Understanding Key AD FS Concepts
Es ist ratsam, sich mit den wichtigen Konzepten für die Active Directory-Verbunddienste (AD FS) und den zugehörigen Features vertraut zu machen.
Tipp
Weitere Links zu AD FS-Ressourcen finden Sie unter Grundlegendes zu wichtigen AD FS-Konzepten.
AD FS-Terminologie in dieser Anleitung
| AD FS-Begriff | Definition |
|---|---|
| Kontopartnerorganisation | Eine Verbundpartnerorganisation, die durch eine Anspruchsanbieter-Vertrauensstellung im Verbunddienst dargestellt wird. Die Kontopartnerorganisation enthält die Benutzer, die auf webbasierte Anwendungen im Ressourcenpartner zugreifen. |
| Kontoverbundserver | Der Verbundserver in der Kontopartnerorganisation. Der Kontoverbundserver stellt Sicherheitstoken für Benutzer auf Basis der Benutzerauthentifizierung aus. Der Server authentifiziert den Benutzer, extrahiert die relevanten Attribute und Gruppenmitgliedschaftsinformationen aus dem Attributspeicher, verpackt diese Informationen in Ansprüche und generiert und signiert ein Sicherheitstoken (das die Ansprüche enthält), das an den Benutzer zurückgegeben wird, um dann entweder in der eigenen Organisation verwendet oder an eine Partnerorganisation gesendet zu werden. |
| AD FS-Konfigurationsdatenbank | Eine Datenbank zum Speichern sämtlicher Konfigurationsdaten, die eine einzelne AD FS-Instanz oder einen Verbunddienst darstellen. Die Konfigurationsdaten können entweder in einer SQL Server-Datenbank oder mithilfe des Features für die interne Windows-Datenbank gespeichert werden, das in Windows Server 2016, Windows Server 2012 und 2012 R2 sowie Windows Server 2008 und 2008 R2 enthalten ist. Sie können die AD FS-Konfigurationsdatenbank für SQL Server mithilfe des Befehlszeilentools „Fsconfig.exe“ und für die interne Windows-Datenbank mithilfe des Konfigurations-Assistenten für den AD FS-Verbundserver erstellen. |
| Anspruchsanbieter | Die Organisation, die Ansprüche für ihre Benutzer bereitstellt. Siehe Kontopartnerorganisation. |
| Anspruchsanbieter-Vertrauensstellung | Im AD FS-Verwaltungs-Snap-In sind Anspruchsanbieter-Vertrauensstellungen Vertrauensstellungsobjekte, die in der Regel in Ressourcenpartnerorganisationen erstellt werden, um die Organisation in der Vertrauensstellung darzustellen, deren Konten auf Ressourcen in der Ressourcenpartnerorganisation zugreifen werden. Ein Anspruchsanbieter-Vertrauensstellungsobjekt besteht aus einer Auswahl von IDs, Namen und Regeln, die diesen Partner für den lokalen Verbunddienst identifizieren. |
| Vertrauensstellung mit lokalem Anspruchsanbieter | Ein Vertrauensstellungsobjekt, das AD LDS- oder LDAP-basierte Verzeichnisse von Drittanbietern in einer AD FS-Farm darstellt. Ein lokales Anspruchsanbieter-Vertrauensstellungsobjekt besteht aus einer Auswahl von IDs, Namen und Regeln, die dieses LDAP-basierte Verzeichnis für den lokalen Verbunddienst identifizieren. |
| Verbundmetadaten | Das Datenformat für die Kommunikation von Konfigurationsinformationen zwischen einem Anspruchsanbieter und einer vertrauenden Seite, um die geeignete Konfiguration von Anspruchsanbieter-Vertrauensstellungen und von Vertrauensstellungen der vertrauenden Seite zu ermöglichen. Das Datenformat ist in SAML 2.0 (Security Assertion Markup Language) definiert und wird im WS-Verbund erweitert. |
| Verbundserver | Ein Windows Server-Computer, der mithilfe des Konfigurations-Assistenten für den AD FS-Verbundserver für die Verbundserverrolle konfiguriert wurde. Ein Verbundserver stellt Token aus und dient als Komponente eines Verbunddiensts. |
| Verbundserverproxy | Ein Windows Server-Computer, der mithilfe des Konfigurations-Assistenten für den AD FS-Verbundserver als zwischengeschalteter Proxydienst zwischen einem Internetclient und einem Verbunddienst konfiguriert wurde, der sich in einem Unternehmensnetzwerk hinter einer Firewall befindet. |
| Primärer Verbundserver | Ein Windows Server-Computer, der mithilfe des Konfigurations-Assistenten für den AD FS-Verbundserver für die Verbundserverrolle konfiguriert wurde und über eine Lese-/Schreibkopie der AD FS-Konfigurationsdatenbank verfügt. Der primäre Verbundserver wird erstellt, wenn Sie den Konfigurations-Assistenten für den AD FS-Verbundserver verwenden, die Option zum Erstellen eines neuen Verbunddiensts auswählen und diesen Computer dann zum ersten Verbundserver in der Farm machen. Alle anderen Verbundserver in dieser Farm müssen die am primären Verbundserver vorgenommenen Änderungen zu einer schreibgeschützten Kopie der AD FS-Konfigurationsdatenbank replizieren, die lokal gespeichert wird. Der Begriff „primärer Verbundserver“ trifft nicht zu, wenn die AD FS-Konfigurationsdatenbank in einer SQL-Datenbank gespeichert ist, da alle Verbundserver gleichermaßen Lese- und Schreibvorgänge in einer Konfigurationsdatenbank ausführen können, die auf einem SQL Server-Computer gespeichert ist. |
| Vertrauende Seite | Die Organisation, die Ansprüche erhält und verarbeitet. Siehe Ressourcenpartnerorganisation. |
| Vertrauensstellung der vertrauenden Seite | Im AD FS-Verwaltungs-Snap-In sind Vertrauensstellungen der vertrauenden Seite Vertrauensstellungsobjekte, die in der Regel hier erstellt werden: – Kontopartnerorganisationen, um die Organisation in der Vertrauensstellung zu repräsentieren, deren Konten auf Ressourcen in der Ressourcenpartnerorganisation zugreifen werden. Ein Vertrauensstellungsobjekt der vertrauenden Seite besteht aus einer Auswahl von IDs, Namen und Regeln, die diesen Partner oder eine Webanwendung für den lokalen Verbunddienst identifizieren. |
| Ressourcenverbundserver | Der Verbundserver in der Ressourcenpartnerorganisation. Der Ressourcenverbundserver stellt in der Regel Sicherheitstoken für Benutzer auf Basis eines Sicherheitstokens aus, das von einem Kontoverbundserver ausgestellt wurde. Der Server empfängt das Sicherheitstoken, überprüft die Signatur und wendet die Anspruchsregellogik auf die unverpackten Ansprüche an, um die gewünschten ausgehenden Ansprüche zu erzeugen. Dann wird ein neues Sicherheitstoken (mit den ausgehenden Ansprüchen) auf Basis der Informationen im eingehenden Sicherheitstoken generiert und das neue Token signiert, um es an den Benutzer und letztendlich an die Webanwendung zurückzusenden. |
| Ressourcenpartnerorganisation | Ein Verbundpartner, der durch die Vertrauensstellung einer vertrauenden Seite im Verbunddienst dargestellt wird. Der Ressourcenpartner stellt anspruchsbasierte Sicherheitstoken aus, die veröffentlichte webbasierte Anwendungen enthalten, auf die Benutzer des Kontopartners zugreifen können. |
Übersicht über AD FS
AD FS ist eine Identitätszugriffslösung, die Clientcomputern (innerhalb oder außerhalb Ihres Netzwerks) reibungslosen SSO-Zugriff auf geschützte Anwendungen oder Dienste mit Internetzugriff bereitstellt, auch wenn sich die Benutzerkonten und Anwendungen in ganz anderen Netzwerken oder Organisationen befinden.
Wenn sich eine Anwendung oder ein Dienst in einem Netzwerk und ein Benutzerkonto in einem anderen Netzwerk befindet, wird der Benutzer beim versuchten Zugriff auf die Anwendung oder den Dienst normalerweise zur Angabe sekundärer Anmeldeinformationen aufgefordert. Diese sekundären Anmeldeinformationen stellen die Identität des Benutzers in dem Bereich dar, in dem sich die Anwendung oder der Dienst befindet. Sie sind in der Regel für den Webserver erforderlich, der die Anwendung oder den Dienst hostet, daher kann er die entsprechende Autorisierungsentscheidung treffen.
Mit AD FS können Organisationen die Anforderungen an sekundäre Anmeldeinformationen mithilfe von Vertrauensstellungen (Verbundvertrauensstellungen) umgehen. Mit solchen Vertrauensstellungen können diesen Organisationen die digitale Identität eines Benutzers und dessen Zugriffsrechte bei vertrauenswürdigen Partnern planen. In dieser Verbundumgebung verwaltet jede Organisation weiterhin die eigenen Identitäten, aber die einzelnen Organisationen können auch Identitäten anderer Organisationen sicher planen und akzeptieren.