Share via

Checkliste: AD FS so konfigurieren, dass Ansprüche an einen Ansprüche unterstützenden AD FS 1.x-Web-Agent gesendet werden

  • Artikel

Prüfliste: Konfigurieren von AD FS für das Senden von Ansprüchen an einen Web-Agent mit Unterstützung von AD FS 1.x-Ansprüchen

Diese Prüfliste enthält die notwendigen Aufgaben, um die AD FS-Verbunddienste (Active Directory Federation Services) in Windows Server 2012 für das Senden von Ansprüchen zu konfigurieren. Diese müssen von einer Anwendung interpretiert werden können, die auf einem Webserver gehostet wird, auf dem der Web-Agent mit Unterstützung von AD FS 1.x-Ansprüchen ausgeführt wird.

Hinweis

Führen Sie die Aufgaben in dieser Prüfliste in der angegebenen Reihenfolge aus. Wenn Sie über einen Referenzlink zu einer Prozedur gelangen, kehren Sie zu diesem Thema zurück, nachdem Sie die Schritte in der betreffenden Prozedur ausgeführt haben, sodass Sie die Ausführung der verbleibenden Aufgaben in dieser Prüfliste fortsetzen können.

Check mark icon, Configure AD FS to send claims to an AD FS 1.x claims-aware Web agent.Prüfliste: Konfigurieren von AD FS für das Senden von Ansprüchen an einen Web-Agent mit Unterstützung von AD FS 1.x-Ansprüchen

Aufgabe Verweis
Planen Sie die Interoperabilität zwischen AD FS in Windows Server 2012 und früheren Versionen von AD FS, und lernen Sie mehr über den Anspruchstyp „Namensbezeichner“. Icon, Plan for interoperability between AD FS in Windows Server 2012.Planen der Interoperabilität mit AD FS 1.x
Sofern nicht bereits geschehen, verwenden Sie den Link auf der rechten Seite, um zunächst eine Vertrauensstellung der vertrauenden Seite zwischen dem AD FS-Verbunddienst in Windows Server 2012 und dem AD FS 1.x-Verbunddienst zu erstellen. Prüfliste: Konfigurieren von AD FS, sodass Ansprüche an einen AD FS 1.x-Verbunddienst gesendet werden
Bevor Sie Interoperabilität mit einer Anwendung erzielen können, die vom Web-Agent mit Unterstützung von AD FS 1.x-Ansprüchen gehostet wird, müssen Sie zunächst im AD FS-Verbunddienst in Windows Server 2012 eine Vertrauensstellung der vertrauenden Seite mit dem Web-Agent mit Unterstützung von AD FS 1.x-Ansprüchen erstellen. Hinweis: Das Erstellen dieser Vertrauensstellung im AD FS-Verbunddienst entspricht dem Hinzufügen einer neuen Anwendung zum AD FS 1.x-Verbunddienst (Federation Service\Trust Policy\My Organization\Application). Diese Vertrauensstellung der vertrauenden Seite ist erforderlich, da AD FS im zugehörigen Snap-In über keinen entsprechenden Knoten Anwendung verfügt. Es muss jedoch weiterhin ein sicherer Kanal zur Anwendung bestehen.

Wenn Sie die Vertrauensstellung mithilfe des Verfahrens einrichten, auf das im Link auf der rechten Seite verwiesen wird, müssen Sie im Assistenten zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite folgendermaßen vorgehen, um diese Vertrauensstellung so einzurichten, dass sie mit einem Web-Agent mit Unterstützung von AD FS 1.x-Ansprüchen interagieren kann:

1. Wählen Sie auf der Seite Datenquelle auswählen die Option Daten zur vertrauenden Seite manuell eingeben aus.
2. Wählen Sie auf der Seite Profil auswählen die Option AD FS 1.0- und 1.1-Profil aus.
3. Geben Sie auf der Seite URL konfigurieren unter URL des passiven WS-Verbunds die Anwendungs-URL ein, die im AD FS 1.x-Verbunddienst des Partners definiert ist.
4. Geben Sie auf der Seite Bezeichner konfigurieren unter Bezeichner der vertrauenden Seite die Anwendungs-URL ein, die im Web-Agent mit Unterstützung von AD FS 1.x-Ansprüchen definiert ist.

 Icon, Create a relying party trust.Manuelles Erstellen einer Vertrauensstellung der vertrauenden Seite
Wenden Sie sich an den Administrator des Webservers, auf dem der Web-Agent mit Unterstützung von AD FS 1.x-Ansprüchen ausgeführt wird. Bitten Sie darum, die Datei „web.config“ der Anwendung mit Anspruchsunterstützung (unterhalb der Standardwebsite in IIS) zu bearbeiten, damit der Web-Agent auf den AD FS-Verbunddienst verweist.

Ersetzen Sie beispielsweise myresourcefederationserver im Tag <fs>https://myresourcefederationserver/adfs/fs/federationserverservice.asmx</fs> der Datei „web.config“ durch einen gültigen AD FS-Verbundservernamen.

Dies ist notwendig, damit die Anwendung und der Web-Agent mit Unterstützung von AD FS 1.x-Ansprüchen die vom AD FS-Verbunddienst in Windows Server 2012 an sie gesendeten Ansprüche nutzen können.
Für die zuvor erstellte Vertrauensstellung der vertrauenden Seite müssen Sie Anspruchsregeln erstellen, die eingehende Ansprüche, die aus einem Attributspeicher extrahiert wurden, akzeptieren, filtern oder in einen Anspruch des Typs „Namensbezeichner“ umwandeln, der vom Web-Agent mit Unterstützung von AD FS 1.x-Ansprüchen interpretiert und genutzt werden kann. Hinweis: Stellen Sie vor der Erstellung dieser Regeln sicher, dass dem Anspruchsregelsatz, in dem Sie diese Regel erstellen, eine Regel vorausgeht, die zunächst einen LDAP-Attributanspruch (Lightweight Directory Access Protocol ) aus einem Attributspeicher extrahiert. Dieser Anspruch wird als Eingabe für die Regel verwendet, die Sie erstellen, um einen AD FS 1.x-kompatiblen Anspruch zu senden. Weitere Informationen zum Erstellen einer Regel für das Extrahieren eines LDAP-Attributs finden Sie unter Erstellen einer Regel zum Senden von LDAP-Attributen als Ansprüche. configure AD FS to send claimsErstellen einer Regel für das Senden eines AD FS 1.x-kompatiblen Anspruchs