Konfigurieren von Partnerorganisationen

  • Artikel

Um eine neue Partnerorganisation in Active Directory-Verbunddienste (AD FS) bereitzustellen, schließen Sie je nach AD FS-Entwurf die Aufgaben in der Prüfliste: Konfigurieren der Ressourcenpartnerorganisation oder der Prüfliste: Konfigurieren der Kontopartnerorganisation ab.

Hinweis

Wenn Sie eine dieser Prüflisten verwenden, empfehlen wir dringend, dass Sie zuerst die Referenzen bezüglich der Planungsanleitung zu Kontopartnern oder Ressourcenpartnern im AD FS-Legacyentwurfsleitfaden in Windows Server 2012 lesen, bevor Sie die Einrichtung der neuen Partnerorganisation fortsetzen. Wenn Sie die Prüfliste auf diese Weise durcharbeiten, erhalten Sie ein besseres Verständnis des gesamten AD FS-Entwurfs und der Bereitstellung für den Kontopartner oder die Ressourcenpartnerorganisation.

Informationen zu Kontopartnerorganisationen

Ein Kontopartner stellt die Organisation in der Verbundvertrauensstellung dar, die Benutzerkonten physisch in einem für AD FS unterstützten Attributspeicher speichert. Der Kontopartner ist verantwortlich für das Sammeln und Authentifizieren der Anmeldeinformationen eines Benutzers, das Erstellen von Ansprüchen für diesen Benutzer und das Verpacken der Ansprüche in Sicherheitstoken. Diese Token können dann in einer Verbundvertrauensstellung angezeigt werden, um den Zugriff auf webbasierte Ressourcen zu ermöglichen, die sich in der Ressourcenpartnerorganisation befinden.

Mit anderen Worten: Ein Kontopartner stellt die Organisation dar, für deren Benutzer der kontoseitige Verbundserver Sicherheitstoken ausgibt. Der Verbundserver der Kontopartnerorganisation authentifiziert lokale Benutzer*innen und erstellt Sicherheitstoken, die vom Ressourcenpartner für Entscheidungen über die Autorisierung verwendet werden.

Im Hinblick auf Attributspeicher entspricht der Kontopartner in AD FS konzeptuell einer einzelnen Active Directory-Gesamtstruktur, deren Konten Zugriff auf Ressourcen benötigen, die sich physisch in einer anderen Gesamtstruktur befinden. Konten in dieser Gesamtstruktur können nur dann auf Ressourcen in der Ressourcengesamtstruktur zugreifen, wenn eine Vertrauensstellung zwischen den beiden Gesamtstrukturen und den Ressourcen, auf die die Benutzer*innen zugreifen möchten, mit den richtigen Autorisierungsberechtigungen festgelegt wurde.

Informationen zu Ressourcenpartnerorganisationen

Der Ressourcenpartner ist die Organisation in einer AD FS-Bereitstellung, in der sich Webserver befinden. Der Ressourcenpartner vertraut dem Kontopartner in Bezug auf die Authentifizierung von Benutzern. Um Autorisierungsentscheidungen zu treffen, nutzt der Ressourcenpartner die Ansprüche, die in Sicherheitstoken gepackt sind, die von Benutzern im Kontopartner stammen.

Mit anderen Worten: Ein Ressourcenpartner stellt die Organisation dar, deren Webserver durch den ressourcenseitigen Verbundserver geschützt werden. Der Verbundserver beim Ressourcenpartner verwendet die Sicherheitstoken, die vom Kontopartner erstellt werden, um Autorisierungsentscheidungen für Webserver zu treffen, die sich beim Ressourcenpartner befinden.

Um als AD FS-Ressource genutzt werden zu können, müssen auf den Webservern der Ressourcenpartnerorganisation entweder Windows Identity Foundation (WIF) oder die Rollendienste des Ansprüche unterstützenden Web-Agents für Active Directory-Verbunddienste 1.x (AD FS) installiert sein. Webserver, die als AD FS-Ressource genutzt werden, können webbrowserbasierte oder webdienstbasierte Anwendungen hosten.