(0) exportieren Drucken
Alle erweitern
3 von 7 fanden dies hilfreich - Dieses Thema bewerten.

Active Directory-Verbunddienste (Übersicht)

Letzte Aktualisierung: April 2007

Betrifft: Windows Server 2008

Mit der AD FS-Serverrolle (Active Directory® Federation Services, Active Directory-Verbunddienste) der Betriebssysteme Windows Server® 2008 und Windows Server 2008 R2 können Sie eine stark erweiterbare, für das Internet skalierbare und sichere Lösung für eine plattformübergreifende Identitäts- und Zugriffsverwaltung erstellen, und das nicht nur für Windows-Umgebungen.

In den folgenden Abschnitten erhalten Sie nähere Informationen zu ADFS sowie eine Übersicht über die Technologie, und Sie erfahren, wie Sie ADFS installieren und verwalten.

Was ist ADFS?

ADFS ist eine Lösung zur Identitäts- und Zugriffsverwaltung, die browserbasierten Clients (netzwerkintern oder -extern) einen nahtlosen Zugriff auf eine oder mehrere geschützte, mit dem Internet verbundene Anwendungen ermöglicht. Der Zugriff erfolgt dabei über eine einmalige Eingabeaufforderung, wobei es keine Rolle spielt, ob sich die Benutzerkonten und Anwendungen in völlig verschiedenen Netzwerken oder Organisationen befinden.

Wenn sich die Anwendung in einem anderen Netzwerk befindet als die Benutzerkonten, erhalten die Benutzer beim Zugriff auf die Anwendung in der Regel Eingabeaufforderungen für sekundäre Anmeldeinformationen. Diese sekundären Anmeldeinformationen stellen die Identität der Benutzer in dem Bereich dar, in dem sich die Anwendung befindet. Der Webserver, auf dem die Anwendung ausgeführt wird, benötigt diese Anmeldeinformationen in der Regel für eine optimale Autorisierungsentscheidung.

ADFS macht sekundäre Konten und deren Anmeldeinformationen überflüssig, denn es werden Vertrauensstellungen bereitgestellt, mit denen Sie die digitale Identität und die Zugriffsrechte eines Benutzers auf vertrauenswürdige Partner projizieren können. In einer Verbundumgebung verwalten alle Organisationen weithin ihre eigenen Identitäten. Jede Organisation kann jedoch auch Identitäten aus anderen Organisationen sicher projizieren und akzeptieren.

Zudem können Verbundserver in mehreren Organisationen bereitgestellt werden, um B2B-Transaktionen (Business-to-Business) zwischen vertrauenswürdigen Partnerorganisationen zu ermöglichen. Bei verbundenen B2B-Partnerschaften werden Geschäftspartner als zu den folgenden Organisationstypen gehörend identifiziert:

  • Ressourcenorganisation: Organisationen, die Ressourcen besitzen und verwalten, auf die über das Internet zugegriffen werden kann, können ADFS-Verbundserver und ADFS-fähige Webserver bereitstellen, um den Zugriff auf geschützte Ressourcen für vertrauenswürdige Partner zu verwalten. Bei diesen vertrauenswürdigen Partnern kann es sich um externe Dritte oder andere Abteilungen und Niederlassungen derselben Organisation handeln.

  • Kontenorganisation: Organisationen, die Benutzerkonten besitzen und verwalten, können ADFS-Verbundserver bereitstellen, um lokale Benutzer zu authentifizieren und Sicherheitstoken zu erstellen, die später von Verbundservern in der Ressourcenorganisation für Autorisierungsentscheidungen verwendet werden.

Der Vorgang, bei dem die Authentifizierung in einem Netzwerk erfolgt und auf die Ressourcen in einem anderen Netzwerk zugegriffen wird, ohne dass sich der Benutzer ständig erneut anmelden muss, wird einmaliges Anmelden (Single Sign-on, SSO) genannt. ADFS stellt eine webbasierte SSO-Lösung bereit, in der Benutzer während einer bestehenden Browsersitzung bei mehreren Webanwendungen authentifiziert werden.

ADFS-Rollendienste

Die ADFS-Serverrolle schließt Verbunddienste, Proxydienste und Web-Agent-Dienste ein, die Sie für Folgendes konfigurieren können: zur Verwendung von Web-SSO, für den Verbund von webbasierten Ressourcen, zum Anpassen der Zugriffsnutzung und zum Verwalten des Anwendungszugriffs vorhandener Benutzer.

Abhängig von den Anforderungen Ihrer Organisation können Sie Server bereitstellen, auf denen jeweils folgende ADFS-Rollendienste ausgeführt werden:

  • Verbunddienst: Der Verbunddienst umfasst mindestens einen Verbundserver mit einer gemeinsamen Vertrauensrichtlinie. Mithilfe von Verbundserver werden Authentifizierungsanforderungen von Benutzerkonten in anderen Organisationen oder von Clients weitergeleitet, die sich an einem beliebigen Ort im Internet befinden.

  • Verbunddienstproxy: Der Verbunddienstproxy ist ein Proxy für den Verbunddienst im Umkreisnetzwerk (auch bekannt als demilitarisierte Zone oder abgeschirmtes Subnetz). Vom Verbunddienstproxy wird WS-Verbund-PRP (Passive Requestor Profile) verwendet, um Benutzeranmeldeinformationen von Browserclients zu erfassen und die Benutzeranmeldeinformationen in ihrem Auftrag an den Verbunddienst zu senden.

  • Ansprüche unterstützender Agent: Mit dem Ansprüche unterstützenden Agent lassen Sie auf einem Webserver, auf dem eine Ansprüche unterstützende Anwendung ausgeführt wird, das Abfragen von ADFS-Sicherheitstokenansprüchen zu. Eine Ansprüche unterstützende Anwendung ist eine Microsoft ASP.NET-Anwendung, die in einem ADFS-Sicherheitstoken enthaltene Ansprüche für Autorisierungsentscheidungen und zum Personalisieren von Anwendungen verwendet.

  • Tokenbasierter Windows-Agent: Der tokenbasierte Windows-Agent unterstützt auf einem Webserver, auf dem eine tokenbasierte Windows NT-Anwendung ausgeführt wird, die Konvertierung eines AD FS-Sicherheitstokens in ein Windows NT-Identitätswechselzugriffstoken. Eine tokenbasierte Windows NT-Anwendung ist eine Anwendung, von der Windows-basierte Autorisierungsmechanismen verwendet werden.

Installieren der ADFS-Rolle

Wenn Sie die Installation des Betriebssystems abgeschlossen haben, wird eine Liste der Aufgaben zur Erstkonfiguration angezeigt. Klicken Sie in der Aufgabenliste auf Rollen hinzufügen, und klicken Sie dann auf Active Directory-Verbunddienste, um ADFS zu installieren.

Ausführliche Anweisungen (möglicherweise in englischer Sprache) zum Installieren und Konfigurieren einer AD FS-Testumgebung finden Sie in der schrittweisen Anleitung zu AD FS in Windows Server 2008 R2 (http://go.microsoft.com/fwlink/?LinkId=133009).

Verwalten der ADFS-Rolle

Serverrollen können mithilfe von MMC-Snap-Ins (Microsoft Management Console) verwaltet werden. Nach der Installation von ADFS können Sie mit dem Active Directory-Verbunddienst-Snap-In den Verbunddienst und die Verbunddienstproxy-Rollendienste verwalten. Klicken Sie zum Öffnen dieses Snap-Ins auf Start, klicken Sie auf Verwaltung, und klicken Sie dann auf Active Directory-Verbunddienste.

Klicken Sie zum Verwalten des tokenbasierten Windows-Agents auf Start, klicken Sie auf Verwaltung, dann auf Internetinformationsdienste-Manager und anschließend auf Verbindung mit Localhost herstellen.

Weitere Informationen

Weitere Informationen zu ADFS finden Sie in der Hilfe auf Ihrem Server. Öffnen Sie das Active Directory-Verbunddienst-Snap-In wie im vorherigen Abschnitt beschrieben, und drücken Sie F1, um die Hilfe anzuzeigen.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.