Rolle von Attributspeichern

  • Artikel

In Active Directory-Verbunddienste (AD FS) bezieht sich der Begriff Attributspeicher auf Verzeichnisse oder Datenbanken, in denen eine Organisation ihre Benutzerkonten und deren Attributwerte speichert. Nach der Konfiguration in einer Identitätsanbieterorganisation ruft AD FS diese Attributwerte aus dem Speicher ab. Der Dienst erstellt auf Basis dieser Informationen Ansprüche. Auf diese Weise kann eine Webanwendung oder ein Dienst, die bzw. der in einer Organisation der vertrauenden Seite gehostet wird, entsprechende Autorisierungsentscheidungen treffen, wenn Verbundbenutzer*innen (Benutzer*innen, deren Konten in der Identitätsanbieterorganisation gespeichert sind) versuchen, auf die Anwendung oder den Dienst zuzugreifen.

Weitere Informationen zum Generieren von Ansprüchen finden Sie unter Die Rolle von Ansprüchen.

Auswirkungen von Attributspeichern auf Ihre AD FS-Bereitstellungsziele

Der Speicherort des Benutzerattributspeichers und der Ort, von dem aus sich Benutzer*innen authentifizieren, bestimmen den AD FS-Entwurf für die Unterstützung der Benutzeridentitäten. In Abhängigkeit vom Speicherort des Attributspeichers und dem Ort, an dem Benutzer*innen auf die Anwendung zugreifen (in einem Intranet oder im Internet), können Sie eines der folgenden Bereitstellungsziele verfolgen:

  • Bereitstellen von Zugriff auf Ihre Ansprüche unterstützenden Anwendungen und Dienste für Active Directory-Benutzer*innen In diesem Szenario greifen Benutzer*innen in Ihrer Organisation auf eine Anwendung oder einen Dienst zu, die bzw. der durch AD FS geschützt ist, wenn die Benutzer*innen im Unternehmensintranet bei Active Directory angemeldet sind. Die Anwendung oder der Dienst kann Ihnen oder einem Partner gehören.

  • Bereitstellen von Zugriff auf die Anwendungen und Dienste anderer Organisationen für Ihre Active Directory-Benutzer*innen In diesem Szenario greifen Benutzer*innen in Ihrer Organisation auf eine Anwendung oder einen Dienst zu, die bzw. der durch AD FS geschützt ist, wenn die Benutzer*innen bei einem Attributspeicher im Unternehmensintranet angemeldet sind und sie sich remote über das Internet anmelden. Die Anwendung oder der Dienst kann Ihnen oder einem Partner gehören.

  • Bereitstellen von Zugriff auf Ihre Ansprüche unterstützenden Anwendungen und Dienste für Benutzer*innen anderer Organisationen In diesem Szenario müssen Benutzerkonten in einer anderen Organisation, die sich in einem Attributspeicher im Unternehmensintranet dieser Organisation befinden, auf eine mit AD FS geschützte Anwendung in Ihrer Organisation zugreifen. Dieses Szenario kann auch angewandt werden, wenn für Endbenutzerbasierte Benutzerkonten, die sich in einem Attributspeicher im Umkreisnetzwerk Ihrer Organisation befinden, Zugriff auf eine mit AD FS geschützte Anwendung in Ihrer Organisation bereitgestellt werden muss.

In Abhängigkeit von der Platzierung des Attributspeichers und anderen Anforderungen Ihrer Organisation können Sie beim Entwurf Ihrer AD FS-Bereitstellung mehrere dieser Bereitstellungsziele kombinieren.

Von AD FS unterstützte Attributspeicher

AD FS unterstützt eine Vielzahl von Verzeichnis- und Datenbankspeichern. Sie können sie verwenden, um die von den Administrator*innen definierten Attributwerte zu extrahieren und Ansprüche mit diesen Werten aufzufüllen. AD FS unterstützt folgende Verzeichnisse oder Datenbanken als Attributspeicher:

  • Microsoft Entra Domain Services unter Windows Server 2012 und 2012 R2 sowie unter Windows Server 2016 und höher

  • Alle Editionen von SQL Server 2012, SQL Server 2014, SQL Server 2016 und höher

  • Benutzerdefinierte Attributspeicher