(0) exportieren Drucken
Alle erweitern
Dieser Artikel wurde noch nicht bewertet - Dieses Thema bewerten.

ADFS (Übersicht)

Letzte Aktualisierung: August 2005

Betrifft: Windows Server 2003 R2

Einführung in ADFS

Active Directory-Verbunddienste (Active Directory Federation Services, ADFS) ist eine Komponente in Microsoft® Windows Server™ 2003 R2, die Web-SSO-Technologien (Single Sign-on, einmalige Anmeldung) bereitstellt. Mithilfe dieser Technologien kann ein Benutzer sich mit einer Anmeldung bei mehreren Webanwendungen gleichzeitig authentifizieren. Dies wird dadurch realisiert, dass die digitale Identität und die Anspruchsberechtigungen („Ansprüchen“) über Sicherheits- und Unternehmensgrenzen hinweg sicher gemeinsam genutzt werden.

ADFS ist …

  • … nicht mit .NET Passport identisch

  • … weder eine Datenbank noch ein Repository für Mitarbeiter- oder Kundenidentitätsdaten

  • … keine Erweiterung des Active Directory™-Verzeichnisdienstschemas

  • …keine Art von Windows-Domänen- oder Gesamtstrukturvertrauensstellung

ADFS in Windows Server 2003 R2 unterstützt das WS-Verbund-PRP (Passive Requestor Profile, WS-F PRP).

Schlüsselfeatures von ADFS

Im Folgenden werden einige der wichtigsten Features von ADFS in Windows Server 2003 R2 beschrieben:

  • Verbund und Web-SSO

    Wenn eine Organisation den Active Directory™-Verzeichnisdienst verwendet, nutzt sie die Vorteile der SSO-Funktion über die Windows-integrierte Authentifizierung innerhalb der Sicherheits- oder Unternehmensgrenzen der Organisation. ADFS dehnt diese Funktion auf mit dem Internet verbundene Anwendungen aus. Dadurch können Kunden, Partner und Lieferanten auf ähnliche und vereinfachte Weise mittels Web-SSO auf die webbasierten Anwendungen der Organisation zugreifen. Zudem können Verbundserver in mehreren Organisationen bereitgestellt werden, um Verbund-B2B-Transaktionen (Business-to-Business) zwischen Partnerorganisationen zu ermöglichen.

  • Webdiensteinteroperabilität (WS-*)

    Die Verbund-Identitätsverwaltungslösung von ADFS kann direkt mit anderen Sicherheitsprodukten kommunizieren, die die Webdienstearchitektur (WS-*) unterstützen. ADFS setzt hierzu die als „WS-Verbund“ bezeichnete WS-*-Verbundspezifikation ein. Die WS-Verbundspezifikation ermöglicht Umgebungen, die nicht das Windows-Identitätsmodell verwenden, das Eingehen eines Verbunds mit Windows-Umgebungen.

  • Erweiterbare Architektur

    ADFS bietet eine erweiterbare Architektur, die den SAML-Tokentyp (Security Assertion Markup Language) und die Kerberos-Authentifizierung (im Szenario mit Verbund-Web-SSO und Gesamtstrukturvertrauensstellung) unterstützt. Darüber hinaus kann ADFS eine Anspruchszuordnung ausführen, z. B. durch Ändern von Ansprüchen mit benutzerdefinierter Geschäftslogik als Variable in einer Zugriffsanforderung. Organisationen können diese Erweiterungsmöglichkeit nutzen, um ADFS für die gemeinsame Verwendung mit ihrer aktuellen Sicherheitsinfrastruktur und den aktuellen Geschäftsrichtlinien anzupassen.

Erweitern von Active Directory für das Internet

Active Directory dient in vielen Organisationen als primärer Identitäts- und Authentifizierungsdienst. Mit Windows Server 2003 Active Directory können Gesamtstrukturvertrauensstellungen zwischen mehreren Windows Server 2003-Gesamtstrukturen erstellt werden, um den Zugriff auf Ressourcen in unterschiedlichen Geschäftsbereichen oder Organisationen zu ermöglichen. Weitere Informationen zu Gesamtstrukturvertrauensstellungen finden Sie im Thema zur Funktionsweise von Domänen- und Gesamtstrukturvertrauensstellungen auf der Microsoft-Website (http://go.microsoft.com/fwlink/?LinkId=35356) (möglicherweise in englischer Sprache).

In manchen Szenarien sind Gesamtstrukturvertrauensstellungen jedoch nicht realisierbar. In Organisationen kann es z. B. erforderlich sein, den Zugriff auf eine kleine Gruppe von Einzelpersonen zu beschränken, die nicht alle einer Gesamtstruktur angehören.

Mithilfe von ADFS können Organisationen ihre vorhandenen Active Directory-Infrastrukturen erweitern, um über das Internet den Zugriff auf Ressourcen von vertrauenswürdigen Partnern zu ermöglichen. Bei diesen vertrauenswürdigen Partnern kann es sich um externe Dritte oder andere Abteilungen und Niederlassungen derselben Organisation handeln.

ADFS ist eng in Active Directory integriert. ADFS ruft Benutzerattribute aus Active Directory ab und authentifiziert Benutzer mit Active Directory. ADFS verwendet auch die Windows-integrierte Authentifizierung.

ADFS kann mit Active Directory und dem Active Directory-Anwendungsmodus (ADAM) eingesetzt werden. ADFS eignet sich sowohl für unternehmensweite Bereitstellungen von Active Directory als auch für ADAM-Instanzen. Bei der Verwendung mit Active Directory kann ADFS zudem die sicheren Authentifizierungstechnologien in Active Directory nutzen, z. B. Kerberos, digitale X.509-Zertifikate und Smart Cards. Bei der Verwendung mit ADAM authentifiziert ADFS Benutzer mithilfe von LDAP-Bindungen (Lightweight Directory Access Protocol).

ADFS unterstützt die verteilte Authentifizierung und Autorisierung über das Internet. ADFS kann in die vorhandene Zugriffsverwaltungslösung einer Organisation oder Abteilung integriert werden, um die in der Organisation verwendeten Bedingungen in Ansprüche zu übersetzen, die als Teil eines Verbundes vereinbart werden. ADFS kann die zwischen Organisationen ausgetauschten Ansprüche erstellen, sichern und überprüfen. Darüber hinaus kann ADFS zur Gewährleistung sicherer Transaktionen die Aktivität zwischen Organisationen und Abteilungen überwachen.

Verbundszenarien

ADFS unterstützt Verbundidentitätsszenarios, die Webdiensteverbund- (WS-Verbund), WS-Verbund-PRP- und WS-Verbund-PRP-Spezifikationen (Passive Requestor Profile) verwenden. Die ADFS-Lösung unterstützt Administratoren bei den Herausforderungen der Verbundidentitätsverwaltung, indem es Organisationen ermöglicht wird, die Identitätsinformationen von Benutzern mithilfe von Verbundvertrauensstellungen auf sichere Weise auszutauschen. In den folgenden drei Einsatzszenarien ist dargestellt, wie Sie ADFS-Serverfunktionen verwenden können, um Identitäten entsprechend den Anforderungen Ihrer Organisation zu verbinden.

Verbundene Web-SSO

Das ADFS-Szenario mit verbundener einmaliger Webanmeldung (Web-SSO) beinhaltet die sichere Kommunikation, die häufig zusätzlich zur gesamten Internetroutinginfrastruktur noch mehrere Firewalls, Umkreisnetzwerke und Namensauflösungsserver umfasst. Die Kommunikation über eine Umgebung mit verbundener Web-SSO kann die Effizienz und Sicherheit der Onlinetransaktionen zwischen Organisationen fördern, die über Verbundvertrauensstellungen zusammenarbeiten.

Eine Verbundvertrauensstellung kann zwischen zwei Organisationen eingerichtet werden, wie unten dargestellt. Bei diesem Szenario leiten Verbundserver Authentifizierungsanforderungen von Benutzerkonten bei Tailspin Toys an webbasierte Anwendungen, die sich im Netzwerk des Unternehmens Online Retailer befinden.

Verbundweb-SSO-Szenario

Verbundserver authentifizieren Anforderungen von vertrauenswürdigen Partnern basierend auf den Anmeldeinformationen der Partner. Darstellungen der Anmeldeinformationen werden in Form von Sicherheitstoken ausgetauscht.

Wenn eine noch höhere Sicherheit erzielt werden soll, können Verbundserverproxys verwendet werden, um Anforderungen an Verbundserver weiterzuleiten, auf die nicht direkt über das Internet zugegriffen werden kann.

Verbundene Web-SSO mit Gesamtstrukturvertrauensstellung

Das ADFS-Szenario „Verbundene Web-SSO mit Gesamtstrukturvertrauensstellung“ umfasst zwei Active Directory-Gesamtstrukturen innerhalb einer Organisation, wie in der folgenden Abbildung dargestellt. Eine der Gesamtstrukturen befindet sich im Umkreisnetzwerk der Organisation (auch bekannt als demilitarisierte Zone (DMZ) oder abgeschirmtes Subnetz). Die andere Gesamtstruktur befindet sich im internen Netzwerk. Es wird eine unidirektionale Gesamtstrukturvertrauensstellung eingerichtet, damit die Gesamtstruktur im Umkreisnetzwerk der Gesamtstruktur im internen Netzwerk vertraut. In beiden Netzwerken werden Verbundserver eingesetzt. Außerdem wird eine Verbundvertrauensstellung eingerichtet, damit Konten in der internen Gesamtstruktur verwendet werden können, um auf eine webbasierte Anwendung im Umkreisnetzwerk zuzugreifen. Dabei spielt es keine Rolle, ob die Konten von der Intranetgesamtstruktur oder vom Internet aus auf die Site zugreifen.

Verbundweb-SSO mit Gesamtstrukturvertrauens-Szenario

Bei diesem Szenario können externe Benutzer, z. B. Kunden, auf die Webanwendung zugreifen, indem sie sich beim externen Kontoverbundserver authentifizieren lassen, der sich im Umkreisnetzwerk befindet. Externe Benutzer verfügen über Benutzerkonten in der Active Directory-Gesamtstruktur des Umkreisnetzwerks. Interne Benutzer, z. B. Angestellte, können ebenfalls auf die Webanwendung zugreifen, indem sie sich beim internen Kontoverbundserver authentifizieren lassen, der sich im internen Netzwerk befindet. Interne Benutzer verfügen über Konten in der internen Active Directory-Gesamtstruktur.

Wenn es sich bei der webbasierten Anwendung um eine Windows NT-tokenbasierte Anwendung handelt, fängt der auf dem Webanwendungsserver ausgeführte ADFS-Web-Agent Anforderungen ab und erstellt Windows NT-Sicherheitstoken, die die Webanwendung zum Treffen von Autorisierungsentscheidungen benötigt. Dies ist für externe Benutzer möglich, weil der Webserver, der als Host für die Windows NT®-tokenbasierte Anwendung fungiert, der Domäne in der externen Gesamtstruktur hinzugefügt wurde. Für interne Benutzer wird dies über die Gesamtstrukturvertrauensstellung erreicht, die zwischen der Gesamtstruktur des Umkreisnetzwerks und der internen Gesamtstruktur eingerichtet wurde.

Wenn es sich bei der webbasierten Anwendung um eine Ansprüche unterstützende Anwendung handelt, muss der auf dem Webanwendungsserver ausgeführte ADFS-Web-Agent für den Benutzer keine Windows NT-Sicherheitstoken erstellen. Der ADFS-Web-Agent kann die eingehenden Ansprüche offenlegen, damit die Anwendung basierend auf dem Inhalt der Sicherheitstoken vom Kontoverbundserver Autorisierungsentscheidungen treffen kann. Auf diese Weise muss der Webserver zum Ausführen von Ansprüche unterstützenden Anwendungen nicht der Domäne hinzugefügt werden, und die Vertrauensstellung zwischen externer Gesamtstruktur und interner Gesamtstruktur ist nicht erforderlich.

Web-SSO

Beim ADFS-Szenario mit einfacher Web-SSO (nicht verbunden) müssen sich Benutzer nur einmal authentifizieren lassen und können dann auf mehrere webbasierte Anwendungen zugreifen. Bei diesem Szenario sind alle Benutzer externe Benutzer, und es ist keine Verbundvertrauensstellung vorhanden. Da die Webserver vom Internet aus zugänglich und außerdem Teil der Active Directory-Domäne sein müssen, sind sie mit zwei Netzwerken verbunden. Dies wird auch als „mehrfach vernetzt“ (multihomed) bezeichnet. Das erste Netzwerk ist mit dem Internet verbunden (das Umkreisnetzwerk), um die erforderliche Konnektivität bereitzustellen. Das zweite Netzwerk enthält die Active Directory-Gesamtstruktur (das geschützte Netzwerk), die vom Internet aus nicht direkt zugänglich ist. Der Verbundserverproxy ist ebenfalls mehrfach vernetzt, um die erforderliche Konnektivität zum Verbundserver und zum Internet bereitzustellen. Da der Verbundserver in diesem Szenario in einem Netzwerk platziert wird, das nicht direkt über das Internet zugänglich ist, wird das Risiko für den Verbundserver beträchtlich gesenkt.

Web-SSO-Szenario

Partnerorganisationen

Wenn Sie eine organisationsübergreifende (auf einem Verbund basierende) Zusammenarbeit mittels ADFS planen, bestimmen Sie zuerst, ob Ihre Organisation als Host für eine Webressource fungieren soll, auf die andere Organisationen über das Internet zugreifen können (oder umgekehrt). Vom Ergebnis dieser Bestimmung hängt es ab, wie Sie ADFS einsetzen. Außerdem ist das Ergebnis von entscheidender Bedeutung für die Planung Ihrer ADFS-Infrastruktur.

Für Verbundszenarien wie verbundene Web-SSO bzw. verbundene Web-SSO mit Gesamtstrukturvertrauensstellung (jedoch nicht einfache Web-SSO) verwendet ADFS Ausdrücke wie „Kontopartner“ und „Ressourcenpartner“. Auf diese Weise soll die Organisation, die als Host für die Konten fungiert (Kontopartner), von der Organisation unterschieden werden, die als Host für die webbasierten Ressourcen fungiert (Ressourcenpartner). Der Ausdruck „Verbundvertrauensstellung“ wird in ADFS verwendet, um die unidirektionale, nicht transitive Beziehung zu beschreiben, die zwischen dem Kontopartner und dem Ressourcenpartner geschaffen wird.

Die folgenden Abschnitte enthalten Erklärungen einiger Begriffe, die sich auf Kontopartner und Ressourcenpartner beziehen.

Kontopartner

Ein Kontopartner repräsentiert die Organisation in der Verbundvertrauensstellung, die Benutzerkonten entweder in einem Active Directory-Speicher oder einem ADAM-Speicher physisch speichert. Der Kontopartner ist für das Erfassen und Authentifizieren der Anmeldeinformationen eines Benutzers, das Zusammenstellen von Ansprüchen für diesen Benutzer und das Integrieren der Ansprüche in Sicherheitstoken verantwortlich. Diese Token können dann in einer Verbundvertrauensstellung verwendet werden, um auf webbasierte Ressourcen zuzugreifen, die sich innerhalb der Organisation des Ressourcenpartners befinden.

Anders gesagt: Beim Kontopartner handelt es sich um die Organisation, für deren Benutzer die Kontoseite des Verbunddiensts Sicherheitstoken ausstellt. Der Verbunddienst bei der Kontopartnerorganisation authentifiziert lokale Benutzer und erstellt Sicherheitstoken, die der Ressourcenpartner für seine Autorisierungsentscheidungen verwendet.

Bezogen auf Active Directory entspricht der Kontopartner bei ADFS einer einzelnen Active Directory-Gesamtstruktur, deren Konten den Zugriff auf Ressourcen benötigen, die sich physisch in einer anderen Gesamtstruktur befinden. Konten in dieser Beispielgesamtstruktur können nur dann auf Ressourcen in der Ressourcengesamtstruktur zugreifen, wenn sichergestellt ist, dass zwischen den beiden Gesamtstrukturen eine externe Vertrauensstellung bzw. eine Gesamtstrukturvertrauensstellung existiert und die Ressourcen, auf die die Benutzer versuchen zuzugreifen, mit den richtigen Autorisierungsberechtigungen versehen wurden.

noteHinweis
Anhand dieser Analogie soll lediglich verdeutlicht werden, auf welche Weise die Beziehung zwischen Konto- und Partnerorganisationen bei ADFS prinzipiell der Beziehung zwischen einer Kontogesamtstruktur und einer Ressourcengesamtstruktur bei Active Directory ähnelt. Externe Vertrauensstellungen und Gesamtstrukturvertrauensstellungen sind für das Funktionieren von ADFS nicht erforderlich.

Ressourcenpartner

Ein Ressourcenpartner ist der zweite Organisationspartner einer Verbundvertrauensstellung. Beim Ressourcenpartner befinden sich die Webserver, auf denen eine oder mehrere webbasierte Anwendungen (die Ressourcen) ausgeführt werden. Dabei vertraut der Ressourcenpartner der Benutzerauthentifizierung durch den Kontopartner. Um also Autorisierungsentscheidungen treffen zu können, verarbeitet der Ressourcenpartner die Ansprüche, die in Sicherheitstoken verpackt sind und vom Kontopartner gesendet werden.

Anders gesagt: Beim Ressourcenpartner handelt es sich um die Organisation, deren Webserver durch den Verbunddienst der Ressourcenseite geschützt sind. Der Verbunddienst beim Ressourcenpartner verwendet die Sicherheitstoken, die vom Kontopartner erstellt werden, um Autorisierungsentscheidungen für Webserver treffen zu können, die sich beim Ressourcenpartner befinden.

Um als ADFS-Ressource fungieren zu können, muss auf den Webservern der Ressourcenpartnerorganisation die ADFS-Web-Agent-Komponente von ADFS installiert sein. Webserver, die als ADFS-Ressource fungieren, können entweder als Host für Ansprüche unterstützende Anwendungen oder für Windows NT-tokenbasierte Anwendungen verwendet werden.

noteHinweis
Wenn es sich bei der Anwendung, die auf dem Webserver ausgeführt wird, um eine Windows NT-tokenbasierte Anwendung handelt, ist für die Active Directory-Gesamtstruktur der Ressourcenpartnerorganisation möglicherweise ein Ressourcenkonto erforderlich.

Verglichen mit Active Directory entspricht der Ressourcenpartner im Prinzip einer einzelnen Gesamtstruktur, deren Ressourcen über eine externe Vertrauensstellung bzw. eine Gesamtstrukturvertrauensstellung für Konten bereitgestellt werden, die physisch in einer anderen Gesamtstruktur gespeichert sind.

noteHinweis
Anhand dieser Analogie soll lediglich verdeutlicht werden, auf welche Weise die Beziehung zwischen Konto- und Partnerorganisationen bei ADFS prinzipiell der Beziehung zwischen einer Kontogesamtstruktur und einer Ressourcengesamtstruktur bei Active Directory ähnelt. Externe Vertrauensstellungen und Gesamtstrukturvertrauensstellungen sind für das Funktionieren von ADFS nicht erforderlich.

Verstärkter Identitätsschutz

Bei der Option Verstärkten Identitätsschutz aktivieren handelt es sich um eine optionale Einstellung, die beim Ressourcenpartner in der Vertrauensrichtlinie konfiguriert werden kann. Wenn die Option Verstärkten Identitätsschutz aktivieren aktiviert ist, bewirkt diese Einstellung ein Hashing des Benutzernamensabschnitts der ausgehenden UPN-Ansprüche und E-Mail-Ansprüche. Dabei wird der allgemeine Name durch einen zufälligen Wert ersetzt.

Durch diese Funktion soll Folgendes verhindert werden:

  • Zuordnung von Identitätsansprüchen zu persönlich identifizierbaren Benutzerinformationen durch den Ressourcenpartner

  • Absprachen von Partnern bei der Zuordnung von Identitätsansprüchen zu persönlich identifizierbaren Benutzerinformationen. Bei dieser Einstellung wird pro Partner ein eindeutiger Hash erstellt, damit sich die Identitätsanspruchwerte für verschiedene einander vertrauende Bereichspartner unterscheiden, für einen einzelnen Partner über Sitzungen hinweg jedoch konsistent sind.

  • einfache Wörterbuchangriffe auf den Hash, indem der Benutzerwert mit Daten aus der Vertrauensrichtlinie, also Daten, die den Ressourcenpartnern nicht bekannt sind, verknüpft wird (so genannes „Salting“)

Funktionsweise des verstärkten Identitätsschutzes

Wenn die Option Verstärkten Identitätsschutz aktivieren aktiviert ist, wird die Identität des Benutzers durch den Verbunddienst transformiert, bevor sie an den Ressourcenbereich gesendet wird. Der Kontoverbunddienst erreicht dies durch ein Hashing einer Kombination aus privatem Schlüssel (für das Salting), der Ressourcenpartner-URI (Uniform Resource Identifier) und dem Identitätsanspruch selbst. Wenn die folgenden Werte gleich sind, ergibt sich also immer dieselbe transformierte Identität:

  • privater Schlüssel

  • Ressourcenpartner-URI

  • Identitätsanspruch (UPN oder E-Mail)

Bei der Angabe des Hashalgorithmus muss die Groß-/Kleinschreibung beachtet werden. Daher sind die Hashergebnisse verschieden, wenn sich die Groß-/Kleinschreibung des URI oder des Benutzernamenabschnitts des UPN- bzw. E-Mail-Anspruchs unterscheidet.

ADFS-Serverfunktionen

ADFS kann nur genutzt werden, wenn die Server, auf denen Windows Server 2003 R2 ausgeführt wird, entsprechend konfiguriert sind. Je nach Umgebung in Ihrer Organisation müssen bestimmte ADFS-Serverfunktionen verwendet werden. In den folgenden Abschnitten werden die Serverfunktionen beschrieben, mit denen eine Lösung zur Identitätsverwaltung auf Basis von ADFS eingerichtet werden kann.

Verbundserver

Verbundserver dienen als Hosts für die Verbunddienst-Komponente von ADFS. Sie werden verwendet, um Authentifizierungsanforderungen von Benutzerkonten in anderen Organisationen (bei Szenarien mit verbundener Web-SSO) bzw. von Clients weiterzuleiten, die sich an beliebigen Internetstandorten befinden (beim Web-SSO-Szenario).

Verbundserver beherbergen auch einen Sicherheitstokendienst, der Token ausstellt, die auf den ihm präsentierten Anmeldeinformationen (z. B. Benutzername und Kennwort) basieren. Nachdem die Anmeldeinformationen überprüft wurden (die Anmeldung also erfolgreich war), werden für Benutzer durch die Untersuchung ihrer in Active Directory bzw. ADAM gespeicherten Attribute so genannte Ansprüche zusammengestellt.

Bei Szenarien mit verbundener Web-SSO (einmaliger Webanmeldung) können die Ansprüche für einen bestimmten Ressourcenpartner dann mithilfe von Anspruchszuordnungen geändert werden. Die Ansprüche sind dabei in ein Token integriert, das an einen Verbundserver eines Ressourcenpartners gesendet wird. Wenn ein Verbundserver eines Ressourcenpartners die Ansprüche als eingehende Ansprüche empfangen hat, erfolgt die Zuordnung zu den jeweiligen Organisationsansprüchen. Aus diesen Organisationsansprüchen wird ein neues Token erstellt, das an den ADFS-Web-Agent gesendet wird.

Die Funktion eines Verbundservers bei einem der Szenarien mit verbundener Web-SSO (mit oder ohne Gesamtstrukturvertrauensstellung) kann davon abhängen, ob Ihre Organisation als Kontopartner oder Ressourcenpartner benannt ist:

  • Verbundserver eines Kontopartners werden verwendet, um lokale Benutzerkonten entweder bei Active Directory-Speichern oder ADAM-Speichern anzumelden. Verbundserver stellen auch die ursprünglichen Sicherheitstoken aus, mit denen lokale Benutzerkonten auf webbasierte Anwendungen zugreifen können, für die der Ressourcenpartner als Host fungiert. Außerdem hinterlassen Verbundserver des Kontopartners Cookies beim Benutzer, damit diese weiter angemeldet bleiben. Diese Cookies enthalten Ansprüche für diese Benutzer. Durch diese Cookies wird die einmalige Anmeldung ermöglicht, damit Benutzer nicht jedes Mal wieder ihre Anmeldeinformationen eingeben müssen, wenn sie auf verschiedene webbasierte Anwendungen des Ressourcenpartners zugreifen.

  • Die Verbundserver beim Ressourcenpartner überprüfen die Sicherheitstoken, die von den Verbundservern des Kontopartners ausgestellt werden. Von den Verbundservern beim Ressourcenpartner werden zusätzlich Sicherheitstoken ausgestellt, die für die webbasierten Anwendungen des Ressourcenpartners bestimmt sind. Ebenso stellen Verbundserver beim Ressourcenpartner Cookies für die Benutzerkonten des Kontopartners aus. Diese Cookies ermöglichen das Prinzip der einmaligen Anmeldung, damit sich Benutzer nicht erneut bei den Verbundservern des Kontopartners anmelden müssen, wenn sie beim Ressourcenpartner auf verschiedene webbasierte Anwendungen zugreifen möchten.

Verbundserverproxy

Verbundserverproxys dienen als Hosts für die Verbunddienstproxy-Komponente von ADFS. Verbundserverproxys können im Umkreisnetzwerk (auch bekannt als demilitarisierte Zone (DMZ) oder abgeschirmtes Subnetz) einer Organisation eingesetzt werden, um Anforderungen an Verbundserver weiterzuleiten, auf die aus dem Internet nicht zugegriffen werden kann.

noteHinweis
Sie können als Hosts für die Verbunddienstproxy-Komponente verschiedene Server einsetzen. Es ist jedoch nicht erforderlich, einen separaten Server als Verbundserverproxy in der Intranetgesamtstruktur des Kontopartners oder des Ressourcenpartners zu nutzen. Diese Funktion übernimmt ein Verbundserver automatisch.

Die Funktion eines Verbundserverproxys in Ihrer Organisation kann davon abhängen, ob Ihre Organisation als Kontopartner oder Ressourcenpartner benannt ist:

  • Verbundserverproxys beim Kontopartner dienen als Proxys für Benutzeranmeldungen bei Verbundservern im Intranet. Verbundserverproxys dienen außerdem als Proxys für Sicherheitstoken, die vom Verbundserver des Kontopartners sowohl für seine eigenen Token als auch für die Token ausgestellt werden, die für Ressourcenpartner bestimmt sind.

  • Verbundserverproxys beim Ressourcenpartner dienen für die webbasierten Anwendungen des Ressourcenpartners als Proxys für Benutzersicherheitstoken, die von den Verbundservern des Kontopartners und des Ressourcenpartners ausgestellt werden.

Webserver

Bei ADFS dienen Webserver in der Ressourcengesamtstruktur als Host für die ADFS-Web-Agent-Komponente, um den sicheren Zugriff auf die auf diesen Webservern ausgeführten Webanwendungen sicherzustellen. Der ADFS-Web-Agent verwaltet Sicherheitstoken und Authentifizierungscookies, die an einen Webserver gesendet werden. Für den Webserver ist eine Beziehung zu einem Verbunddienst erforderlich, um sicherzustellen, dass alle Authentifizierungstoken von diesem Verbunddienst stammen.

Der ADFS-Web-Agent unterstützt zwei Arten von Anwendungen: Ansprüche unterstützende Anwendungen und Windows NT-tokenbasierte Anwendungen.

Verbundvertrauensstellungen

Sie können ADFS einsetzen, um effiziente und sichere Onlinetransaktionen zwischen Partnerorganisationen zu ermöglichen, die durch Verbundvertrauensstellungen miteinander verbunden sind. Eine Verbundvertrauensstellung ist mit anderen Worten die Verkörperung eines geschäftlichen Vertrags oder einer Partnerschaft zwischen zwei Organisationen.

Wie in der folgenden Abbildung dargestellt, können Verbundvertrauensstellungen zwischen zwei Partnerorganisationen eingerichtet werden, wenn beide Organisationen mindestens einen ADFS-Verbundserver bereitstellen und ihre Verbunddiensteinstellungen entsprechend konfigurieren. Der einseitige Pfeil kennzeichnet die Richtung der Vertrauensstellung und weist, wie bei Windows-Vertrauensstellungen, immer auf die Kontoseite der Gesamtstruktur. Dies bedeutet, dass die Authentifizierung von der Kontopartnerorganisation zur Ressourcenpartnerorganisation verläuft.

Verbundvertrauen verbindet Partnerorganisationen
noteHinweis
Zwischen dem Verbunddienst des Kontopartners und dem Verbunddienst des Ressourcenpartners erfolgt keine Kommunikation über das Netzwerk.

Nachdem Sie die Verbundvertrauensstellung erstellt haben, können Benutzer in der Kontopartnerorganisation erfolgreich Authentifizierungsanforderungen durch die Verbundvertrauensstellung an den Webserver in der Ressourcenpartnerorganisation senden. Eine Verbundvertrauensstellung wird erstellt, wenn die Kontopartnerorganisation und die Ressourcenpartnerorganisation beide die Verbunddienst-Komponente von ADFS installieren und den Kontopartner und Ressourcenpartner mit dem Active Directory-Verbunddienste-Snap-In entsprechend konfigurieren.

Wenn eine Seite der Verbundvertrauensstellung (der Kontopartner oder der Ressourcenpartner) nicht oder vom Administrator einer der Organisationen falsch konfiguriert wird, wird die Verbundvertrauensstellung nicht erfolgreich erstellt. Detaillierte Anweisungen zum Erstellen von Verbundvertrauensstellungen finden Sie in der schrittweisen Anleitung für ADFS oder in der Bereitstellungsdokumentation auf der ADFS-Startseite (http://go.microsoft.com/fwlink/?LinkId=79542) (möglicherweise in englischer Sprache).

noteHinweis
Verbundvertrauensstellungen werden im Web-SSO-Szenario nicht verwendet.

Verbunddienst

Der Verbunddienst ist eine Komponente von ADFS, die unabhängig von anderen ADFS-Komponenten installiert werden kann. Der Verbunddienst dient als Sicherheitstokendienst. Durch die Installation der Verbunddienstkomponente auf einem Computer wird dieser Computer zu einem Verbundserver. Zudem wird dadurch im Menü Verwaltung dieses Computers das Active Directory-Verbunddienst-Snap-In verfügbar.

Der Verbunddienst verwendet Active Directory, um als Reaktion auf Sicherheitstokenanforderungen Token bereitzustellen. Dies ermöglicht die nachfolgende Verwendung von Active Directory-Domänen und -Gesamtstrukturen:

  • Sie können als Identitätsanbieter eingesetzt werden, die mit kompatiblen Kontopartnern und Ressourcenpartnern einen Verbund eingehen können. Als Identitätsanbieter kann der Verbunddienst Active Directory-Identitäten über das Internet projizieren, um mit Anwendungen bei kompatiblen Dienstanbietern zu interagieren.

  • Sie können als Dienstanbieter eingesetzt werden, die mit kompatiblen Kontopartnern und Ressourcenpartnern einen Verbund eingehen können. Als Dienstanbieter kann der Verbunddienst Identitäten von anderen Organisationen Zugriff auf Windows-basierte und Microsoft ASP.NET-basierte Anwendungen eines Partners gewähren.

  • Sie können als Sicherheitstokenanbieter für Anwendungen eingesetzt werden, die der WS-Verbund-PRP-Spezifikation entsprechen.

Als Kontopartner ermöglicht der Verbunddienst Active Directory-Benutzern den Zugriff auf Ressourcen in Partnerorganisationen. Wenn eine Anforderung von einem Ressourcenpartner eingeht, erfasst und überprüft der Verbunddienst Benutzeranmeldeinformationen mithilfe von Active Directory oder ADAM. Der Verbunddienst kann dann, basierend auf den LDAP-Attributen des Benutzerkontos, einen Satz von Organisationsansprüchen auffüllen. Die Organisationsansprüche werden anschließend den entsprechenden Ansprüchen für den Ressourcenpartner zugeordnet und in einem vom Tokensignaturzertifikat des Verbunddiensts signierten Sicherheitstoken verpackt. Das resultierende Sicherheitstoken wird als Antwort auf die ursprüngliche Anforderung des Ressourcenpartners gesendet. Der Ressourcenpartner verwendet das Token dann, um dem Benutzer den Zugriff zu gewähren.

Als Ressourcenpartner übernimmt der Verbunddienst die entgegengesetzte Rolle. Wenn ein Benutzer versucht, auf eine ADFS-geschützte Anwendung zuzugreifen, überprüft der Verbunddienst, von welchem Kontopartner der Benutzer authentifiziert werden muss. Anschließend sendet er eine Authentifizierungsanforderung an diesen Partner. Wenn der Benutzer dann ein Sicherheitstoken vorlegt, überprüft der Verbunddienst, ob das Token korrekt vom Partner signiert wurde. Dann extrahiert der Verbunddienst die Ansprüche aus dem Token. Die Ansprüche werden Organisationsansprüchen zugeordnet, und die Filterrichtlinie für die spezifische Anwendung wird angewendet. Die gefilterten Organisationsansprüche werden in einem Sicherheitstoken verpackt, das vom Tokensignaturzertifikat des Verbunddiensts oder von einem Kerberos-Sitzungsschlüssel für die Webanwendung geschützt wird. Das resultierende Sicherheitstoken wird an den ursprünglichen Anwendungs-URL zurückgesendet. Die Anwendung verwendet das Token dann, um dem Benutzer den Zugriff zu gewähren.

ADFS verwendet das WS-Verbund-PRP-Protokoll, um Ansprüche in vom Verbunddienst ausgestellten Sicherheitstokens an die Webanwendung zu übertragen.

Diese Ansprüche werden zunächst aus Kontospeichern aufgefüllt. Dabei kann es sich um Active Directory- oder ADAM-Kontospeicher handeln. Der Verbunddienst stellt Tokens basierend auf den eingegebenen Anmeldeinformationen aus. Nachdem die Anmeldeinformationen anhand des Kontospeichers überprüft wurden, werden die Ansprüche für den Benutzer entsprechend den Regeln der Vertrauensrichtlinie generiert. Die abgerufenen eingehenden Ansprüche werden entsprechenden ausgehenden Ansprüchen für einen Ressourcenpartner zugeordnet. Die resultierenden Anspruchszuordnungen werden einem Sicherheitstoken hinzugefügt, das für den Ressourcenpartner ausgestellt wird.

Nach der Überprüfung des Tokens wird ein Authentifizierungscookie ausgestellt und in den Clientbrowser geschrieben. Jedes Mal, wenn der Client authentifiziert werden muss, verwendet der Verbunddienst dieses Cookie. Auf diese Weise muss der Client die Anmeldeinformationen nicht erneut eingeben, und das einmalige Anmelden (SSO) wird ermöglicht.

Verbunddienst-Webseiten

Der Verbunddienst stellt eine Webseite bereit, auf der der Benutzer zur Auswahl eines entsprechenden Kontopartners für die Authentifizierung aufgefordert wird. Für die formulargestützte Authentifizierung bietet der Verbunddienst auch eine Webseite zur Eingabe der Benutzeranmeldeinformationen (z. B. Benutzername und Kennwort). Eine Webseite, die die Windows-integrierte Authentifizierung unterstützt, ist ebenfalls verfügbar.

Hinter den Webseiten stellt der Verbunddienst einen ASP.NET-Webdienst bereit, der Anforderungen vom Client oder Verbundserverproxy verarbeitet. Der Verbundserverproxy befindet sich im Umkreisnetzwerk. Er dient als Vermittler zwischen einem Internetclient und einem Verbunddienst im Intranet. Der Verbunddienst antwortet auf zwei grundlegende Anforderungstypen:

  • Anforderungen zur Ausstellung von Sicherheitstokens

  • Anforderungen zum Abrufen von Vertrauensrichtliniendaten

Kontopartnerermittlung

Die Kontopartnerermittlung ermöglicht einem Client die Identifizierung seines bevorzugten Kontopartners für die Authentifizierung, wenn mehrere Kontopartner konfiguriert sind. Für diese Auswahl zeigt der Verbundserver im Clientbrowser ein Dropdownfeld mit den in der Vertrauensrichtlinie konfigurierten Kontopartnernamen an.

Sie können die Kontopartnerermittlung umgehen, indem Sie den whr-Parameter in die Abfragezeichenfolge für die gewünschte Ressource einschließen. Beispielsweise:

https://webserver/testapp/testpage.aspx?whr=urn:federation:< Kontopartner>, wobei <Kontopartner> den Kontopartnerbereich des Clients angibt.

Wenn der whr-Parameter verwendet wird, entfernt der Webserver den Parameter und schreibt ein Cookie in den Clientbrowser, um diese Einstellung für zukünftige Anforderungen zu speichern. Die weitere Verarbeitung der Anforderung erfolgt wie bei einer Anforderung ohne diesen Parameter.

Verbunddienstproxy

Beim Verbunddienstproxy handelt es sich um eine ADFS-Komponente von Windows Server 2003 R2, die unabhängig von anderen ADFS-Komponenten installiert werden kann. Der Verbunddienstproxy dient als Proxy in einem Umkreisnetzwerk (auch bekannt als demilitarisierte Zone (DMZ) oder abgeschirmtes Subnetz) für den Verbunddienst. Die Installation der Verbunddienstproxy-Komponente auf einem Computer bewirkt, dass der Computer zu einem Verbunddienstproxy wird. Das Active Directory-Verbunddienste-Snap-In ist dann im Menü Verwaltung dieses Computers verfügbar.

Ein Verbundserverproxy nutzt das WS-Verbund-PRP-Protokoll, indem er im Namen des Clients mit einem geschützten Verbunddienst kommuniziert. Wenn der Verbundserverproxy einen Kontopartner schützt, sammelt er die Anmeldeinformationen von Benutzern der Browserclients. Wenn der Verbundserverproxy einen Ressourcenpartner schützt, leitet er Anforderungen von und für Webanwendungen an den Verbunddienst weiter.

Der Verbundserverproxy speichert bei Bedarf außerdem HTTP-Cookies auf Clients, um die einmalige Anmeldung (SSO) zu ermöglichen. Der Verbundserverproxy schreibt alle drei Arten von Cookies: Authentifizierungscookies, Kontopartnercookies und Abmeldecookies.

ADFS-Web-Agent

Der ADFS-Web-Agent ist eine Komponente von ADFS. Er wird verwendet, um Sicherheitstoken zu verbrauchen und den Benutzerzugriff auf eine Webanwendung zuzulassen oder zu verweigern. Zu diesem Zweck benötigt der Webserver eine Beziehung mit einem Ressourcen-Verbunddienst, damit er den Benutzer wie erforderlich an den Verbunddienst weiterleiten kann.

Der ADFS-Web-Agent kann für zwei unterschiedliche Anwendungstypen verwendet werden:

  • Ansprüche unterstützende Anwendungen: Hierunter versteht man ASP.NET-Anwendungen, die in veröffentlichte ADFS-Objekte geschrieben werden, die das Abfragen von ADFS-Sicherheitstoken-Ansprüchen zulassen. Die Anwendung trifft basierend auf diesen Ansprüchen Autorisierungsentscheidungen. Sicherheitstokenfehler für diesen Anwendungstyp führen dazu, dass auf dem Client eine „Zugriff verweigert“-Meldung angezeigt wird und Ereignisse in das Ereignisprotokoll des Verbunddiensts geschrieben werden.

  • Windows NT-tokenbasierte Anwendungen: Hierunter versteht man Anwendungen, die Windows-basierte Autorisierungsmechanismen verwenden. Der ADFS-Web-Agent unterstützt die Konvertierung von einem ADFS-Sicherheitstoken zu einem Windows NT-Identitätswechselzugriffstoken.

Der Webserver speichert bei Bedarf außerdem HTTP-Cookies auf Clients, um SSO zu ermöglichen.

ADFS-Terminologie

In ADFS wird Terminologie aus mehreren unterschiedlichen Technologien verwendet. Hierzu zählen Zertifikatdienste, Internetinformationsdienste (IIS), Active Directory, ADAM und Webdienste (WS-*). Diese Begriffe werden in der folgenden Tabelle beschrieben.

 

Begriff Beschreibung

Kontopartner

Dies ist ein Verbundpartner, dem der Verbunddienst zur Bereitstellung von Sicherheitstokens vertraut. Der Kontopartner stellt diese Token für seine Benutzer (d. h. Benutzer im Kontopartnerbereich) aus, damit sie auf webbasierte Anwendungen im Ressourcenpartner zugreifen können.

Active Directory-Verbunddienste (ADFS)

ADFS ist eine Komponente von Windows Server 2003 R2, die Web-SSO-Technologien bereitstellt, mit deren Hilfe ein Benutzer während einer Onlinesitzung bei mehreren Webanwendungen authentifiziert werden kann. ADFS realisiert dies durch die sichere gemeinsame Nutzung der digitalen Identität und der Anspruchsberechtigungen über Sicherheits- und Unternehmensgrenzen hinweg. ADFS in Windows Server 2003 R2 unterstützt das WS-Verbund-PRP.

Anspruch

Aussage eines Servers über einen Client (z. B. Name, Identität, Schlüssel, Gruppe, Berechtigung oder Funktion).

Anspruchszuordnung

Vorgang, bei dem Ansprüche zugeordnet, entfernt und gefiltert oder zwischen verschiedenen Anspruchssätzen weitergegeben werden.

Ansprüche unterstützende Anwendung

ASP.NET-Anwendung, die auf der Basis der in einem ADFS-Sicherheitstoken enthaltenen Ansprüche die Autorisierung ausführt.

Clientkontopartnerermittlungs-Webseite

Diese Webseite wird zur Interaktion mit dem Benutzer verwendet, um festzustellen, welchem Kontopartner der Benutzer angehört, wenn ADFS den für die Authentifizierung des Benutzers zuständigen Kontopartner nicht automatisch ermitteln kann.

Clientabmeldungs-Webseite

Webseite, die angezeigt wird, wenn ADFS eine Abmeldung ausführt, und den Benutzer so über die durchgeführte Abmeldung informiert.

Clientanmeldungs-Webseite

Webseite, die angezeigt wird, wenn ADFS Clientanmeldeinformationen erfassen soll. Die Clientanmeldungs-Webseite kann jede erforderliche Geschäftslogik verwenden, um zu bestimmen, welche Anmeldeinformationen zu erfassen sind.

Verbund

Paar von Bereichen oder Domänen, die eine Verbundvertrauensstellung zueinander aufgebaut haben.

Verbunddienst

In Windows Server 2003 R2 integrierter Sicherheitstokendienst. Der Verbunddienst stellt angeforderte Sicherheitstoken bereit.

Verbunddienstproxy

Proxy des Verbunddiensts im Umkreisnetzwerk (auch als demilitarisierte Zone (DMZ) oder abgeschirmtes Subnetz bezeichnet). Der Verbunddienstproxy verwendet WS-Verbund-PRP-Protokolle, um Benutzeranmeldeinformationen von Browserclients und Webanwendungen zu erfassen und die Informationen in ihrem Auftrag an den Verbunddienst zu senden.

Organisationsansprüche

Ansprüche in einem Zwischenformat oder normalisierten Format innerhalb des Namespace einer Organisation.

Passiver Client

HTTP-Browser, der allgemein unterstütztes HTTP unterstützt und mit Cookies umgehen kann. ADFS in Windows Server 2003 R2 unterstützt nur passive Clients und entspricht der WS-Verbund-PRP-Spezifikation.

Ressourcenpartner

Verbundpartner, der zur Ausstellung von anspruchsbasierten Sicherheitstoken dem Verbunddienst vertraut. Der Ressourcenpartner enthält veröffentlichte webbasierte Anwendungen, auf die Benutzer im Kontopartner zugreifen können.

Sicherheitstoken

Kryptografisch signierte Dateneinheit, die einen oder mehrere Ansprüche ausdrückt.

Sicherheitstokendienst (Security Token Service, STS)

Webdienst, der Sicherheitstokens ausstellt. Ein STS macht gegenüber Stellen, für die er vertrauenswürdig ist, (bzw. gegenüber spezifischen Empfängern) Zusicherungen (Assertionen) zu Informationen, die aus Quellen stammen, denen er selbst vertraut. Für die Übermittlung einer Vertrauensstellung benötigt ein Dienst einen Beweis (z. B. eine Signatur), um die Kenntnis eines Sicherheitstokens oder einer Gruppe von Sicherheitstoken zu belegen. Ein Dienst kann entweder Token selbst generieren oder zur Ausstellung von Sicherheitstoken mit seiner eigenen Vertrauensaussage einen separaten STS heranziehen. Dies ist die Grundlage der Vertrauensstellungsvermittlung. In ADFS ist der Verbunddienst ein STS.

Serverfarm

In ADFS eine Sammlung von Verbundservern, Verbundserverproxys oder Webservern, auf denen sich der ADFS-Web-Agent befindet und für die ein Lastenausgleich ausgeführt wird.

Einmaliges Anmelden (Single Sign-On, SSO)

Optimierung der Authentifizierungssequenz, die den Endbenutzer der Last entledigt, sich bei jedem Webdienst einzeln anmelden zu müssen.

Tokensignaturzertifikat

X509-Zertifikat, dessen Paar aus öffentlichem und privatem Schlüssel verwendet wird, um die Integrität von Sicherheitstoken zu gewährleisten.

URI (Uniform Resource Identifier)

Kompakte Zeichenfolge zur Identifizierung einer abstrakten oder physischen Ressource. URIs werden in RFC 2396 (http://go.microsoft.com/fwlink/?LinkId=48289) (möglicherweise in englischer Sprache) erläutert. In ADFS werden URIs zur eindeutigen Identifizierung von Partnern und Kontospeichern verwendet.

Webdienste (WS-*)

Spezifikationen für eine Webdienstearchitektur, die auf allgemein anerkannten Standards wie SOAP (Simple Object Access Protocol), XML, WSDL (Web Service Description Language) und UDDI (Universal Description, Discovery and Integration) basiert. WS-* bietet eine Grundlage für die Bereitstellung vollständiger kompatibler Geschäftslösungen für das erweiterte Unternehmen. Dies beinhaltet die Fähigkeit, Verbundidentitäten und die Sicherheit zu verwalten.

Das Webdienstemodell beruht auf dem Konzept, dass Unternehmenssysteme in unterschiedlichen Sprachen und mit unterschiedlichen Programmiermodellen erstellt werden, die auf unterschiedlichen Gerätetypen ausgeführt werden und für unterschiedliche Gerätetypen zugänglich sind. Webdienste sind eine Möglichkeit zur Erstellung verteilter Systeme, die, unabhängig von ihrer Programmiersprache und Plattform, einfach und effizient über das Internet eine Verbindung zueinander herstellen und miteinander interagieren können.

Webdienstesicherheit (WS-Sicherheit)

Reihe von Spezifikationen, die beschreiben, wie Signaturen und Verschlüsselungsheader an SOAP-Nachrichten angehängt werden. Zudem beschreibt die WS-Sicherheit, wie Sicherheitstoken an Nachrichten angehängt werden. Dies beinhaltet auch binäre Sicherheitstoken wie X.509-Zertifikate und Kerberos-Tickets. In ADFS wird die WS-Sicherheit verwendet, wenn Kerberos Sicherheitstoken signiert.

Windows NT-tokenbasierte Anwendung

Windows-Anwendung, bei der die Autorisierung von Benutzern durch ein Windows NT-Token erfolgt.

WS-Verbund

Spezifikation, die ein Modell und einen Meldungssatz für die Vertrauensstellungsübermittlung und den Verbund von Identitäts- und Authentifizierungsinformationen in unterschiedlichen Vertrauensstellungsbereichen definiert.

Die WS-Verbundspezifikation identifiziert zwei Quellen von Identitäts- und Authentifizierungsanforderungen in Vertrauensstellungsbereichen: aktive Anfordernde wie SOAP-fähige Anwendungen und passive Anfordernde, die als HTTP-Browser mit Unterstützung für allgemein unterstütztes HTTP (z. B. HTTP 1.1) definiert sind.

WS-Verbund-PRP (Passive Requestor Profile)

Implementierung der WS-Verbundspezifikation, die ein Standardprotokoll für die Anwendung der Verbundumgebung durch passive Clients (z. B. Webbrowser) vorschlägt. Innerhalb dieses Protokolls wird vorausgesetzt, dass Webdienstanfordernde die neuen Sicherheitsmechanismen verstehen und mit Webdienstanbietern interagieren können.

ADFS-Ressourcen

Ausführliche Informationen zu ADFS (Active Directory-Verbunddienste) finden Sie auf der ADFS-Startseite (http://go.microsoft.com/fwlink/?LinkId=79542) (möglicherweise in englischer Sprache).

Weitere Informationen zu ADFS bzw. andere ADFS-bezogene Informationen finden Sie in den folgenden Webressourcen:

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.