ADFS هي ميزة جديدة في نظام التشغيل Windows Server 2008 وهي توفر حل وصول موحد للوصول المستند إلى المستعرض للمستخدمين الداخليين والخارجيين. يمكن لهذه الميزة الجديدة أيضًا تمكين الاتصال بين الحسابات والتطبيقات بين شبكتين أو مؤسستين مختلفتين تمامًا.
لفهم كيفية عمل ADFS، يمكنك أولاً التفكير في كيفية عمل Active Directory. عندما يقوم مستخدم بالمصادقة من خلال Active Directory، تتحقق وحدة تحكم المجال من شهادة المستخدم. بعد إثبات أنه مستخدم شرعي، يمكن للمستخدم الوصول بحرية إلى أي موارد معتمدة على شبكة Windows دون الحاجة إلى إعادة المصادقة في كل مرة يصل فيها إلى خادم مختلف. يطبق ADFS نفس المفهوم على الإنترنت. نعلم جميعًا أنه عندما يحتاج تطبيق الويب إلى الوصول إلى البيانات الخلفية الموجودة في قاعدة بيانات أو أنواع أخرى من الموارد الخلفية، غالبًا ما تكون مشكلات المصادقة الأمنية للموارد الخلفية معقدة. هناك العديد من طرق المصادقة المختلفة المتاحة اليوم لتوفير مثل هذه المصادقة. على سبيل المثال، يمكن للمستخدم تنفيذ آلية مصادقة الملكية من خلال خادم RADIUS (خدمة مستخدم الاتصال الهاتفي عن بعد) أو من خلال جزء من رمز التطبيق. يمكن لآليات المصادقة هذه تنفيذ وظائف المصادقة، ولكن لديها أيضًا بعض أوجه القصور. عيب واحد هو إدارة الحساب. لا تعد إدارة الحساب مشكلة كبيرة عندما لا يتمكن سوى موظفي الشركة من الوصول إلى التطبيقات. ومع ذلك، إذا استخدم جميع موردي الشركة وعملائها التطبيق، فسيجد المستخدمون فجأة أنهم بحاجة إلى إنشاء حسابات مستخدمين جديدة لموظفي الشركات الأخرى. العيب الثاني هو الصيانة. عندما يغادر موظفون من شركات أخرى ويتم تعيين موظفين جدد، يحتاج المستخدمون أيضًا إلى حذف الحسابات القديمة وإنشاء حسابات جديدة.
ما الذي يمكن أن يقدمه لك ADFS؟
كيف سيكون الأمر إذا قام المستخدمون بإلغاء تحميل مهام إدارة الحساب إلى عملائهم أو مورديهم أو غيرهم باستخدام تطبيق الويب؟ تخيل أن تطبيق الويب يقدم خدمات لشركات أخرى، ولم يعد يتعين على المستخدمين إنشاء حسابات لهؤلاء الموظفين أو إعادة تعيينها كلمة المرور الخاصة بك. إذا لم يكن ذلك كافيًا، فلن يحتاج المستخدمون بعد الآن إلى تسجيل الدخول إلى التطبيق لاستخدامه. سيكون ذلك شيئًا مثيرًا.
ماذا يحتاج ADFS؟
بالطبع، تتطلب خدمات اتحاد Active Directory أيضًا استخدام تكوينات أخرى، ويحتاج المستخدمون إلى بعض الخوادم لأداء هذه الوظائف. أبسطها هو خادم الاتحاد، الذي يقوم بتشغيل مكون خدمة الاتحاد في ADFS. يتمثل الدور الرئيسي لخادم الاتحاد في إرسال الطلبات من مستخدمين خارجيين مختلفين، كما أنه مسؤول عن إصدار الرموز المميزة للمستخدمين المصادق عليهم.
بالإضافة إلى ذلك، في معظم الحالات، يلزم وجود وكيل مشترك. تخيل فقط، إذا كانت الشبكة الخارجية تحتاج إلى أن تكون قادرة على إنشاء بروتوكول اتحاد مع الشبكة الداخلية للمستخدم، فهذا يعني أنه يجب أن يكون خادم الاتحاد الخاص بالمستخدم قابلاً للوصول عبر الإنترنت. لكن اتحاد Active Directory لا يعتمد بشكل كبير على Active Directory، لذا فإن تعريض خادم الاتحاد مباشرة للإنترنت سيؤدي إلى مخاطر كبيرة. ولهذا السبب، لا يمكن توصيل خادم الاتحاد مباشرة بالإنترنت، ولكن يمكن الوصول إليه من خلال وكيل الاتحاد. يقوم وكيل الاتحاد بإعادة توجيه طلبات الاتحاد من الخارج إلى خادم الاتحاد، بحيث لا يتعرض خادم الاتحاد مباشرة للعالم الخارجي.
عنصر رئيسي آخر في ADFS هو وكيل ويب ADFS. يجب أن تحتوي تطبيقات الويب على آلية لمصادقة المستخدمين الخارجيين. هذه الآليات هي وكيل الويب ADFS. يدير وكيل الويب ADFS رموز الأمان وملفات تعريف الارتباط المصادقة الصادرة لخوادم الويب.
في المقالة التالية، سنرشدك عبر بيئة اختبار محاكاة لتجربة التجربة الجديدة التي توفرها خدمة ADFS للمؤسسات. دون مزيد من اللغط، فلنبدأ اختبار تكوين ADFS.
الخطوة 1: مهام ما قبل التثبيت
لإكمال التجربة التالية، يجب على المستخدمين إعداد أربعة أجهزة كمبيوتر على الأقل قبل تثبيت ADFS.
1) تكوين نظام تشغيل الكمبيوتر وبيئة الشبكة
استخدم الجدول التالي لتكوين نظام الكمبيوتر وبيئة الشبكة للاختبار.
2) تثبيت AD DS
يستخدم المستخدمون أداة Dcpromo لإنشاء مجموعة تفرعات Active Directory جديدة لكل خادم اتحاد (FS). للحصول على الاسم المحدد، يرجى الرجوع إلى جدول التكوين أدناه.
3) إنشاء حسابات المستخدمين وحسابات الموارد
بعد إعداد مجموعتي الغابات، يمكن للمستخدمين استخدام أداة "حسابات المستخدمين وأجهزة الكمبيوتر" (مستخدمي Active Directory وأجهزة الكمبيوتر) لإنشاء بعض الحسابات استعدادًا للتجارب التالية. توفر القائمة التالية بعض الأمثلة كمرجع للمستخدم:
4) انضم إلى كمبيوتر الاختبار في المجال المناسب
اتبع الجدول أدناه لإضافة أجهزة الكمبيوتر المقابلة إلى المجال المناسب. تجدر الإشارة إلى أنه قبل إضافة أجهزة الكمبيوتر هذه إلى المجال، يحتاج المستخدمون إلى تعطيل جدار الحماية على وحدة تحكم المجال المقابلة.
الخطوة 2: تثبيت خدمة دور AD FS وتكوين الشهادة
الآن بعد أن قمنا بتكوين أجهزة الكمبيوتر وإضافتها إلى المجال، قمنا أيضًا بتثبيت مكونات ADFS على كل خادم.
1) تثبيت خدمة التحالف
قم بتثبيت خدمة التحالف على جهازي كمبيوتر بعد اكتمال التثبيت، يصبح جهازي الكمبيوتر خوادم تحالف. ستوجهنا الخطوات التالية خلال إنشاء ملف سياسة ثقة جديد وSSL وشهادة:
انقر فوق ابدأ، وحدد أدوات إدارية، ثم انقر فوق Server Manager. انقر بزر الماوس الأيمن فوق إدارة الأدوار وحدد إضافة أدوار لبدء معالج إضافة دور. انقر فوق "التالي" في صفحة "قبل أن تبدأ". في صفحة تحديد أدوار الخادم، حدد خدمات الاتحاد لـ Active Directory وانقر فوق التالي. حدد خانة الاختيار خدمة الاتحاد في تحديد خدمات الدور. إذا طلب النظام من المستخدم تثبيت خدمات دور خادم الويب (IIS) أو خدمة تنشيط Windows (WAS)، فانقر فوق إضافة خدمات الدور المطلوبة لإضافتها، ثم انقر فوق التالي عند الانتهاء. في صفحة اختيار شهادة لتشفير SSL، انقر فوق إنشاء شهادة موقعة ذاتيًا لتشفير SSL، وانقر فوق التالي للمتابعة، وفي صفحة اختيار شهادة توقيع الرمز المميز، انقر فوق إنشاء شهادة توقيع رمزية موقعة ذاتيًا، وانقر فوق التالي حدد سياسة الثقة في الصفحة، حدد إنشاء سياسة ثقة جديدة. وبعد ذلك، أدخل إلى صفحة تحديد خدمات الدور وانقر فوق "التالي" لتأكيد القيمة الافتراضية. بعد التحقق من المعلومات الموجودة في تأكيد خيارات التثبيت، يمكنك النقر فوق تثبيت لبدء التثبيت.
[قص الصفحة]
2) قم بتعيين حساب النظام المحلي لهوية ADFSAppPool
انقر فوق ابدأ، في مدير خدمات معلومات الإنترنت (IIS) في الأدوات الإدارية، انقر نقرًا مزدوجًا فوق ADFSRESOURCE أو ADFSACCOUNT، وحدد تجمعات التطبيقات، وانقر بزر الماوس الأيمن فوق ADFSAppPool في اللوحة المركزية، وحدد تعيين إعدادات تجمع التطبيقات الافتراضية في نوع الهوية، وانقر فوق LocalSystem، ثم حدد موافق .
3) تثبيت وكيل ويب AD FS
في Server Manager في الأدوات الإدارية، انقر بزر الماوس الأيمن فوق إدارة الأدوار، وحدد إضافة أدوار، وحدد خدمات اتحاد الدليل النشط في صفحة تحديد أدوار الخادم وفقًا للمعالج، وانقر فوق التالي وحدد خانة الاختيار الوكيل المدرك للمطالبات في نافذة تحديد خدمات الدور . إذا طالب المعالج المستخدم بتثبيت خدمات دور خادم الويب (IIS) أو خدمة تنشيط Windows (WAS)، فانقر فوق إضافة خدمات الدور المطلوبة لإكمال التثبيت. بعد الانتهاء، في صفحة تحديد خدمات الدور، حدد خانة الاختيار مصادقة تعيين شهادة العميل (ولتحقيق هذه الخطوة، يحتاج IIS إلى إنشاء مصادقة خدمة موقعة ذاتيًا.) بعد التحقق من المعلومات، يمكنك بدء التثبيت.
لإعداد خادم الويب وخادم التحالف بنجاح، هناك خطوة مهمة أخرى وهي إنشاء الشهادات واستيرادها وتصديرها. لقد استخدمنا سابقًا معالج إضافة الدور لإنشاء شهادات ترخيص الخادم بين خوادم التحالف. كل ما تبقى علينا فعله هو إنشاء شهادات الترخيص المقابلة لجهاز كمبيوتر adfsweb. نظرًا للمساحة المحدودة، لن أعرضها بالتفصيل هنا. للحصول على المحتوى ذي الصلة، يمكنك التحقق من المقالات المتعلقة بالشهادة في السلسلة.
الخطوة 3: تكوين خادم الويب
في هذه الخطوة، ما نريد إكماله بشكل أساسي هو كيفية إعداد تطبيق يراعي المطالبات على خادم ويب (adfsweb).
نقوم أولاً بتكوين IIS، كل ما يتعين علينا القيام به هو تمكين إعدادات SSL لموقع الويب الافتراضي الخاص بـ adfsweb. بعد الانتهاء، ننقر نقرًا مزدوجًا فوق مواقع الويب في ADFSWEB لـ IIS، ثم ننقر بزر الماوس الأيمن على موقع الويب الافتراضي، ثم نحدد "إضافة تطبيق"، ونكتب "المطالبة" في. الاسم المستعار لمربع الحوار "إضافة تطبيق" انقر فوق الزر...، وقم بإنشاء مجلد جديد باسم "المطالبة"، ثم قم بالتأكيد. تجدر الإشارة إلى أنه من الأفضل عدم استخدام الأحرف الكبيرة عند تسمية مجلد جديد، وإلا فسوف تحتاج إلى استخدام الأحرف الكبيرة المقابلة عند استخدامه لاحقًا.
الخطوة 4: تكوين خادم التحالف
الآن بعد أن قمنا بتثبيت خدمة ADFS وقمنا بتكوين خادم الويب للوصول إلى التطبيق المدرك للمطالبات، فلنقم بتكوين خدمات التحالف الخاصة بالشركتين (Trey Research وA. Datum Corporation) في بيئة الاختبار.
لنقم أولاً بتكوين سياسة الثقة. انقر فوق خدمات اتحاد الدليل النشط في الأدوات الإدارية، ثم انقر نقرًا مزدوجًا فوق خدمة الاتحاد، ثم انقر بزر الماوس الأيمن وحدد سياسة الثقة، ثم حدد خصائص. اكتب urn:federation:adatum في خيار URI الخاص بخدمة الاتحاد في علامة التبويب عام. ثم تحقق من صحة عنوان URL التالي في مربع نص عنوان URL لنقطة نهاية خدمة الاتحاد https://adfsaccount.adatum.com/adfs/ls/ وأخيرًا، اكتب A. Datum في اسم العرض لسياسة الثقة هذه في علامة التبويب اسم العرض و حدد موافق بالتأكيد. بعد الانتهاء، ندخل إلى خدمات الاتحاد لـ Active Directory مرة أخرى، انقر نقرًا مزدوجًا فوق خدمة الاتحاد، وسياسة الثقة، ومنظمتي، وانقر بزر الماوس الأيمن فوق مطالبات المنظمة، ثم انقر فوق جديد، ثم انقر فوق مطالبة المنظمة، اكتب مطالبة Trey ClaimApp في اسم المطالبة في مربع إنشاء مربع حوار مطالبة المنظمة الجديدة. تأكد من تحديد مطالبة المجموعة وانقر فوق "موافق". يشبه تكوين شركة أخرى بشكل أساسي العملية المذكورة أعلاه، لذا لن أخوض في التفاصيل مرة أخرى.
الخطوة 5: الوصول إلى التطبيق التجريبي من خلال جهاز الكمبيوتر العميل
قم بتكوين إعدادات المتصفح لخدمة اتحاد adfsaccount
قم بتسجيل الدخول إلى adfsclient كمستخدم alansh، ثم ابدأ تشغيل IE، وانقر فوق "خيارات الإنترنت" في القائمة "أدوات"، ثم انقر فوق "إنترانت محلية" في علامة التبويب "أمان"، ثم انقر فوق "المواقع" ثم انقر فوق "خيارات متقدمة". اكتب https://adfsaccount في "إضافة موقع الويب هذا إلى المنطقة". adatum.com، انقر فوق إضافة. ثم اكتب https://adfsweb.treyresearch.net/claimapp/ في متصفح IE ولكن عندما يُطلب منك تحديد نطاق المنزل، انقر فوق A. Datum، ثم انقر فوق Submit. بهذه الطريقة يظهر نموذج التطبيق المدرك للمطالبات على المتصفح ويمكن للمستخدم رؤية المطالبات المحددة للتطبيق في SingleSignOnIdentity.SecurityPropertyCollection. إذا كانت هناك مشكلة أثناء الوصول، فيمكن للمستخدم تشغيل iisreset أو إعادة تشغيل كمبيوتر adfsweb، ثم محاولة الوصول مرة أخرى.
في هذه المرحلة، تم إنشاء نموذج اختبار ADFS الأساسي. بالطبع، لا يزال ADFS تقنية جديدة شاملة ومعقدة. في بيئة الإنتاج الحقيقية، سيظل لدينا العديد من العمليات والتكوينات التي يتعين علينا القيام بها. كما هو مذكور أعلاه، سيعمل ADFS على توسيع إمكانيات تطبيقات الويب بشكل كبير وتوسيع مستوى المعلوماتية للأعمال الخارجية للشركة، فلننتظر ونرى كيف يتم استخدام تقنية ADFS في Windows Server 2008 في التطبيقات العملية.
[قص الصفحة]2) قم بتعيين حساب النظام المحلي لهوية ADFSAppPool
انقر فوق ابدأ، في مدير خدمات معلومات الإنترنت (IIS) في الأدوات الإدارية، انقر نقرًا مزدوجًا فوق ADFSRESOURCE أو ADFSACCOUNT، وحدد تجمعات التطبيقات، وانقر بزر الماوس الأيمن فوق ADFSAppPool في اللوحة المركزية، وحدد تعيين إعدادات تجمع التطبيقات الافتراضية في نوع الهوية، وانقر فوق LocalSystem، ثم حدد موافق .
3) تثبيت وكيل ويب AD FS
في Server Manager في الأدوات الإدارية، انقر بزر الماوس الأيمن فوق إدارة الأدوار، وحدد إضافة أدوار، وحدد خدمات اتحاد الدليل النشط في صفحة تحديد أدوار الخادم وفقًا للمعالج، وانقر فوق التالي وحدد خانة الاختيار الوكيل المدرك للمطالبات في نافذة تحديد خدمات الدور . إذا طالب المعالج المستخدم بتثبيت خدمات دور خادم الويب (IIS) أو خدمة تنشيط Windows (WAS)، فانقر فوق إضافة خدمات الدور المطلوبة لإكمال التثبيت. بعد الانتهاء، في صفحة تحديد خدمات الدور، حدد خانة الاختيار مصادقة تعيين شهادة العميل (ولتحقيق هذه الخطوة، يحتاج IIS إلى إنشاء مصادقة خدمة موقعة ذاتيًا.) بعد التحقق من المعلومات، يمكنك بدء التثبيت.
لإعداد خادم الويب وخادم التحالف بنجاح، هناك خطوة مهمة أخرى وهي إنشاء الشهادات واستيرادها وتصديرها. لقد استخدمنا سابقًا معالج إضافة الدور لإنشاء شهادات ترخيص الخادم بين خوادم التحالف. كل ما تبقى علينا فعله هو إنشاء شهادات الترخيص المقابلة لجهاز كمبيوتر adfsweb. نظرًا للمساحة المحدودة، لن أعرضها بالتفصيل هنا. للحصول على المحتوى ذي الصلة، يمكنك التحقق من المقالات المتعلقة بالشهادة في السلسلة.
الخطوة 3: تكوين خادم الويب
في هذه الخطوة، ما نريد إكماله بشكل أساسي هو كيفية إعداد تطبيق يراعي المطالبات على خادم ويب (adfsweb).
نقوم أولاً بتكوين IIS، كل ما يتعين علينا القيام به هو تمكين إعدادات SSL لموقع الويب الافتراضي الخاص بـ adfsweb. بعد الانتهاء، ننقر نقرًا مزدوجًا فوق مواقع الويب في ADFSWEB لـ IIS، ثم ننقر بزر الماوس الأيمن على موقع الويب الافتراضي، ثم نحدد "إضافة تطبيق"، ونكتب "المطالبة" في. الاسم المستعار لمربع الحوار "إضافة تطبيق" انقر فوق الزر...، وقم بإنشاء مجلد جديد باسم "المطالبة"، ثم قم بالتأكيد. تجدر الإشارة إلى أنه من الأفضل عدم استخدام الأحرف الكبيرة عند تسمية مجلد جديد، وإلا فسوف تحتاج إلى استخدام الأحرف الكبيرة المقابلة عند استخدامه لاحقًا.
الخطوة 4: تكوين خادم التحالف
الآن بعد أن قمنا بتثبيت خدمة ADFS وقمنا بتكوين خادم الويب للوصول إلى التطبيق المدرك للمطالبات، فلنقم بتكوين خدمات التحالف الخاصة بالشركتين (Trey Research وA. Datum Corporation) في بيئة الاختبار.
لنقم أولاً بتكوين سياسة الثقة. انقر فوق خدمات اتحاد الدليل النشط في الأدوات الإدارية، ثم انقر نقرًا مزدوجًا فوق خدمة الاتحاد، ثم انقر بزر الماوس الأيمن وحدد سياسة الثقة، ثم حدد خصائص. اكتب urn:federation:adatum في خيار URI الخاص بخدمة الاتحاد في علامة التبويب عام. ثم تحقق من صحة عنوان URL التالي في مربع نص عنوان URL لنقطة نهاية خدمة الاتحاد https://adfsaccount.adatum.com/adfs/ls/ وأخيرًا، اكتب A. Datum في اسم العرض لسياسة الثقة هذه في علامة التبويب اسم العرض و حدد موافق بالتأكيد. بعد الانتهاء، ندخل إلى خدمات الاتحاد لـ Active Directory مرة أخرى، انقر نقرًا مزدوجًا فوق خدمة الاتحاد، وسياسة الثقة، ومنظمتي، وانقر بزر الماوس الأيمن فوق مطالبات المنظمة، ثم انقر فوق جديد، ثم انقر فوق مطالبة المنظمة، اكتب مطالبة Trey ClaimApp في اسم المطالبة في مربع إنشاء مربع حوار مطالبة المنظمة الجديدة. تأكد من تحديد مطالبة المجموعة وانقر فوق "موافق". يشبه تكوين شركة أخرى بشكل أساسي العملية المذكورة أعلاه، لذا لن أخوض في التفاصيل مرة أخرى.
الخطوة 5: الوصول إلى التطبيق التجريبي من خلال جهاز الكمبيوتر العميل
قم بتكوين إعدادات المتصفح لخدمة اتحاد adfsaccount
قم بتسجيل الدخول إلى adfsclient كمستخدم alansh، ثم ابدأ تشغيل IE، وانقر فوق "خيارات الإنترنت" في القائمة "أدوات"، ثم انقر فوق "إنترانت محلية" في علامة التبويب "أمان"، ثم انقر فوق "المواقع" ثم انقر فوق "خيارات متقدمة". اكتب https://adfsaccount في "إضافة موقع الويب هذا إلى المنطقة". adatum.com، انقر فوق إضافة. ثم اكتب https://adfsweb.treyresearch.net/claimapp/ في متصفح IE ولكن عندما يُطلب منك تحديد نطاق المنزل، انقر فوق A. Datum، ثم انقر فوق Submit. بهذه الطريقة يظهر نموذج التطبيق المدرك للمطالبات على المتصفح ويمكن للمستخدم رؤية المطالبات المحددة للتطبيق في SingleSignOnIdentity.SecurityPropertyCollection. إذا كانت هناك مشكلة أثناء الوصول، فيمكن للمستخدم تشغيل iisreset أو إعادة تشغيل كمبيوتر adfsweb، ثم محاولة الوصول مرة أخرى.
في هذه المرحلة، تم إنشاء نموذج اختبار ADFS الأساسي. بالطبع، لا يزال ADFS تقنية جديدة شاملة ومعقدة. في بيئة الإنتاج الحقيقية، سيظل لدينا العديد من العمليات والتكوينات التي يتعين علينا القيام بها. كما هو مذكور أعلاه، سيعمل ADFS على توسيع إمكانيات تطبيقات الويب بشكل كبير وتوسيع مستوى المعلوماتية للأعمال الخارجية للشركة، فلننتظر ونرى كيف يتم استخدام تقنية ADFS في Windows Server 2008 في التطبيقات العملية.