Anhang A: Überprüfen der AD FS-Anforderungen
Damit die Organisationspartner in Ihrer Bereitstellung von Active Directory-Verbunddienste (AD FS) erfolgreich zusammenarbeiten können, müssen Sie zunächst sicherstellen, dass die Infrastruktur Ihres Unternehmensnetzwerks die AD FS-Anforderungen für Konten, Namensauflösung und Zertifikate unterstützt. Für AD FS müssen die folgenden Anforderungen erfüllt sein:
Tipp
Weitere Links zu AD FS-Ressourcen finden Sie unter Grundlegendes zu wichtigen AD FS-Konzepten.
Hardwareanforderungen
Für die Verbundserver- und Verbundserverproxycomputer gelten die folgenden Mindest- und empfohlenen Hardwareanforderungen.
| Hardwareanforderung | Mindestanforderung | Empfohlene Anforderung |
|---|---|---|
| CPU-Geschwindigkeit | Single-Core, 1 Gigahertz (GHz) | Quad-Core, 2 GHz |
| RAM | 1 GB | 4 GB |
| Speicherplatz | 50 MB | 100 MB |
Softwareanforderungen
AD FS verwendet Serverfunktionen, die in das Betriebssystem Windows Server® 2012 integriert sind.
Hinweis
Die Verbunddienst- und Verbunddienstproxy-Rollendienste können nicht auf demselben Computer installiert werden.
Zertifikatanforderungen
Zertifikate spielen eine äußerst wichtige Rolle beim Sichern der Kommunikation zwischen Verbundservern, Verbundproxyservern, Ansprüche unterstützenden Anwendungen und Webclients. Die Anforderungen für Zertifikate sind unterschiedlich, je nachdem, ob Sie einen Verbundserver- oder Verbundserverproxy-Computer einrichten, wie in diesem Abschnitt beschrieben.
Verbundserverzertifikate
Für Verbundserver sind die in der folgenden Tabelle beschriebenen Zertifikate erforderlich.
| Zertifikattyp | BESCHREIBUNG | Was Sie vor der Bereitstellung wissen müssen |
|---|---|---|
| SSL (Secure Sockets Layer)-Zertifikat | Dieses Standard-SSL-Zertifikat wird für das Sichern der Kommunikation zwischen Verbundservern und Clients verwendet. | Das Zertifikat muss auf die Standardwebsite in den Internetinformationsdiensten (IIS) für einen Verbundserver oder Verbundserverproxy begrenzt sein. Bei einem Verbundserverproxy muss die Begrenzung in IIS konfiguriert werden, bevor der Assistent für die Konfiguration eines Verbundserverproxys erfolgreich ausgeführt werden kann. Empfehlung: Da dieses Zertifikat für Clients von AD FS vertrauenswürdig sein muss, verwenden Sie ein Serverauthentifizierungszertifikat, das von einer öffentlichen (Drittanbieter) Zertifizierungsstelle wie VeriSign ausgestellt wurde. Tipp: Der Antragstellername dieses Zertifikats wird verwendet, um den Namen des Verbunddiensts für jede von Ihnen bereitgestellte Instanz von AD FS darzustellen. Aus diesem Grund sollten Sie einen Antragsstellernamen für jedes neue von einer Zertifizierungsstelle ausgestellte Zertifikat in Betracht ziehen, der den Namen Ihres Unternehmens oder Ihrer Organisation gegenüber Partnern am besten widerspiegelt. |
| Dienstkommunikationszertifikat | Mit diesem Zertifikat wird die WCF-Nachrichtensicherheit für das Sichern der Kommunikation zwischen Verbundservern aktiviert. | Standardmäßig wird das SSL-Zertifikat als Dienstkommunikationszertifikat verwendet. Dies kann über die AD FS-Verwaltungskonsole geändert werden. |
| Tokensignaturzertifikat | Dies ist ein Standard-X509-Zertifikat, das für die sichere Signierung aller Token verwendet wird, die der Verbungsserver ausstellt. | Das Tokensignaturzertifikat muss einen privaten Schlüssel enthalten und sollte an einen vertrauenswürdigen Stamm im Verbunddienst gebunden sein. Standardmäßig erstellt AD FS ein selbstsigniertes Zertifikat. Sie können dies jedoch später je nach Anforderungen Ihrer Organisation über das AD FS-Verwaltungs-Snap-In in ein von einer Zertifizierungsstelle ausgestelltes Zertifikat ändern. |
| Tokenentschlüsselungszertifikat | Dies ist ein Standard-SSL-Zertifikat, das für die Entschlüsselung aller eingehenden Token verwendet wird, die von einem Partnerverbundserver verschlüsselt werden. Es wird außerdem in den Verbundmetadaten veröffentlicht. | Standardmäßig erstellt AD FS ein selbstsigniertes Zertifikat. Sie können dies jedoch später je nach Anforderungen Ihrer Organisation über das AD FS-Verwaltungs-Snap-In in ein von einer Zertifizierungsstelle ausgestelltes Zertifikat ändern. |
Achtung
Zertifikate, die für die Tokensignatur und die Tokenentschlüsselung verwendet werden, sind wichtig für die Stabilität des Verbunddiensts. Da der Verlust oder die ungeplante Entfernung von Zertifikaten, die für diesen Zweck konfiguriert sind, den Dienst unterbrechen kann, sollten Sie alle für diesen Zweck konfigurierten Zertifikate sichern.
Weitere Informationen zu den von Verbundservern verwendeten Zertifikaten finden Sie unter Zertifikatanforderungen für Verbundserver.
Verbundserverproxy-Zertifikate
Für Verbundserverproxies sind die in der folgenden Tabelle beschriebenen Zertifikate erforderlich.
| Zertifikattyp | BESCHREIBUNG | Was Sie vor der Bereitstellung wissen müssen |
|---|---|---|
| Serverauthentifizierungszertifikat | Dieses Standard-SSL-Zertifikat wird für das Sichern der Kommunikation zwischen einem Verbundserverproxy und Internetclientcomputern verwendet. | Das Zertifikat muss auf die Standardwebsite in den Internetinformationsdiensten (IIS) begrenzt sein, bevor Sie den Assistenten für die Konfiguration eines Verbundserverproxys erfolgreich ausführen können. Empfehlung: Da dieses Zertifikat für Clients von AD FS vertrauenswürdig sein muss, verwenden Sie ein Serverauthentifizierungszertifikat, das von einer öffentlichen (Drittanbieter) Zertifizierungsstelle wie VeriSign ausgestellt wurde. Tipp: Der Antragstellername dieses Zertifikats wird verwendet, um den Namen des Verbunddiensts für jede von Ihnen bereitgestellte Instanz von AD FS darzustellen. Aus diesem Grund sollten Sie einen Antragstellernamen in Betracht ziehen, der den Namen Ihres Unternehmens oder Ihrer Organisation gegenüber Partnern am besten widerspiegelt. |
Weitere Informationen zu den von Verbundserverproxies verwendeten Zertifikaten finden Sie unter Zertifikatanforderungen für Verbundserverproxies.
Browseranforderungen
Auch wenn jeder aktuelle Webbrowser mit JavaScript-Funktion als ein AD FS-Client funktionieren kann, wurden die standardmäßig bereitgestellten Webseiten nur in Internet Explorer 7.0, 8.0 und 9.0 sowie Mozilla Firefox 3.0 und Safari 3.1 unter Windows getestet. JavaScript und Cookies für die browserbasierte An- und Abmeldung müssen aktiviert sein, damit dies ordnungsgemäß funktioniert.
Das AD FS-Produktteam bei Microsoft hat die in der folgenden Tabelle aufgeführten Browser- und Betriebssystemkonfigurationen erfolgreich getestet.
| Browser | Windows 7 | Windows Vista |
|---|---|---|
| Internet Explorer 7.0 | X | X |
| Internet Explorer 8.0 | X | X |
| Internet Explorer 9.0 | X | Nicht getestet |
| FireFox 3.0 | X | X |
| Safari 3.1 | X | X |
Hinweis
AD FS unterstützt sowohl die 32-Bit- als auch die 64-Bit-Versionen aller in der obigen Tabelle aufgeführten Browser.
Cookies
AD FS erstellt sitzungsbasierte und beständige Cookies, die auf Clientcomputern gespeichert werden müssen, um Anmeldung, Abmeldung, einmaliges Anmelden (SSO) und andere Funktionen bereitzustellen. Daher muss der Clientbrowser so konfiguriert sein, dass Cookies akzeptiert werden. Für die Authentifizierung verwendete Cookies sind immer Secure Hypertext Transfer Protocol (HTTPS)-Sitzungscookies, die für den Ursprungsserver geschrieben werden. Wenn die Konfiguration des Clientbrowsers diese Cookies nicht zulässt, kann AD FS nicht ordnungsgemäß funktionieren. Beständige Cookies werden verwendet, um die Benutzerauswahl des Anspruchsanbieters beizubehalten. Sie können diese über eine Konfigurationseinstellung in der Konfigurationsdatei für die AD FS-Anmeldeseiten deaktivieren.
Aus Sicherheitsgründen ist eine Unterstützung für TLS/SSL erforderlich.
Netzwerkanforderungen
Das ordnungsgemäße Konfigurieren der folgenden Netzwerkdienste ist für eine erfolgreiche Bereitstellung von AD FS in Ihrer Organisation entscheidend.
TCP/IP-Netzwerkkonnektivität
Damit AD FS ordnungsgemäß funktioniert, muss TCP/IP-Netzwerkkonnektivität zwischen dem Client, einem Domänencontroller und den Computern vorhanden sein, die als Host für den Verbunddienst, den Verbunddienstproxy (falls vorhanden) und den AD FS-Web-Agent fungieren.
DNS
Domain Name System (DNS) ist der primäre Netzwerkdienst, der abgesehen von Active Directory Domain Services (AD DS) für den Betrieb von AD FS wichtig ist. Wenn DNS bereitgestellt wird, können Benutzer einfach zu merkende Computeranzeigenamen verwenden, um eine Verbindung zu Computern und anderen Ressourcen in IP-Netzwerken herzustellen.
Windows Server 2008 verwendet DNS für die Namensauflösung anstelle der auf Windows Internet Name Service (WINS) basierenden NetBIOS-Namensauflösung, die in Windows NT 4.0-basierten Netzwerken verwendet wurde. Es ist immer noch möglich, WINS für Anwendungen zu verwenden, für die der Dienst erforderlich ist. Für AD DS und AD FS ist jedoch die DNS-Namensauflösung erforderlich.
Die Konfiguration von DNS für die Unterstützung von AD FS variiert abhängig von den folgenden Faktoren:
Ihre Organisation verfügt bereits über eine vorhandene DNS-Infrastruktur. In den meisten Szenarien ist DNS bereits im gesamten Netzwerk konfiguriert, sodass die Browserclients in Ihrem Unternehmensnetzwerk Zugriff auf das Internet haben. Da Internetzugriff und Namensauflösung Voraussetzungen von AD FS sind, wird davon ausgegangen, dass diese Infrastruktur für Ihre AD FS-Bereitstellung vorhanden ist.
Sie beabsichtigen, Ihrem Unternehmensnetzwerk einen Verbundserver hinzuzufügen. Für den Zweck der Authentifizierung von Benutzern im Unternehmensnetzwerk müssen interne DNS-Server in der Unternehmensnetzwerkgesamtstruktur so konfiguriert werden, dass der CNAME des internen Servers zurückgegeben wird, auf dem der Verbunddienst ausgeführt wird. Weitere Informationen finden Sie unter Anforderungen an die Namensauflösung für Verbundserver.
Sie beabsichtigen, Ihrem Unternehmensnetzwerk einen Verbundserverproxy hinzuzufügen. Wenn Sie Benutzerkonten authentifizieren möchten, die sich im Unternehmensnetzwerk Ihrer Identitätspartnerorganisation befinden, müssen die internen DNS-Server in der Unternehmensnetzwerk-Gesamtstruktur so konfiguriert sein, dass der CNAME des internen Verbundserverproxys zurückgegeben wird. Informationen zum Konfigurieren von DNS zum Hinzufügen von Verbundserverproxys finden Sie unter Namensauflösungsanforderungen für Verbundserverproxys.
Sie richten DNS für eine Testumgebung ein. Wenn Sie planen, AD FS in einer Testumgebung zu verwenden, in der kein einzelner Stamm-DNS-Server autoritativ ist, müssen Sie wahrscheinlich DNS-Weiterleitungen einrichten, damit Namensabfragen zwischen zwei oder mehr Gesamtstrukturen ordnungsgemäß weitergeleitet werden. Allgemeine Informationen zum Einrichten einer AD FS-Testumgebung finden Sie in den AD FS-Handbüchern mit schrittweisen Anleitungen und Vorgehensweisen.
Anforderungen an den Attributspeicher
AD FS erfordert die Verwendung von mindestens einem Attributspeicher für das Authentifizieren von Benutzern und das Extrahieren von Sicherheitsansprüchen für diese Benutzer. Eine Liste der von AD FS unterstützten Attributspeicher finden Sie unter Die Rolle von Attributspeichern im AD FS-Entwurfshandbuch.
Hinweis
AD FS erstellt standardmäßig automatisch einen Active Directory-Attributspeicher.
Die Anforderungen an den Attributspeicher hängen davon ab, ob Ihre Organisation als Kontopartner (der die Verbundbenutzer hostet) oder als Ressourcenpartner (der die Verbundanwendung hostet) agiert.
AD DS
Für einen erfolgreichen Betrieb von AD FS müssen die Domänencontroller in der Kontopartnerorganisation oder in der Ressourcenpartnerorganisation unter Windows Server 2003 SP1, Windows Server 2003 R2, Windows Server 2008 oder Windows Server 2012 ausgeführt werden.
Wenn AD FS auf einem Computer installiert und konfiguriert ist, der einer Domäne angehört, wird der Active Directory-Benutzerkontenspeicher für diese Domäne als auswählbarer Attributspeicher zur Verfügung gestellt.
Wichtig
Da AD FS die Installation von Internetinformationsdienste (Internet Information Services, IIS) erfordert, wird aus Sicherheitsgründen davon abgeraten, die AD FS-Software auf einem Domänencontroller in einer Produktionsumgebung zu installieren. Für diese Konfiguration erhalten Sie jedoch Support vom Microsoft-Kundendienst.
Schemaanforderungen
AD FS erfordert keine Schemaänderungen oder Modifikationen auf Funktionsebene an AD DS.
Anforderungen an die Funktionsebene
Für die meisten AD FS-Features sind für einen erfolgreichen Betrieb keine Änderungen auf der AD DS-Funktionsebene erforderlich. Allerdings ist die Windows Server 2008-Domänenfunktionsebene oder höher erforderlich, damit die Clientzertifikatauthentifizierung erfolgreich betrieben werden kann, wenn das Zertifikat explizit einem Benutzerkonto in AD DS zugeordnet ist.
Dienstkontenanforderungen
Wenn Sie eine Verbundserverfarm erstellen, müssen Sie zunächst ein dediziertes domänenbasiertes Dienstkonto in AD DS erstellen, dass der Verbunddienst verwenden kann. Später legen Sie in Konfiguration jedes Verbundservers in der Farm fest, dass dieses Konto verwendet wird. Weitere Informationen dazu finden Sie unter Manuelle Konfiguration eines Dienstkontos für eine Verbundserverfarm im AD FS-Bereitstellungshandbuch.
LDAP
Wenn Sie mit anderen Lightweight Directory Access Protocol (LDAP)-basierten Attributspeichern arbeiten, müssen Sie eine Verbindung zu einem LDAP-Server herstellen, der die integrierte Windows-Authentifizierung unterstützt. Die LDAP-Verbindungszeichenfolge muss außerdem im Format einer LDAP-URL geschrieben sein, wie in RFC 2255 beschrieben.
SQL Server
Für einen erfolgreichen Betrieb von AD FS müssen Computer, auf denen der SQL Server-Attributspeicher gehostet wird, unter Microsoft SQL Server 2005 oder SQL Server 2008 ausgeführt werden. Wenn Sie mit SQL-basierten Attributspeichern arbeiten, müssen Sie außerdem eine Verbindungszeichenfolge konfigurieren.
Benutzerdefinierte Attributspeicher
Sie können benutzerdefinierte Attributspeicher entwickeln, um erweiterte Szenarien zu aktivieren. Die in AD FS integrierte Richtiliniensprache kann auf benutzerdefinierte Attributspeicher verweisen, sodass jedes der folgenden Szenarien verbessert werden kann:
Erstellen von Ansprüchen für einen lokal authentifizierten Benutzer
Ergänzen von Ansprüchen für einen lokal authentifizierten Benutzer
Autorisieren eines Benutzers zum Abrufen eines Token
Autorisieren eines Diensts zum Abrufen eines Token zum Verhalten eines Benutzers
Wenn Sie mit einem benutzerdefinierten Attributspeicher arbeiten, müssen Sie möglicherweise außerdem eine Verbindungszeichenfolge konfigurieren. In dieser Situation können Sie einen beliebigen Code eingeben, der eine Verbindung zur Ihrem benutzerdefinierten Attributspeicher ermöglicht. In dieser Situation ist die Verbindungszeichenfolge ein Satz von Werten aus Name/Wert, der vom Entwickler des benutzerdefinierten Attributspeichers als implementiert interpretiert wird.
Weitere Informationen zum Entwickeln und Verwenden von benutzerdefinierten Attributspeichern finden Sie unter Übersicht über Attributspeicher.
Anwendungsanforderungen
Verbundserver können mit Verbundanwendungen wie Ansprüche unterstützende Anwendungen kommunizieren und diese schützen.
Authentifizierungsanforderungen
AD FS kann problemlos in die vorhandene Windows-Authentifizierung integriert werden, z. B. in die Kerberos-Authentifizierung, NTLM, Smartcards und clientseitige X.509 v3-Zertifikate. Verbundserver verwenden die Standard-Kerberos-Authentifizierung, um einen Benutzer bei einer Domäne zu authentifizieren. Clients können je nach Ihrer Authentifizierungskonfiguration über eine formularbasierte Authentifizierung, eine Authentifizierung mit Smartcards und die integrierte Windows-Authentifizierung authentifiziert werden.
Die AD FS-Verbundserverproxy-Rolle ermöglicht ein Szenario, indem der Benutzer extern über die SSL-Clientauthentifizierung authentifiziert wird. Sie können die Verbundserverrolle außerdem so konfigurieren, dass eine SSL-Clientauthentifizierung erforderlich ist, obwohl die nahtloseste Benutzererfahrung in der Regel durch eine Konfiguration des Kontoverbundservers für die integrierte Windows-Authentifizierung erreicht wird. In dieser Situation hat AD FS keine Kontrolle darüber, welche Anmeldeinformationen der Benutzer für die Windows-Desktopanmeldung verwendet.
Anmeldung mit Smartcards
AD FS kann zwar die Art von Anmeldeinformationen erzwingen, die für die Authentifizierung verwendet werden (Kennwörter, SSL-Clientauthentifizierung oder integrierte Windows-Authentifizierung), die Authentifizierung mit Smartcards wird jedoch nicht direkt erzwungen. Daher stellt AD FS keine clientseitige Benutzeroberfläche (User Interface, UI) bereit, um Smartcard-PIN-Anmeldeinformationen abzurufen. Der Grund dafür ist, dass Windows-basierte Clients absichtlich keine Benutzeranmeldeinformationen für Verbundserver oder Webserver bereitstellen.
Authentifizierung mit Smartcards
Bei der Authentifizierung mit Smartcards wird das Kerberos-Protokoll für die Authentifizierung bei einem Kontoverbundserver verwendet. AD FS kann nicht erweitert werden, um neue Authentifizierungsmethoden hinzuzufügen. Das Zertifikat in der Smartcard muss an einen vertrauenswürdigen Stamm auf dem Clientcomputer gebunden werden. Für die Verwendung eines smartcardbasierten Zertifikats mit AD FS müssen die folgenden Bedingungen erfüllt sein:
Der Leser und der Kryptografiedienstanbieter (CSP) für die Smartcard müssen auf dem Computer arbeiten, auf dem sich der Browser befindet.
Das Smartcardzertifikat muss an einen vertrauenswürdigen Stamm auf dem Verbundserver und dem Verbundserverproxy des Kontopartners gebunden sein.
Das Zertifikat muss dem Benutzerkonto in AD DS mit einer der folgenden Methoden zugeordnet sein:
Der Antragstellername des Zertifikats entspricht dem definierten LDAP-Namen eines Benutzerkontos in AD DS.
Die Erweiterung für den Zertifikatantragsteller-AlternatNamen verfügt über den Benutzerprinzipalnamen eines Benutzerkontos AD DS.
Zur Unterstützung der Anforderungen an bestimmte Authentifizierungsstärken in einigen Szenarien können Sie AD FS auch für die Erstellung eines Anspruchs konfigurieren, der anzeigt, wie ein Benutzer authentifiziert wurde. Eine vertrauende Seite kann diesen Anspruch dann verwenden, um eine Autorisierungsentscheidung zu treffen.