Basit bir ifadeyle Active Directory Federation Services, organizasyonunuzdaki  Web tabanlı bir uygulamaya kurum çalışanlarının veya müşterilerinin kullanıcı adı ve şifrelerini girerek  uygulamayı çalıştırmalarına olanak sağlayan servistir.

 

Örneğin A ve B şirketinin ortak olduğunu ve bunların şubelerinin olduğunu düşünürsek,A kullanıcısı B şirketinin web tabanlı bir uygulamasını çalıştırırken B şirketi için kimlik doğrulaması,A şirketinin uygulamasını çalıştırırken A şirketinin kimlik doğrulaması yapmak zorunda kalıcaktır.Bu durumda kullanıcı her işlem için kullanıcı adı ve şifre girmek zorunda olmasıyla beraber, kullanıcıların şifrelerini unutması ya da işten çıkartıldıktan sonra bu şifrelerin tek tek disable edilmesi yönetimsel olarak bazı sorumluluklar doğurabilir.Active Directory Fedaration Services ile SSO (Single Sign On) yapısını kullanılarak, kullanıcıların bir kez kimlik bilgilerini girerek web tabanlı uygulamaları çalıştırmalarını sağlanmaktadır.

Sadece federe olan domainlerle değil,müşterilerin Active Directory Lightweight Direcetory Services (AD LDS) ile entegre çalışması sağlanarak web tabanlı uygulamalar müşterilerin kullanımına sunulabilir. 

AD FS,Windows Server 2003 R2 ile birlikte kullanılmaya başlayan bir servis olmakla beraber, Windows Server 2008 işletim sisteminde sunucu rolü olarak karşımıza gelmektedir.,AD FS, Microsoft Office SharePoint Server 2007 ve Active Directory Rights Management Services (AD RMS) ile entegre olarak da çalışabilen bir servistir.

Eğer A kuruluşu kendi domaininde AD RMS dağıtılmış ise  AD FS kullanarak B kuruluşu ile federasyon kurabilir. Bu şekilde B kuruluşu AD RMS kurmadan belirli izinler atanan dosyaları erişim hakkına sahip olacaktır.

Not: AD FS Windows Server 2008 Core üzerinde kullanılmamaktadır.

AD FS kuruluşun yapısına göre bir takım roller sunmaktadır. Bunlar Federation Service, Federation Service Proxy, Claims aware agent, Windows token based agent’ tır

Federation Service: Başka kuruluşlardaki kullanıcı hesapları veya internet üzerinden gelen kimlik doğrulamaları için kullanılır.

Federation Service Proxy: Perimeter network üzerinde bulunan FS-P, WS-F PRP(Federation Passive Requestor Profile) protokolünü kullanarak gelen istekleri alır ve HTTPS protokölü üzerinden Federation Service olan sunucuya yönlendirir.FS-P ve Federation Service aynı sunucu üzerine kurulmamalıdır.

Claims aware agent: Microsoft ASP.net tabanlı uygulamaları çalıştırmak için kullanılan roldür.

Windows token based agent: Claims aware agent gibi bir işleve sahip fakat Windows tabanlı authorization kullanarak çalışan roldür.

Active Directory Federation Services kurumun isteklerine göre farklı yapılar kullanılarak dizayn edilebilen esnek bir yapıya sahiptir. AD FS ile şirket içindeki kullanıcılar için aşağıdaki yapı kullanılabilir.

Şirket dışındaki kullanıcılar internet üzerinden erişerek uygulama çalıştırabilirler.Bunun için perimeter network üzerinde perimeter DNS ve FS-P rolünü aktif ederek, isteklerin FS-P  üzerinden AD FS iletilmesi sağlanabilir.

Müşteriler web tabanlı uygulamaları çalıştırmak isteyebilirler.Bu yapıda müşteri,iç networke erişmeden perimeter network üzerinde işlemlerini gerçekleştirebilir.

Yukarıda gösterilen dizaynlar dışında şirket yapısı ve ihtiyacına göre farklı dizaynlarda geliştirilebilir.