenco di controllo: Configurazione di un server federativo.

Nota

Quando si usa questo elenco di controllo, è consigliabile leggere i riferimenti alla pianificazione del server federativo nella Guida alla progettazione di AD FS in Windows Server 2012 prima di iniziare le procedure per la configurazione dei server. Seguendo l'elenco di controllo in questo modo viene fornita una migliore comprensione del processo di progettazione e distribuzione per i server federativi.

Informazioni sui server federativi

I server federativi sono computer che eseguono Windows Server 2008 che hanno il software AD FS installato e che sono stati configurati per agire nel ruolo server federativo. I server federativi autenticano o instradano le richieste dagli account utente di altre organizzazioni e dai computer client che possono trovarsi ovunque su Internet.

L'azione di installazione il software AD FS in un computer e l'utilizzo della Configurazione guidata del server federativo AD FS per la configurazione del ruolo di server federativo rende tale computer un server federativo. Rende inoltre disponibile lo snap-in Gestione AD FS nel computer dal menu Avvio\Strumenti di amministrazione\ in modo da poter specificare quanto segue:

  • Il nome host di AD FS in cui le organizzazioni e le applicazioni partner invieranno richieste e risposte di token

  • L'identificatore AD FS che le organizzazioni partner e le applicazioni useranno per identificare il nome univoco o la posizione dell'organizzazione

  • Il certificato di firma del token usato da tutti i server federativi in una server farm per rilasciare e firmare i token

  • La posizione delle pagine Web personalizzate ASP.NET per l'accesso client, la disconnessione e l'individuazione partner account che migliorerà l'esperienza client

    Nota

    La maggior parte di queste impostazioni dell'interfaccia utente principale è contenuta nel file web.config in ogni server federativo. I valori del nome host AD FS e dell'identificatore AD FS non vengono specificati nel file web.config.

I server federativi ospitano un motore di rilascio delle attestazioni che rilascia token in base alle credenziali, ad esempio nome utente e password, che vengono presentate. Il token di sicurezza è un'unità dati con firma crittografica che esprime una o più attestazioni. L'attestazione è un'istruzione eseguita da un server (ad esempio, nome, identità, chiave, gruppo, privilegio o funzionalità) su un client. Dopo la verifica delle credenziali nel server federativo (tramite la procedura di accesso dell'utente), le attestazioni per l'utente vengono raccolte tramite l'esame degli attributi utente archiviati nell'archivio attributi specificato.

Nelle progettazioni SSO federate (progettazioni AD FS in cui sono coinvolte due o più organizzazioni), le attestazioni possono essere modificate dalle regole attestazioni per una relying party specifica. Le attestazioni sono incorporate in un token inviato a un server federativo nell'organizzazione partner risorse. Dopo che il server federativo nel partner risorse riceve le attestazioni in ingresso, esegue il motore di rilascio delle attestazioni per eseguire un set di regole attestazioni per filtrare, passare o trasformare tali attestazioni. Le attestazioni vengono quindi incorporate in un nuovo token inviato al server Web nel partner risorse.

Nella progettazione dell'accesso Single Sign-On Web (progettazione AD FS in cui è coinvolta una sola organizzazione), è possibile usare un singolo server federativo in modo che i dipendenti possano accedere una sola volta e ancora accedere a più applicazioni.