Bereitstellen von Verbundservern

  • Artikel

Um Verbundserver in Active Directory-Verbunddiensten (AD FS) bereitzustellen, führen Sie alle Aufgaben unter Prüfliste: Einrichten eines Verbundservers aus.

Hinweis

Wenn Sie diese Prüfliste verwenden, empfiehlt es sich, zuerst die Referenzen zur Planung von Verbundservern im AD FS-Entwurfshandbuch in Windows Server 2012 zu lesen, bevor Sie mit den Verfahren zum Konfigurieren der Server beginnen. Wenn Sie der Prüfliste folgen, verstehen Sie auf diese Weise den Entwurfs- und Bereitstellungsprozess für Verbundserver besser.

Informationen zu Verbundservern

Verbundserver sind Computer, auf denen Windows Server 2008 mit installierter AD FS-Software ausgeführt wird, und die für die Funktion in der Verbundserverrolle konfiguriert wurden. Verbundserver authentifizieren Anforderungen von Benutzerkonten in anderen Organisationen und von Clientcomputern, die sich überall im Internet befinden können, oder leiten diese weiter.

Die Installation der AD FS-Software auf einem Computer sowie die Verwendung des Assistenten für die Konfiguration von AD FS-Verbundservern, um den Computer für die Verbundserverrolle zu konfigurieren, macht diesen Computer zu einem Verbundserver. Außerdem wird dadurch das AD FS-Verwaltungs-Snap-In auf diesem Computer im Menü Start\Verwaltungstools\ verfügbar gemacht, sodass Sie Folgendes angeben können:

  • Den AD FS-Hostnamen, an den Partnerorganisationen und -anwendungen Tokenanforderungen und -antworten senden.

  • Den AD FS-Bezeichner, den Partnerorganisationen und -anwendungen verwenden, um den eindeutigen Namen oder Standort Ihrer Organisation zu identifizieren.

  • Das Tokensignaturzertifikat, das alle Verbundserver in einer Serverfarm zum Ausstellen und Signieren von Token verwenden.

  • Den Speicherort angepasster ASP.NET-Webseiten für die Clientanmeldung, -abmeldung und Kontopartnerermittlung, die die Clienterfahrung verbessern.

    Hinweis

    Die meisten dieser grundlegenden Benutzeroberflächeneinstellungen sind in der „web.config“-Datei auf jedem Verbundserver enthalten. Die Werte für den AD FS-Hostnamen und AD FS-Bezeichner sind nicht in der „web.config“-Datei angegeben.

Verbundserver hosten eine Engine für die Anspruchsausstellung, die Token basierend auf den Anmeldeinformationen (z. B. Benutzername und Kennwort) ausgibt, die ihr präsentiert werden. Ein Sicherheitstoken ist eine kryptografisch signierte Dateneinheit, die einen oder mehrere Ansprüche ausdrückt. Ein Anspruch ist eine Aussage, die ein Server (z. B. Name, Identität, Schlüssel, Gruppe, Berechtigung oder Funktion) über einen Client trifft. Nachdem die Anmeldeinformationen auf dem Verbundserver (durch den Benutzeranmeldeprozess) überprüft wurden, werden Ansprüche für den Benutzer durch Untersuchung der Benutzerattribute gesammelt, die im angegebenen Attributspeicher gespeichert sind.

Bei Entwürfen mit Federated-Web-SSO (Single Sign-On, einmaliges Anmelden) (AD FS-Entwürfe, an denen mindestens zwei Organisationen beteiligt sind) können Ansprüche durch Anspruchsregeln für eine bestimmte vertrauende Seite geändert werden. Die Ansprüche sind in ein Token integriert, das an einen Verbundserver in der Ressourcenpartnerorganisation gesendet wird. Nachdem ein Verbundserver im Ressourcenpartner die Ansprüche als eingehende Ansprüche empfangen hat, führt er die Anspruchsausstellungs-Engine aus, um eine Reihe von Anspruchsregeln zum Filtern, Durchreichen (Pass-Through) oder Transformieren dieser Ansprüche auszuführen. Die Ansprüche werden dann in ein neues Token integriert, das an den Webserver im Ressourcenpartner gesendet wird.

Beim Web-SSO-Entwurf (ein AD FS-Entwurf, an dem nur eine Organisation beteiligt ist) kann ein einzelner Verbundserver verwendet werden, sodass sich Mitarbeiter einmalig anmelden und weiterhin auf mehrere Anwendungen zugreifen können.