Wann sollte ein Verbundserver erstellt werden?

  • Artikel

Wenn Sie einen Verbundserver in Active Directory-Verbunddienste (AD FS) (AD FS) erstellen, stellen Sie eine Möglichkeit bereit, mit der Ihre Organisation:

  • Interagieren Sie mit einer anderen Organisation (die auch über mindestens einen Verbundserver verfügt) und bei Bedarf mit den Mitarbeitern in Ihrer eigenen Organisation (die Zugriff über das Internet benötigen) auf der Grundlage des einmaligen Anmeldens (Single Sign-On, SSO) im Web.

  • Aktivieren Sie die Front-End-Dienste, um Benutzer mithilfe von Identitätsdelegierung bei Infrastrukturdiensten anzumelden. Weitere Informationen finden Sie unter When to Use Identity Delegation.

In den folgenden Abschnitten werden einige der wichtigsten Entscheidungen zum Bestimmen des Zeitpunkts und des Erstellungsorts eines oder mehrerer Verbundserver beschrieben.

Bestimmen der Organisationsrollen für den Verbundserver

Um eine fundierte Entscheidung darüber zu treffen, wann ein neuer Verbundserver erstellt werden soll, müssen Sie zunächst bestimmen, in welcher Organisation sich der Server befinden soll. Welche Rolle ein Verbundserver in einer Organisation spielt, hängt davon ab, ob Sie den Verbundserver in der Kontopartnerorganisation oder in der Ressourcenpartnerorganisation platzieren.

Wenn ein Verbundserver im Unternehmensnetzwerk des Kontopartners platziert wird, besteht seine Rolle darin, die Benutzeranmeldeinformationen von Browser-, Webdienst- oder Identitätsselektorclients zu authentifizieren und Sicherheitstoken an die Clients zu senden. Weitere Informationen finden Sie unter Review the Role of the Federation Server in the Account Partner.

Wenn ein Verbundserver im Unternehmensnetzwerk des Ressourcenpartners platziert wird, besteht seine Rolle darin, Benutzer basierend auf einem Sicherheitstoken zu authentifizieren, das von einem Verbundserver in der Ressourcenpartnerorganisation ausgestellt wird, oder seine Rolle besteht darin, Tokenanforderungen von konfigurierten Webanwendungen oder Webdiensten an die Kontopartnerorganisation umzuleiten, zu der der Client gehört. Weitere Informationen finden Sie unter Review the Role of the Federation Server in the Resource Partner.

Ermitteln des AD FS-Entwurfs für die Bereitstellung

Sie erstellen Verbundserver in Ihrer Organisation, wenn Sie eines der folgenden AD FS Designs bereitstellen möchten:

Bei Bedarf kann eine Organisation, die einen Federated Web SSO-Entwurf bereitstellt, einen einzelnen Verbundserver so konfigurieren, dass er sowohl in der Kontopartnerrolle als auch in der Ressourcenpartnerrolle fungiert. In diesem Fall kann der Verbundserver Security Assertion Markup Language (SAML)-Token basierend auf Benutzerkonten in seiner eigenen Organisation erstellen oder Tokenanforderungen an die Organisation umleiten, je nach Dem, wo sich die Konten der Benutzer befinden.

Hinweis

Für das Federated Web SSO-Design muss mindestens ein Verbundserver im Kontopartner und mindestens ein Verbundserver im Ressourcenpartner vorhanden sein.

Unterschiede zwischen einem Verbundserver und einem Verbundserverproxy

Ein Verbundserver kann Webseiten für Anmeldung, Richtlinie, Authentifizierung und Ermittlung auf die gleiche Weise wie ein Verbundserverproxy bedienen. Die Hauptunterschiede zwischen einem Verbundserver und einem Verbundserverproxy haben mit den Vorgängen zu tun, die ein Verbundserver ausführen kann, die ein Verbundserverproxy nicht ausführen kann.

Es folgen die Vorgänge, die nur ein Verbundserver ausführen kann:

  • Der Verbundserver führt die kryptografischen Vorgänge aus, die das Token erzeugen. Obwohl Verbundserverproxys keine Token erzeugen können, können sie zum Weiterleiten oder Umleiten der Token an Clients und ggf. zurück an den Verbundserver verwendet werden. Weitere Informationen zur Verwendung von Verbundservern finden Sie unter Erstellen eines Verbundserverproxys.

  • Verbundserver unterstützen die Verwendung Windows integrierten Authentifizierung für Clients im Unternehmensnetzwerk; Verbundserverproxys nicht. Weitere Informationen zur Verwendung Windows integrierten Authentifizierung mit Verbundserver finden Sie unter Erstellen einer Verbundserverfarm.

Achtung

Die Integrität und Vertraulichkeit der Kommunikation zwischen Verbundservern und SQL Server-Konfigurationsdatenbanken, SQL Server-Attributspeichern, Domänencontrollern und AD LDS-Instanzen ist standardmäßig nicht geschützt. Um dieses Problem zu minimieren, sollten Sie den Kommunikationskanal zwischen diesen Servern mit IPsec oder mithilfe einer sicheren physischen Verbindung zwischen all diesen Servern schützen. Für die Kommunikation zwischen Verbundservern und SQL Server sollten Sie in Erwägung ziehen, SSL-Schutz in der Verbindungszeichenfolge zu verwenden. Für Verbindungen zwischen Verbundservern und Domänencontrollern sollten Sie Kerberos-Signaturen und -Verschlüsselung in Betracht ziehen. LDAP und LDAP/S werden für AD LDS/AD DS nicht unterstützt.

Wie wird ein Verbundserver erstellt?

Sie können einen Verbundserver mit dem AD FS-Assistenten für die Verbundserverkonfiguration oder dem Befehlszeilentool Fsconfig.exe erstellen. Wenn Sie eines dieser Tools verwenden, können Sie eine der folgenden Optionen zum Erstellen Ihres Verbundservers auswählen.

Ausführlichere Informationen zur Funktionsweise der einzelnen Optionen finden Sie unter The Role of the AD FS Configuration Database.

Weitere Informationen zum Einrichten der erforderlichen Komponenten zum Bereitstellen eines Verbundservers finden Sie unter Checklist: Setting Up a Federation Server.

Weitere Informationen

AD FS-Entwurfshandbuch in Windows Server 2012