Вам то и дело приходится слышать об «облачных» вычислениях и об использовании федерации удостоверений для безопасного распространения учетных данных пользователей с внутренних систем на «облачные» службы. Вы изучаете многоэтапный порядок проверки подлинности на основе утверждений внутри федерации, но такое изучение не дает практических навыков. Как же получить практический опыт работы с федерацией? Для этого информационным центром Windows предлагается «Пошаговое и практическое руководство по AD FS 2.0» (http://tinyurl.com/adfsguides). Как показывает опыт, службы федерации Active Directory (AD FS) имеют мало общего с AD, а среднему администратору AD недостает знаний и опыта работы с AD FS.

Информация по AD FS рассеяна по сайту Microsoft, поэтому трудно определить, с чего следует начать. Важно помнить, что вы будете работать с AD FS 2.0 (в бета-версии — под кодовым названием Geneva, которое будет упоминаться часто), значительно усовершенствованным преемником исходной версии 1.0. Пошаговое и практическое руководство по AD FS 2.0 включает 12 документов. Некоторые из них содержат пояснения, касающиеся использования AD FS с пакетом онлайн-услуг для продуктивности бизнеса BPOS/Office 365, Windows Azure и Microsoft SharePoint. Принципиальная установка федерации — способность работать с другими федеративными продуктами, использующими стандартный язык разметки гипертекста (SAML). Поэтому в других руководствах объясняется, как обеспечить взаимодействие AD FS с PingFederate, Shibboleth 2, CA Federation Manager и IBM Tivoli Federated Manager.

.

Первый способ — самостоятельное построение. Непосредственно под упомянутым выше руководством находится руководство по построению лабораторной среды — How to Set Up the AD FS 2.0 VM Lab Environment for Federated Collaboration guide. Эта 50-страничная инструкция последовательно проведет вас через сложный процесс построения четырех виртуальных машин, двух доменов и соответствующих необходимых служб (вкратце описанных ниже). Сделав ошибку в одном предложении, вы должны будете вернуться назад и исправить ее. Это потребует времени и лицензий Server 2008 R2, SharePoint 2007, SQL Server 2005 и 2008 R2, и Office Professional 2007. Однако самостоятельное построение среды — лучший путь к постижению основ новой технологии.

Другой способ построения лабораторной среды предлагается в упомянутом пошаговом руководстве по SharePoint и реализуется путем загрузки предварительно настроенных виртуальных машин Hyper-V. Этот метод позволяет сэкономить время, затрачиваемое на построение клиентской части, и полностью сосредоточиться на тестировании федеративных сценариев. Следует, однако, понимать, что при этом вы не получите практического опыта установки AD FS. Кроме того, поскольку предварительно настроенная лабораторная среда (четыре экземпляра операционной системы и четыре серверных продукта, требующих лицензионных ключей) включает только пробные версии, после ее настройки тестирование нужно будет провести быстро, до наступления самоликвидации. Рекомендация: продлить жизнь экземпляров операционной системы на 60 дней можно с помощью команды Slmgr.vbs из окна командной строки с административными привилегиями.

В лабораторной среде федерации SharePoint реализуется сценарий типа «бизнес-бизнес» (B2B) между двумя фармацевтическими компаниями — Fabrikam и Contoso Pharmaceuticals (см. рисунок), где Fabrikam — поставщик, а Contoso — производитель лекарств. Сотрудникам Fabrikam необходим доступ к информации Contoso по испытаниям лекарственных препаратов через службу SharePoint 2007 с поддержкой утверждений, реализованной путем установки Microsoft Federation Extensions for SharePoint. Лабораторный сценарий демонстрирует, как с помощью AD FS организовать федерацию удостоверений между Fabrikam и Contoso, при которой специалисты из Fabrikam, контролирующие испытания лекарственных препаратов, могут получать доступ к соответствующей документации Contoso через службу Share Point без необходимости создания отдельной учетной записи на стороне Contoso.

 

Лабораторный сценарий федерации SharePoint
Рисунок. Лабораторный сценарий федерации SharePoint

Чтобы не запутаться в сложных сценариях федерации, я представляю себя в роли поставщика учетных данных, находящегося всегда с левой стороны на диаграмме архитектуры. Вспомним, что поставщик учетных данных — это сторона, содержащая учетные данные (в данном случае из AD), управление которыми передается службе (в данном случае на сервер SharePoint Contoso).

Руководство по лабораторной среде федерации SharePoint на 96 страницах главным образом содержит описание шагов, которые следует выполнять после загрузки виртуальной машины (или прохождения 50-страничного руководства по построению лабораторной среды). Радует то, что, в отличие от руководства по построению лабораторной среды, этот документ составлен в основном из снимков экрана, что значительно облегчает процесс обучения, поскольку в данном случае одно изображение стоит тысячи слов и в десятки раз снижает вероятность ошибок.

Сама лабораторная среда проще, чем могло показаться вначале, поскольку, для того чтобы просто увидеть, как работает федерация, нет необходимости проходить все шаги, изложенные в документе. Кстати, наблюдение за работой федерации вызывает разочарование. Так как предполагается однократная регистрация в системе, федерация работает правильно тогда, когда ничего не происходит. Самое интересное, что «ничего не должно происходить» по периметру безопасности, где обычно хоть что-нибудь происходит обязательно (например, требование ввода учетных данных), иначе просто нельзя было бы подключиться к удаленному ресурсу. Лабораторная среда SharePoint включает 11 шагов, но, чтобы просто наблюдать федерацию в действии, достаточно дойти лишь до шага 7.

Однако, если вы преодолели все сложности и дошли до этого шага, то стоит пройти и остальные. На шаге 8 вы узнаете, как можно использовать базу данных SQL Server в качестве хранилища атрибутов, к которому AD FS может обращаться для создания утверждений. Шаг 9 демонстрирует настройку конфигурации AD FS и SharePoint на использование AD RMS для управления цифровыми правами документов. Наконец, на шаге 10 вы научитесь настраивать вторую библиотеку документов на строгую проверку подлинности при обращении к ее документам.

Две основных виртуальных машины в этой лабораторной среде — FABRIKAMSRV01 и CONTOSO­SRV01 — выполняют несколько ролей, тогда как FABRIKAM­SRV02 — это пользователь Office 2007 (хотя он установлен на сервере), а CONTOSOSRV02 — это сервер SharePoint (требует IIS и SQL Server в качестве компонентов). Во-первых, FABRIKAMSRV01 и CONTOSO­SRV01 обеспечивают доменные службы через AD DS для создания доменов FABRIKAM и CONTOSO. Заметим, что, поскольку каждый из этих доменов имеет только один DC, нет необходимости беспокоиться о таких проблемах, как сбой репликации между контроллерами домена из-за отключения систем, либо их приостановки на время, превышающее период жизни до полного удаления. Во-вторых, они имеют службу DNS, установленную для поддержки AD DS.

В-третьих, в этом сценарии, на FABRIKAMSRV01 и CONTOSO­SRV01 установлен компонент AD FS. AD FS на FABRIKAMSRV01 включает в работу STS (служба билетов безопасности, генерирующая SAML-билеты) поставщика утверждений. Поставщик утверждений, как видно из названия, генерирует утверждения, необходимые для доступа к SharePoint, из атрибутов Active Directory пользователя. По непонятной причине STS часто используется взаимозаменяемо с сервером федерации или AD FS. AD FS на CONTOSOSRV01 включает в работу STS проверяющей стороны для проверки учетных данных, генерируемых поставщиком учетных данных.

В-четвертых, на FABRIKAMSRV01 и CONTOSOSRV01 установлен компонент AD CS, обеспечивающий каждому домену центр сертификации (CA), генерирующий сертификаты для доказательства подлинности утверждений, выпускаемых STS домена. Наконец, для поддержки AD CS и AD FS, на FABRIKAMSRV01 и CONTOSOSRV01 установлен IIS.

Если вы хотите соответствовать современному уровню и следовать направлению развития технологии учетных данных, рекомендую вам установить и пройти хотя бы курс лабораторных работ по AD FS и SharePoint. Это даст вам знание основ AD FS и вы сможете оценить применение AD FS на примере типового сценария B2B. Вы получите практический опыт работы с утверждениями на пути от STS поставщика удостоверений к STS поставщика службы и к приложению, поддерживающему утверждения. Наконец, вы освежите знания в таких областях, как IIS и службы сертификатов. Федерацию в целом и AD FS в частности нельзя освоить за один вечер.

Шон Дьюби (sdeuby@windowsitpro.com) — старший аналитик в компании Platform Vision с 25-летним стажем работы в области корпоративных информационных систем