Markieren Sie das Kontrollkästchen Englisch, um die englische Version dieses Artikels anzuzeigen. Sie können den englischen Text auch in einem Popup-Fenster einblenden, indem Sie den Mauszeiger über den Text bewegen.
Übersetzung
Englisch

Übersicht über Active Directory-Verbunddienste

 

Betrifft: Windows Server 2012 R2, Windows Server 2012, Windows Server Technical Preview

Dieses Thema bietet einen Überblick über die Active Directory-Verbunddienste (Active Directory Federation Services, AD FS).

Hier gelangen Sie direkt zu den Informationen, die Sie am meisten interessieren:

AD FS bietet einen vereinfachten und sicheren Identitätsverbund sowie Funktionen für die einmalige Webanmeldung (Single Sign-On, SSO) für Endbenutzer, die in einem AD FS-gesicherten Unternehmen, in Verbundpartnerorganisationen oder der Cloud auf Anwendungen zugreifen möchten.

In Windows Server® 2012 R2 umfasst AD FS einen Verbunddienst-Rollendienst, der als Identitätsanbieter agiert (Benutzer authentifiziert, um Anwendungen, die AD FS vertrauen, Sicherheitstoken bereitzustellen), oder als Verbundanbieter (nimmt Token anderer Identitätsanbieter entgegen und stellt Sicherheitstoken für Anwendungen bereit, die AD FS vertrauen).

Die Funktion der Bereitstellung von Extranetzugriff auf Anwendungen und Dienste, die von AD FS geschützt sind, erfolgt jetzt durch einen neuen Remotezugriff-Rollendienst namens Webanwendungsproxy. Dies ist eine Abweichung von früheren Versionen von Windows Server, in denen diese Funktion von einem AD FS-Verbundserverproxys übernommen wurde. Webanwendungsproxy ist eine Serverrolle, die Zugriff für das AD FS-bezogene Extranetszenario und sonstige Extranetszenarios bietet. Weitere Informationen zum Webanwendungsproxy finden Sie unter Handbuch mit exemplarischer Vorgehensweise für den Webanwendungsproxy.

AD FS vereinfacht den Zugriff auf Systeme und Anwendungen, indem ein auf anspruchsbasierter Authentifizierungs- und Zugriffsautorisierungsmechanismus verwendet wird, um die Anwendungssicherheit aufrechtzuerhalten. Frühere Versionen von AD FS wurden für Folgendes verwendet:

  • Bereitstellung einer webbasierten Benutzerumgebung mit einmaliger Anmeldung für Ihre Mitarbeiter oder Kunden beim Zugriff auf anspruchsbasierte Anwendungen in Ihrem Unternehmen.

  • Bereitstellung einer webbasierten Benutzerumgebung mit einmaliger Anmeldung für Ihre Mitarbeiter oder Kunden beim Zugriff auf Ressourcen in beliebigen Verbundpartnerorganisationen.

  • Bereitstellung einer webbasierten Benutzerumgebung mit einmaliger Anmeldung für Mitarbeiter oder Kunden beim Remotezugriff auf intern gehostete Websites oder -dienste.

  • Bereitstellung einer webbasierten Benutzerumgebung mit einmaliger Anmeldung für Mitarbeiter oder Kunden beim Zugriff auf Ressourcen oder Dienste in der Cloud.

AD FS in Windows Server® 2012 R2 bietet zusätzliche praktische Anwendungen für AD FS, darunter die folgenden:

Für Windows Server Technical Preview enthält die AD FS-Serverrolle den gleichen Satz Funktionen und Features, der in Windows Server 2012 und Windows Server 2012 R2 verfügbar ist. Sie enthält außerdem neue Features, die Ihnen die Konfiguration von AD FS für die Authentifizierung von Benutzern ermöglichen, die in Nicht-AD-Verzeichnissen gespeichert sind, z. B. in X.500-kompatiblen Lightweight Directory Access Protocol-Verzeichnissen (LDAP) und SQL-Datenbanken. In vielen Organisationen bestehen Lösungen zur Identitätsverwaltung aus einer Kombination von Active Directory-, AD LDS- und Drittanbieter-LDAP-Verzeichnissen sowie SQL-Datenbanken. Mit der AD FS-Unterstützung von Nicht-AD-Identitätsspeichern profitieren Sie vom gesamten unternehmensbereiten AD FS-Featuresatz, unabhängig davon, wo Ihre Benutzeridentitäten gespeichert werden. Weitere Informationen finden Sie unter Konfigurieren von AD FS zum Authentifizieren von Benutzern, die in LDAP-Verzeichnissen gespeichert.

In den folgenden Abschnitten werden zahlreiche Änderungen zusammengefasst, die in Windows Server® 2012 R2 an AD FS vorgenommenen wurden, um sowohl neuere praktische Anwendungen von AD FS zu unterstützen, als auch vorhandene Funktionen zu verbessern.

Hier gelangen Sie direkt zu den Informationen, die Sie am meisten interessieren:

  • Arbeitsplatzbeitritt, der Benutzern ermöglicht, ihre persönlichen Geräten dem Active Directory des Unternehmens hinzuzufügen, und dann von diesen Geräten aus nahtlos auf Unternehmensressourcen zuzugreifen.

  • Vorauthentifizierung von Ressourcen innerhalb des Unternehmensnetzwerks, die vom Webanwendungsproxy geschützt werden und für den Internetzugriff verfügbar sind.

  • Kennwortänderung, damit Benutzer von jedem Gerät aus, dass dem Arbeitsplatz beigetreten ist, ihr Kennwort ändern können, wenn es abgelaufen ist, damit sie weiterhin auf Ressourcen zugreifen können.

Weitere Informationen finden Sie unter Arbeitsplatzbeitritt von einem beliebigen Gerät für SSO und die nahtlose zweistufige Authentifizierung bei allen Unternehmensanwendungen.

Verwalten von Risiken ist ein wichtiger Aspekt der Governance und Compliance in jeder IT-Organisation. Es gibt zahlreiche Zugriffskontrolle Risiko-Management-Verbesserungen in AD FS unterWindows Server® 2012 R2einschließlich der folgenden:

  • Flexible Kontrolle auf Grundlage des Netzwerkstandorts, um zu steuern, wie sich ein Benutzer authentifiziert, um auf eine AD FS-gesicherte Anwendung zuzugreifen. Weitere Informationen finden Sie unter Verwalten von Risiken mit der bedingten Zugriffssteuerung.

  • Flexible Richtlinien, um basierend auf Benutzerdaten, Gerätedaten und Netzwerkstandort zu ermitteln, ob ein Benutzer die mehrstufige Authentifizierung durchführen muss. Weitere Informationen finden Sie unter Verwalten von Risiken mit zusätzlicher mehrstufiger Authentifizierung für sensible Anwendungen.

  • Unterstützung von Drittanbietern und benutzerdefinierte integrierte Authentifizierungsmethoden zum Konfigurieren der mehrstufigen Authentifizierung. Weitere Informationen finden Sie unter Configure Additional Authentication Methods for AD FS.

  • Steuerung pro Anwendung, um SSO zu ignorieren und den Benutzer zu zwingen, bei jedem Zugriff auf eine vertrauliche Anwendung Anmeldeinformationen anzugeben. Weitere Informationen finden Sie unter

  • Flexible Zugriffsrichtlinien pro Anwendung basierend auf Benutzerdaten, Gerätedaten oder Netzwerkstandort.

  • AD FS Extranet Lockout ermöglicht Administratoren den Schutz von Active Directory-Konten vor böswilligen Angriffen aus dem Internet. Weitere Informationen finden Sie unter Konfigurieren von AD FS Extranet Lockout

  • Sperrung des Zugriffs für alle Arbeitsplatzbeitrittgeräte, die in Active Directory gelöscht oder deaktiviert werden.

Die Bereitstellung von AD FS in Windows Server® 2012 R2 wird durch folgende Erweiterungen vereinfacht:

  • AD FS ist nicht mehr abhängig von IIS. Dies führt zu besserer Leistung und reduziert den Fußabdruck von Diensten, insbesondere dann, wenn AD FS auf Active Directory-Domänencontrollern installiert ist.

  • Remoteinstallation und -konfiguration über den Server-Manager.

  • Benutzeroberflächenunterstützung für die Installation von AD FS mit SQL Server

  • Unterstützung gruppenverwalteter Dienstkonten So können AD FS ohne Verwaltung ablaufender Dienstkontenkennwörter mit Dienstkonten ausgeführt werden.

  • SQL Server-Mergereplikationsunterstützung bei der weltweit verteilte Datencenter übergreifenden Bereitstellung von AD FS.

System_CAPS_importantWichtig

Beachten Sie, dass in Windows Server® 2012 R2 der "eigenständige" Modus für das AD FS-Setup entfernt wurde.

Weitere Informationen finden Sie unter Bereitstellungshandbuch für AD FS unter Windows Server 2012 R2.

Die folgenden neuen AD FS-Funktionen in Windows Server® 2012 R2 ermöglichen Administratoren, die Anmeldung anzupassen und zu erleichtern:

  • Einheitliche Anpassung des AD FS-Diensts, wobei die Änderungen einmal vorgenommen und dann automatisch auf die übrigen AD FS-Verbundserver einer bestimmten Farm verteilt werden.

  • Aktualisierte Anmeldeseiten, die modern aussehen und sich automatisch nach verschiedenen Formfaktoren ausrichten.

  • Unterstützung für automatisches Fallback auf formularbasierte Authentifizierung für Geräte, die nicht der Unternehmensdomäne beitreten, aber dennoch verwendet werden, um Anforderungen aus dem Unternehmensnetzwerk (Intranet) heraus zu generieren.

  • Einfache Steuerelemente zur Anpassung von Firmenlogo, Abbildung, Standardlinks für IT-Support, Startseite, Datenschutz etc.

  • Anpassung beschreibender Meldungen auf den Anmeldeseiten.

  • Anpassung von Webdesigns.

  • Startbereichserkennung (Home Realm Discovery, HRD) auf der Grundlage des Organisationssuffixes des Benutzers für verbesserten Datenschutz für Partner des Unternehmens.

  • HRD-Filterung pro Anwendung zur automatischen Auswahl eines Bereichs auf Anwendungsbasis.

  • Ein-Klick-Fehlerberichterstattung für einfachere IT-Problembehandlung.

  • Anpassbare Fehlermeldungen.

  • Authentifizierungswahl durch den Benutzer, wenn mehrere Authentifizierungsanbieter verfügbar sind.

Weitere Informationen finden Sie unter Anpassen der AD FS-Anmeldeseiten und Erweiterte Anpassung von AD FS-Anmeldeseiten.

In Windows Server 2012 unterstützt AD FS jetzt das OAuth Authorization Grant-Profil mit Unterstützung für Aktualisierungstoken, um moderne Clientanwendungen zu ermöglichen, die RESTful-Dienste verwenden. AD FS unterstützt auch das Ausstellen von JWT-Token, kompakte Token, die leichter auf die Ressourcen übertragen werden können, die das REST-Muster verwenden. Weitere Informationen finden Sie unter Entwicklung moderner Anwendungen mithilfe von OAuth und Active Directory-Verbunddiensten.

  • Reduzierung der SSO-Cookiegröße mit dynamischer Gruppen-SID-Hydration. Damit lässt sich die Cookiegröße besser festlegen und das Aufblähen wird reduziert, wenn ein Benutzer vielen Sicherheitsgruppen angehört.

  • Zugriff auf Ansprüche, die in Benutzerzertifikaten codiert sind, wenn die Zertifikatauthentifizierung verwendet wird. Dies kann Administratoren helfen, den Zugriff auf Grundlage der Art des verwendeten Zertifikats zu differenzieren.

  • Konsistente Clientanforderungs-ID, die zur leichteren Problembehandlung in allen Ereignisprotokollen und Ablaufverfolgungen protokolliert ist.

  • Zusätzliche Anforderungsansprüche, z. B. IP-Adressen, Endpunktadressen oder Benutzer-Agenten, die als Basis von Richtlinienentscheidungen verwendet werden können.

  • Benachrichtigung über abgelaufene Kennwörter als Ansprüche, die ein Administrator konfigurieren kann, um sie an Downstreamanwendungen zu senden, um Benutzer zu benachrichtigen, wenn ihr Kennwort bald abläuft.

Für Windows Server 2012 umfasst die AD FS-Serverrolle die gleiche Menge an Funktionalität und Features, die in AD FS 2.0 verfügbar ist. Sie schließt außerdem die folgende Liste neuer Funktionalität ein, die in AD FS 2.0 nicht verfügbar war:

  • Verbesserte Installationsführung mithilfe des Server-Managers – Bei AD FS 2.0 mussten Sie die Software von AD FS 2.0 herunterladen und installieren, um die AD FS-Serverinfrastruktur bereitzustellen. In Windows Server 2012 installieren Sie die AD FS-Serverrolle jedoch mithilfe des Server-Managers. Der Server-Manager stellt einen verbesserten AD FS-Konfigurations-Assistenten zur Verfügung, der Serverüberprüfungen vornimmt, bevor Sie mit der Installation der AD FS-Serverrolle fortfahren. Außerdem werden alle Dienste, auf die AD FS angewiesen ist, während der Installation der AD FS-Serverrolle automatisch aufgelistet und installiert.

  • Zusätzliche Windows PowerShell-Cmdlet-Tools – Zusätzlich zu den Windows PowerShell-basierten Verwaltungsfunktionen, die in AD FS 2.0 verfügbar sind, umfasst AD FS in Windows Server 2012 und Windows Server® 2012 R2 neue Cmdlets zum Installieren der AD FS-Serverrolle und für die Erstkonfiguration des Verbundservers und des Verbundserverproxys.

Anzeigen: