Checkliste: AD FS so konfigurieren, dass Ansprüche an einen Ansprüche unterstützenden AD FS 1.x-Web-Agent gesendet werden
Prüfliste: Konfigurieren von AD FS für das Senden von Ansprüchen an einen Web-Agent mit Unterstützung von AD FS 1.x-Ansprüchen
Diese Prüfliste enthält die notwendigen Aufgaben, um die AD FS-Verbunddienste (Active Directory Federation Services) in Windows Server 2012 für das Senden von Ansprüchen zu konfigurieren. Diese müssen von einer Anwendung interpretiert werden können, die auf einem Webserver gehostet wird, auf dem der Web-Agent mit Unterstützung von AD FS 1.x-Ansprüchen ausgeführt wird.
Hinweis
Führen Sie die Aufgaben in dieser Prüfliste in der angegebenen Reihenfolge aus. Wenn Sie über einen Referenzlink zu einer Prozedur gelangen, kehren Sie zu diesem Thema zurück, nachdem Sie die Schritte in der betreffenden Prozedur ausgeführt haben, sodass Sie die Ausführung der verbleibenden Aufgaben in dieser Prüfliste fortsetzen können.
Prüfliste: Konfigurieren von AD FS für das Senden von Ansprüchen an einen Web-Agent mit Unterstützung von AD FS 1.x-Ansprüchen
Aufgabe | Verweis |
---|---|
Planen Sie die Interoperabilität zwischen AD FS in Windows Server 2012 und früheren Versionen von AD FS, und lernen Sie mehr über den Anspruchstyp „Namensbezeichner“. | Planen der Interoperabilität mit AD FS 1.x |
Sofern nicht bereits geschehen, verwenden Sie den Link auf der rechten Seite, um zunächst eine Vertrauensstellung der vertrauenden Seite zwischen dem AD FS-Verbunddienst in Windows Server 2012 und dem AD FS 1.x-Verbunddienst zu erstellen. | Prüfliste: Konfigurieren von AD FS, sodass Ansprüche an einen AD FS 1.x-Verbunddienst gesendet werden |
Bevor Sie Interoperabilität mit einer Anwendung erzielen können, die vom Web-Agent mit Unterstützung von AD FS 1.x-Ansprüchen gehostet wird, müssen Sie zunächst im AD FS-Verbunddienst in Windows Server 2012 eine Vertrauensstellung der vertrauenden Seite mit dem Web-Agent mit Unterstützung von AD FS 1.x-Ansprüchen erstellen. Hinweis: Das Erstellen dieser Vertrauensstellung im AD FS-Verbunddienst entspricht dem Hinzufügen einer neuen Anwendung zum AD FS 1.x-Verbunddienst (Federation Service\Trust Policy\My Organization\Application). Diese Vertrauensstellung der vertrauenden Seite ist erforderlich, da AD FS im zugehörigen Snap-In über keinen entsprechenden Knoten Anwendung verfügt. Es muss jedoch weiterhin ein sicherer Kanal zur Anwendung bestehen. Wenn Sie die Vertrauensstellung mithilfe des Verfahrens einrichten, auf das im Link auf der rechten Seite verwiesen wird, müssen Sie im Assistenten zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite folgendermaßen vorgehen, um diese Vertrauensstellung so einzurichten, dass sie mit einem Web-Agent mit Unterstützung von AD FS 1.x-Ansprüchen interagieren kann: 1. Wählen Sie auf der Seite Datenquelle auswählen die Option Daten zur vertrauenden Seite manuell eingeben aus. |
Manuelles Erstellen einer Vertrauensstellung der vertrauenden Seite |
Wenden Sie sich an den Administrator des Webservers, auf dem der Web-Agent mit Unterstützung von AD FS 1.x-Ansprüchen ausgeführt wird. Bitten Sie darum, die Datei „web.config“ der Anwendung mit Anspruchsunterstützung (unterhalb der Standardwebsite in IIS) zu bearbeiten, damit der Web-Agent auf den AD FS-Verbunddienst verweist. Ersetzen Sie beispielsweise myresourcefederationserver im Tag Dies ist notwendig, damit die Anwendung und der Web-Agent mit Unterstützung von AD FS 1.x-Ansprüchen die vom AD FS-Verbunddienst in Windows Server 2012 an sie gesendeten Ansprüche nutzen können. |
– |
Für die zuvor erstellte Vertrauensstellung der vertrauenden Seite müssen Sie Anspruchsregeln erstellen, die eingehende Ansprüche, die aus einem Attributspeicher extrahiert wurden, akzeptieren, filtern oder in einen Anspruch des Typs „Namensbezeichner“ umwandeln, der vom Web-Agent mit Unterstützung von AD FS 1.x-Ansprüchen interpretiert und genutzt werden kann. Hinweis: Stellen Sie vor der Erstellung dieser Regeln sicher, dass dem Anspruchsregelsatz, in dem Sie diese Regel erstellen, eine Regel vorausgeht, die zunächst einen LDAP-Attributanspruch (Lightweight Directory Access Protocol ) aus einem Attributspeicher extrahiert. Dieser Anspruch wird als Eingabe für die Regel verwendet, die Sie erstellen, um einen AD FS 1.x-kompatiblen Anspruch zu senden. Weitere Informationen zum Erstellen einer Regel für das Extrahieren eines LDAP-Attributs finden Sie unter Erstellen einer Regel zum Senden von LDAP-Attributen als Ansprüche. | Erstellen einer Regel für das Senden eines AD FS 1.x-kompatiblen Anspruchs |