Freigeben über


Grundlegendes zu wichtigen AD FS-Konzepten

Es wird empfohlen, sich mit den wichtigen Konzepten für Active Directory-Verbunddienste vertraut zu machen und sich mit seinem Featuresatz vertraut zu machen.

Tipp

Weitere AD FS-Ressourcenlinks finden Sie unter " Grundlegendes zu den wichtigsten AD FS-Konzepten".

In diesem Handbuch verwendete AD FS-Terminologie

AD FS-Begriff Definition
Kontopartnerorganisation Eine Verbundpartnerorganisation, die durch eine Anspruchsanbieter-Vertrauensstellung im Verbunddienst dargestellt wird. Die Kontopartnerorganisation enthält die Benutzer, die auf webbasierte Anwendungen im Ressourcenpartner zugreifen.
Kontoverbundserver Der Verbundserver der Organisation des Kontopartners. Der Kontoverbundserver stellt Sicherheitstoken basierend auf der Benutzerauthentifizierung aus. Der Server authentifiziert den Benutzer, extrahiert die relevanten Attribute und Gruppenmitgliedschaftsinformationen aus dem Attributspeicher, packt diese Informationen in Ansprüche und generiert und signiert ein Sicherheitstoken (das die Ansprüche enthält), um an den Benutzer zurückzukehren – entweder in seiner eigenen Organisation verwendet oder an eine Partnerorganisation gesendet zu werden.
AD FS-Konfigurationsdatenbank Eine Datenbank zum Speichern aller Konfigurationsdaten, die eine einzelne AD FS-Instanz oder einen Verbunddienst darstellen. Diese Konfigurationsdaten können entweder in einer SQL Server-Datenbank oder mit dem Feature "Interne Windows-Datenbank" in Windows Server 2016, Windows Server 2012 und 2012 R2 und Windows Server 2008 und 2008 R2 gespeichert werden.

Sie können die AD FS-Konfigurationsdatenbank für SQL Server mit dem Befehlszeilentool Fsconfig.exe und für die interne Windows-Datenbank mithilfe des AD FS-Verbundserverkonfigurations-Assistenten erstellen.
Anspruchsanbieter Die Organisation, die Ansprüche für ihre Benutzer bereitstellt. Siehe Kontopartnerorganisation.
Anspruchsanbietervertrauen Im AD FS-Verwaltungs-Snap-In sind Anspruchsanbieter-Vertrauensstellungen Vertrauensstellungsobjekte, die in der Regel in Ressourcenpartnerorganisationen erstellt werden, um die Organisation in der Vertrauensstellung darzustellen, deren Konten auf Ressourcen in der Ressourcenpartnerorganisation zugreifen werden. Ein Vertrauensobjekt eines Anspruchsanbieters besteht aus einer Vielzahl von Bezeichnern, Namen und Regeln, die diesen Partner für den lokalen Verbunddienst identifizieren.
Vertrauensstellung mit lokalem Anspruchsanbieter Ein Vertrauensobjekt, das AD LDS- oder LDAP-basierte Verzeichnisse eines Drittanbieters in einer AD FS-Farm darstellt. Ein vertrauenswürdiges Objekt eines lokalen Anspruchsanbieters besteht aus einer Vielzahl von Bezeichnern, Namen und Regeln, die dieses LDAP-basierte Verzeichnis für den lokalen Verbunddienst identifizieren.
Verbundmetadaten Das Datenformat für die Kommunikation von Konfigurationsinformationen zwischen einem Anspruchsanbieter und einer vertrauenden Seite, um die ordnungsgemäße Konfiguration von Anspruchsanbietervertrauensstellungen und Vertrauensstellungen der vertrauenden Seite zu erleichtern. Das Datenformat ist in SAML (Security Assertion Markup Language) 2.0 definiert und wird in WS-Federation erweitert.
Verbundserver Ein Windows Server, der mithilfe des AD FS-Verbundserverkonfigurations-Assistenten konfiguriert wurde, um in der Verbundserverrolle zu agieren. Ein Verbundserver stellt Token aus und dient als Teil eines Verbunddiensts.
Verbundserverproxy Ein Windows Server, der mithilfe des AD FS-Verbundserverproxykonfigurations-Assistenten konfiguriert wurde, um als zwischengeschalteter Proxydienst zwischen einem Internetclient und einem Verbunddienst zu fungieren, der sich hinter einer Firewall in einem Unternehmensnetzwerk befindet.
Primärer Verbundserver Ein Windows Server, der in der Verbundserverrolle mithilfe des AD FS-Verbundserverkonfigurations-Assistenten konfiguriert wurde und über eine Lese-/Schreibkopie der AD FS-Konfigurationsdatenbank verfügt.

Der primäre Verbundserver wird erstellt, wenn Sie den AD FS-Verbundserverkonfigurations-Assistenten verwenden und die Option auswählen, einen neuen Verbunddienst zu erstellen und diesen Computer zum ersten Verbundserver in der Farm zu machen. Alle anderen Verbundserver in dieser Farm müssen Änderungen, die auf dem primären Verbundserver vorgenommen wurden, in eine schreibgeschützte Kopie der AD FS-Konfigurationsdatenbank replizieren, die lokal gespeichert ist. Der Begriff "primärer Verbundserver" gilt nicht, wenn die AD FS-Konfigurationsdatenbank in einer SQL-Datenbank gespeichert ist, da alle Verbundserver eine konfigurationsdatenbank, die auf einem SQL Server gespeichert sind, gleichermaßen lesen und schreiben können.
Vertrauende Seite Die Organisation, die Ansprüche empfängt und verarbeitet. Siehe die Organisation der Ressourcenpartner.
Vertrauensstellung der vertrauenden Seite Im AD FS-Verwaltungs-Snap-In sind Vertrauensstellungen der vertrauenden Seite Vertrauensstellungsobjekte, die in der Regel hier erstellt werden:

– Kontopartnerorganisationen, um die Organisation in der Vertrauensstellung zu repräsentieren, deren Konten auf Ressourcen in der Ressourcenpartnerorganisation zugreifen werden.
– Ressourcenpartnerorganisationen, die die Vertrauensstellung zwischen dem Verbunddienst und einer einzigen webbasierten Anwendung darstellen.

Ein Vertrauensobjekt einer vertrauenden Seite besteht aus einer Vielzahl von Bezeichnern, Namen und Regeln, die diesen Partner oder diese Webanwendung für den lokalen Verbunddienst identifizieren.

Ressourcenverbundserver Der Verbundserver in der Ressourcenpartnerorganisation. Der Ressourcenverbundserver gibt Benutzern in der Regel Sicherheitstoken basierend auf einem Sicherheitstoken aus, das von einem Kontoverbundserver ausgestellt wird. Der Server empfängt das Sicherheitstoken, überprüft die Signatur, wendet anspruchsregellogik auf die entpackten Ansprüche an, um die gewünschten ausgehenden Ansprüche zu erzeugen, generiert ein neues Sicherheitstoken (mit den ausgehenden Ansprüchen) basierend auf Informationen im eingehenden Sicherheitstoken und signiert das neue Token, um an den Benutzer und letztendlich an die Webanwendung zurückzukehren.
Ressourcenpartnerorganisation Ein Verbundpartner, der durch die Vertrauensstellung einer vertrauenden Seite im Verbunddienst dargestellt wird. Der Ressourcenpartner gibt anspruchsbasierte Sicherheitstoken aus, die veröffentlichte webbasierte Anwendungen enthalten, auf die Benutzer im Kontopartner zugreifen können.

Übersicht über AD FS

AD FS ist eine Identitätszugriffslösung, die Clientcomputern (intern oder extern in Ihrem Netzwerk) einen nahtlosen SSO-Zugriff auf geschützte internetorientierte Anwendungen oder Dienste bereitstellt, auch wenn sich die Benutzerkonten und Anwendungen in völlig unterschiedlichen Netzwerken oder Organisationen befinden.

Wenn sich eine Anwendung oder ein Dienst in einem Netzwerk befindet und sich ein Benutzerkonto in einem anderen Netzwerk befindet, wird der Benutzer in der Regel aufgefordert, sekundäre Anmeldeinformationen einzugeben, wenn er versucht, auf die Anwendung oder den Dienst zuzugreifen. Diese sekundären Anmeldeinformationen stellen die Identität des Benutzers im Bereich dar, in dem sich die Anwendung oder der Dienst befindet. Sie sind in der Regel vom Webserver erforderlich, der die Anwendung oder den Dienst hostt, damit sie die am besten geeignete Autorisierungsentscheidung treffen kann.

Mit AD FS können Organisationen Anforderungen für sekundäre Anmeldeinformationen umgehen, indem sie Vertrauensstellungen (Verbundvertrauensstellungen) bereitstellen, die diese Organisationen verwenden können, um die digitale Identität eines Benutzers und Zugriffsrechte für vertrauenswürdige Partner zu projizieren. In dieser Verbundumgebung verwaltet jede Organisation weiterhin ihre eigenen Identitäten, aber jede Organisation kann auch identitäten von anderen Organisationen sicher projizieren und akzeptieren.