FACULDADE DOS GUARARAPES - FG

Curso Segurana da Informao Turma NA1- NA2

Servios de Federao do Active Directory

Adriano Lira Ana Cristina Anderson Wanderlei Jos Eudes Prof. Gleudson Junior Disciplina Segurana em S.O. Proprietrios

JABOATO OS GUARARAPES-PE / 2012.2

SUMRIO

1. INTRODUO...................................................................2 2. DESENVOLVIMENTO.......................................................3 3. CONCLUSO....................................................................4 4. REFERNCIAS BIBLIOGRFICAS.................................8

1. INTRODUO

O Active Directory Domain System atua como servio de autenticao e identidade primria em muitas organizaes. Com as verses Servers da Microsoft, partir do Windows Server 2003, as relaes de confiana de floresta puderam ser criadas entre duas ou mais florestas de domnios, para fornecer acesso a recursos localizados em diferentes unidades de negcios ou organizaes. Entretanto, h designs nos quais as confianas de floresta no so uma opo vivel. Por exemplo, o acesso nas organizaes pode ter que ser limitado somente a um pequeno subconjunto de indivduos, no devendo ser concedido a todos os membros de uma floresta.

2. DESENVOLVIMENTO Quando uma organizao usa Active Directory Domain System, ela usufrui dos benefcios da funcionalidade SSO atravs da Autenticao Integrada do Windows dentro dos limites de segurana ou da empresa, ou seja, tem permisso de acesso aos recursos locais. O Active Directory Federation System estende a sua funcionalidade aos aplicativos voltados para a Internet. Isso possibilita que clientes, parceiros e fornecedores tenham uma experincia de usurio SSO da Web similar e contnua, quando acessarem os aplicativos baseados na Web da organizao. Alm disso, os servidores de federao podem ser implantados em vrias organizaes para facilitar as transaes federadas entre organizaes parceiras. Na figura abaixo, temos parceiros e clientes acessando recursos locais, com segurana.

O Active Directory Federation System oferece suporte autorizao e autenticao distribuda na Internet. O Active Directory Federation System pode ser integrado a uma soluo de gerenciamento de acesso existente de uma organizao ou um departamento para traduzir as declaraes usadas na organizao em declaraes

estipuladas como parte de uma federao. O Active Directory Federation System pode criar, proteger e verificar as declaraes trocadas entre as organizaes. Ele tambm pode monitorar e fazer auditoria das atividades de comunicao entre as organizaes e os departamentos para ajudar a garantir transaes seguras. Os Servios de Federao do Active Directory (AD FS) s podero operar quando os servidores que executam o Windows Server 2008 ou o Windows Server 2008 R2 estiverem configurados com os servios de funo do Active Directory Federation System adequados. Os servios de funo do Active Directory Federation System so componentes individuais do AD FS que voc instala nos servidores que executam o Windows Server 2008 ou o Windows Server 2008 R2. possvel instalar os seguintes servios de funo do Active Directory Federation System com o Assistente para Adicionar Servios de Funo:

Servio de Federao - O Servio de Federao compreende um ou

mais servios de federao que compartilham uma diretiva de confiana comum. Voc usa servidores de federao para rotear solicitaes de autenticao de contas de usurio em outras organizaes ou de clientes que podem ser localizados em qualquer lugar na Internet.

Proxy de Servio de Federao - O Proxy de Servio de

Federao um proxy para o Servio de Federao na rede de permetro (tambm conhecida como zona desmilitarizada ou sub-rede filtrada). O Proxy do Servio de Federao utiliza os protocolos WS-F PRP para coletar informaes de credenciais do usurio de clientes de navegador e envia essas informaes para o Servio de Federao em nome deles.

Agente de reconhecimento de declarao - Voc usa o agente

de reconhecimento de declarao em um servidor Web que hospeda um aplicativo com reconhecimento de declaraes para permitir a consulta de declaraes do token de segurana do AD FS. Um aplicativo com reconhecimento de declaraes um aplicativo do Microsoft ASP.NET que usa declaraes presentes em um token de segurana do AD FS para tomar decises de autorizao e personalizar aplicativos.

Agente baseado no token do Windows - Voc usa o agente

baseado em token do Windows em um servidor Web que hospeda um aplicativo baseado em token do Windows NT para dar suporte converso de um token de segurana do AD FS em um token de acesso do Windows NT em nvel de representao. Um aplicativo baseado em token do Windows NT aquele que usa mecanismos de autorizao baseados no Windows.

Dependendo do ambiente da organizao, funes especficas do servidor do Active Directory Federation System devem ser implantadas. Quando um aplicativo est em uma rede e as contas de usurio em

outra, comum que os usurios recebam avisos solicitando credenciais secundrias quando tentar acessar o aplicativo. Essas credenciais representam a identidade dos usurios na rede onde o aplicativo reside. O servidor Web que hospeda o aplicativo geralmente requer credenciais secundrias para poder tomar a deciso de autorizao mais adequada.

3. CONCLUSO O Active Directory Federation System deve ser implantado em organizaes de mdio e grande porte que tenham o seguinte: Pelo menos um servio de diretrio: AD DS (Servios de Domnio Active Directory) ou AD LDS (anteriormente conhecido como ADAM (Modo de Aplicativo do Active Directory)).

Computadores que executam diversas plataformas de sistema operacional

Computadores associados a um domnio

Computadores conectados Internet

Um ou mais aplicativos baseados na Web

Servios de Federao do Active Directory uma soluo de acesso de identidade altamente segura, altamente expansvel e escalonvel para Internet que permite que as organizaes autentiquem usurios de organizaes parceiras.

Bibliografia

Stanek, Willyam. Windows Server 2008 Guia Completo