Understanding Key AD FS Concepts

Es wird empfohlen, sich über die wichtigen Konzepte für Active Directory-Verbunddienste (AD FS) zu informieren und mit seinem Featuresatz vertraut zu werden.

Tipp

Weitere AD FS-Ressourcenlinks finden Sie im Verständnis der Schlüssel-AD FS-Konzepte.

AD FS-Terminologie in dieser Anleitung

AD FS-Begriff Definition
Kontopartnerorganisation Eine Verbundpartnerorganisation, die durch eine Anspruchsanbieter-Vertrauensstellung im Verbunddienst dargestellt wird. Die Kontopartnerorganisation enthält die Benutzer, die auf webbasierte Anwendungen im Ressourcenpartner zugreifen.
Kontoverbundserver Der Verbundserver in der Kontopartnerorganisation. Der Kontoverbundserver stellt Sicherheitstoken für Benutzer auf Basis der Benutzerauthentifizierung aus. Der Server authentifiziert den Benutzer, extrahiert die relevanten Attribute und Gruppenmitgliedschaftsinformationen aus dem Attributspeicher, verpackt diese Informationen in Ansprüche und generiert und signiert ein Sicherheitstoken (das die Ansprüche enthält), das an den Benutzer zurückgegeben wird, um dann entweder in der eigenen Organisation verwendet oder an eine Partnerorganisation gesendet zu werden.
AD FS-Konfigurationsdatenbank Eine Datenbank zum Speichern sämtlicher Konfigurationsdaten, die eine einzelne AD FS-Instanz oder einen Verbunddienst darstellen. Diese Konfigurationsdaten können entweder in einer SQL Server-Datenbank gespeichert werden oder das interne Windows-Datenbank Feature verwenden, das in Windows Server 2016, Windows Server 2012 und 2012 R2 enthalten ist, und Windows Server 2008 und 2008 R2.

Sie können die AD FS-Konfigurationsdatenbank für SQL Server mithilfe des Fsconfig.exe Befehlszeilentools und interne Windows-Datenbank mithilfe des AD FS-Verbundserverkonfigurations-Assistenten erstellen.
Anspruchsanbieter Die Organisation, die Ansprüche für ihre Benutzer bereitstellt. Siehe Kontopartnerorganisation.
Anspruchsanbieter-Vertrauensstellung Im AD FS Management-Snap-In sind Anspruchsanbietervertrauenswürdige Objekte, die in der Regel in Ressourcenpartnerorganisationen erstellt wurden, um die Organisation in der Vertrauensstellung darzustellen, deren Konten auf Ressourcen in der Ressourcenpartnerorganisation zugreifen. Ein Anspruchsanbieter-Vertrauensstellungsobjekt besteht aus einer Auswahl von IDs, Namen und Regeln, die diesen Partner für den lokalen Verbunddienst identifizieren.
Vertrauensstellung mit lokalem Anspruchsanbieter Ein Vertrauensstellungsobjekt, das AD LDS- oder LDAP-basierte Verzeichnisse von Drittanbietern in einer AD FS-Farm darstellt. Ein lokales Anspruchsanbieter-Vertrauensstellungsobjekt besteht aus einer Auswahl von IDs, Namen und Regeln, die dieses LDAP-basierte Verzeichnis für den lokalen Verbunddienst identifizieren.
Verbundmetadaten Das Datenformat für die Kommunikation von Konfigurationsinformationen zwischen einem Anspruchsanbieter und einer vertrauenden Seite, um die geeignete Konfiguration von Anspruchsanbieter-Vertrauensstellungen und von Vertrauensstellungen der vertrauenden Seite zu ermöglichen. Das Datenformat ist in SAML 2.0 (Security Assertion Markup Language) definiert und wird im WS-Verbund erweitert.
Verbundserver Ein Windows Server, der mithilfe des AD FS-Verbundserverkonfigurations-Assistenten konfiguriert wurde, um in der Verbundserverrolle zu handeln. Ein Verbundserver stellt Token aus und dient als Komponente eines Verbunddiensts.
Verbundserverproxy Ein Windows Server, der mithilfe des AD FS-Verbundserverproxykonfigurations-Assistenten konfiguriert wurde, um als Zwischenproxydienst zwischen einem Internetclient und einem Verbunddienst zu fungieren, der sich hinter einer Firewall in einem Unternehmensnetzwerk befindet.
Primärer Verbundserver Ein Windows Server, der in der Verbundserverrolle mithilfe des AD FS-Verbundserverkonfigurations-Assistenten konfiguriert wurde und über eine Lese-/Schreibkopie der AD FS-Konfigurationsdatenbank verfügt.

Der primäre Verbundserver wird erstellt, wenn Sie den AD FS-Verbundserverkonfigurations-Assistenten verwenden und die Option zum Erstellen eines neuen Verbunddiensts auswählen und diesen Computer zum ersten Verbundserver in der Farm machen. Alle anderen Verbundserver in dieser Farm müssen die am primären Verbundserver vorgenommenen Änderungen zu einer schreibgeschützten Kopie der AD FS-Konfigurationsdatenbank replizieren, die lokal gespeichert wird. Der Begriff "primärer Verbundserver" gilt nicht, wenn die AD FS-Konfigurationsdatenbank in einer SQL-Datenbank gespeichert wird, da alle Verbundserver eine konfigurationsdatenbank, die auf einem SQL Server gespeichert sind, gleichermaßen lesen und schreiben können.
Vertrauende Seite Die Organisation, die Ansprüche erhält und verarbeitet. Siehe Ressourcenpartnerorganisation.
Vertrauensstellung der vertrauenden Seite Im AD FS-Verwaltungs-Snap-In sind vertrauende Parteienvertrauenswürdige Objekte, die in der Regel erstellt wurden:

- Kontopartnerorganisationen, die die Organisation in der Vertrauensstellung darstellen, deren Konten auf Ressourcen in der Ressourcenpartnerorganisation zugreifen werden.
- Ressourcenpartnerorganisationen, die die Vertrauensstellung zwischen dem Verbunddienst und einer einzigen webbasierten Anwendung darstellen.

Ein Vertrauensstellungsobjekt der vertrauenden Seite besteht aus einer Auswahl von IDs, Namen und Regeln, die diesen Partner oder eine Webanwendung für den lokalen Verbunddienst identifizieren.

Ressourcenverbundserver Der Verbundserver in der Ressourcenpartnerorganisation. Der Ressourcenverbundserver stellt in der Regel Sicherheitstoken für Benutzer auf Basis eines Sicherheitstokens aus, das von einem Kontoverbundserver ausgestellt wurde. Der Server empfängt das Sicherheitstoken, überprüft die Signatur und wendet die Anspruchsregellogik auf die unverpackten Ansprüche an, um die gewünschten ausgehenden Ansprüche zu erzeugen. Dann wird ein neues Sicherheitstoken (mit den ausgehenden Ansprüchen) auf Basis der Informationen im eingehenden Sicherheitstoken generiert und das neue Token signiert, um es an den Benutzer und letztendlich an die Webanwendung zurückzusenden.
Ressourcenpartnerorganisation Ein Verbundpartner, der durch die Vertrauensstellung einer vertrauenden Seite im Verbunddienst dargestellt wird. Der Ressourcenpartner stellt anspruchsbasierte Sicherheitstoken aus, die veröffentlichte webbasierte Anwendungen enthalten, auf die Benutzer des Kontopartners zugreifen können.

Übersicht über AD FS

AD FS ist eine Identitätszugriffslösung, die Clientcomputer (intern oder extern für Ihr Netzwerk) mit nahtlosem SSO-Zugriff auf geschützte internetbezogene Anwendungen oder Dienste bereitstellt, auch wenn sich die Benutzerkonten und Anwendungen in vollständig unterschiedlichen Netzwerken oder Organisationen befinden.

Wenn sich eine Anwendung oder ein Dienst in einem Netzwerk und ein Benutzerkonto in einem anderen Netzwerk befindet, wird der Benutzer beim versuchten Zugriff auf die Anwendung oder den Dienst normalerweise zur Angabe sekundärer Anmeldeinformationen aufgefordert. Diese sekundären Anmeldeinformationen stellen die Identität des Benutzers in dem Bereich dar, in dem sich die Anwendung oder der Dienst befindet. Sie sind in der Regel für den Webserver erforderlich, der die Anwendung oder den Dienst hostet, daher kann er die entsprechende Autorisierungsentscheidung treffen.

Mit AD FS können Organisationen Anforderungen für sekundäre Anmeldeinformationen umgehen, indem Sie Vertrauensbeziehungen (Verbundvertrauensstellungen) bereitstellen, die diese Organisationen verwenden können, um die digitale Identität und die Zugriffsrechte eines Benutzers auf vertrauenswürdige Partner zu projizieren. In dieser Verbundumgebung verwaltet jede Organisation weiterhin die eigenen Identitäten, aber die einzelnen Organisationen können auch Identitäten anderer Organisationen sicher planen und akzeptieren.