TechNet
Exportieren (0) Drucken
Alle erweitern
Dieser Artikel wurde maschinell übersetzt. Wenn Sie die englische Version des Artikels anzeigen möchten, aktivieren Sie das Kontrollkästchen Englisch. Sie können den englischen Text auch in einem Popupfenster anzeigen, indem Sie den Mauszeiger über den Text bewegen.
Übersetzung
Englisch

Mithilfe von AD DS mit AD FS-Ansprüche

 

Betrifft: Windows Server 2012

All_Symbols_Cloud

Wussten Sie, dass Microsoft Azure bietet eine ähnliche Funktionalität in die Cloud? Erfahren Sie mehr zu Microsoft Azure-Identitätslösungen.

Erstellen Sie eine hybrididentitätslösung in Microsoft Azure:
- Zuweisen des Zugriffs für eine Gruppe auf eine SaaS-Anwendung.

Sie können umfangreichere Zugriffskontrolle für verbundanwendungen mithilfe von Active Directory-Domänendienste (AD DS)-Benutzer- und Geräteansprüche zusammen mit Active Directory Federation Services (AD FS) ausgegeben.

In Windows Server® 2012, die Dynamic Access Control-Funktion ermöglicht Organisationen gewähren den Zugriff auf Dateien, die basierend auf Benutzer (die Attribute des Benutzerkontos Eingabearchitektur sind) und Geräteansprüche (die Attribute von Computerkonten Eingabearchitektur sind), die von Active Directory-Domänendienste (AD DS) ausgegeben werden. AD DS ausgestellte Ansprüche sind integrierte Windows-Authentifizierung über das Kerberos-Authentifizierungsprotokoll integriert.

Weitere Informationen zu Dynamic Access Control, finden Sie unter Inhaltsroadmap die dynamische Zugriffssteuerung.

Als Erweiterung für das Dynamic Access Control-Szenario AD FS in Windows Server 2012 können jetzt:

  • Access-Konto Computerattribute neben Attribute des Benutzerkontos aus in AD DS. In früheren Versionen von AD FS konnte der Verbunddienst nicht Attribute von Computerkonten überhaupt aus AD DS zugreifen.

  • Nutzen Sie die AD DS-Benutzer oder Gerät Ansprüche ausgestellt, die in einem Kerberos-Authentifizierungsticket befinden. In früheren Versionen von AD FS anspruchsmoduls konnte der Benutzer lesen und Gruppe Sicherheits-IDs (SIDs) von Kerberos aber konnte nicht lesen Ansprüche in einem Kerberos-Ticket enthaltenen Informationen.

  • Transformieren Sie AD DS-Benutzer oder Geräteansprüche in SAML-Token, die Anwendung der vertrauenden Seite verwenden können, um umfangreichere Zugriffskontrolle auszuführen ausgestellt.

Diese AD DS-Ansprüche ausgestellt können Kerberos-Authentifizierungstickets eingefügt werden und mit AD FS verwendet, um die folgenden Vorteile bieten:

  • Organisationen, die benötigen umfassendere Zugriffsrichtlinien, können anspruchsbasierter Zugriff auf Anwendungen und Ressourcen mithilfe von AD DS-Ansprüche ausgestellt, die abhängig von den Attributwerten in AD DS für einen bestimmten Benutzer oder Computerkonto gespeichert. Dadurch können Administratoren erstellen und Verwalten von zugeordneten Mehraufwand zu reduzieren:

    • AD DS-Sicherheitsgruppen, die andernfalls zum Steuern des Zugriffs auf Anwendungen und Ressourcen, die über die integrierte Windows-Authentifizierung verwendet wird.

    • Gesamtstruktur-Vertrauensstellungen, die ansonsten verwendet würden, für die Steuerung des Zugriffs auf Business-to-Business (B2B) / Internet zugängliche Anwendungen und Ressourcen.

  • Unternehmen können jetzt verhindert unbefugten Zugriff auf Netzwerkressourcen von Clientcomputern, die basierend auf ein bestimmten Computer Konto Attributwert in AD DS (z. B. die DNS-Namen des Computers) gespeichert, ob übereinstimmt, der Zugriffssteuerungsrichtlinie der Ressource (z. B. einem Dateiserver, die durch eine ACL geschützt mit Ansprüchen wurde) oder die relying Party Richtlinie (z. B. eine Ansprüche unterstützende Webanwendung). Dadurch können Administratoren eine genauere Zugriffsrichtlinien für Ressourcen oder Anwendungen, die festlegen:

    • Zugriff nur über die integrierte Windows-Authentifizierung.

    • Internet über AD FS-Authentifizierungsmechanismen. AD FS kann verwendet werden, um Transformieren von AD DS ausgestellte Geräteansprüche in AD FS-Ansprüche in SAML-Token gekapselt werden können, die von einer Internetressource zugegriffen werden kann oder der RP-Anwendung genutzt werden können.

Es gibt zwei ausschlaggebenden Faktoren, die zum Verständnis von Ansprüchen, die aus AD DS Vs ausgegeben werden, wichtig sind. AD FS. Dazu zählen:

  • AD DS können nur Ansprüche auszugeben, die in Kerberos-Tickets nicht SAML-Token gekapselt sind. Weitere Informationen dazu, wie AD DS Ansprüche ausstellt, finden Sie unter Inhaltsroadmap die dynamische Zugriffssteuerung.

  • AD FS kann nur Ansprüche ausgeben, die im SAML-Token, nicht die Kerberos-Tickets gekapselt sind. Weitere Informationen dazu, wie AD FS Ansprüche ausstellt, finden Sie unter Rolle des Anspruchsmoduls.

AD DS ausgestellte Ansprüche können auf Benutzer- und Ansprüche direkt aus des Benutzers authentifizierungskontext, anstatt einen separaten LDAP-Aufruf von Active Directory mit AD FS verwendet werden. Die folgende Abbildung und die entsprechenden Schritte erläutert die Funktionsweise dieses Prozesses im Detail auf Ansprüchen basierende Zugriffskontrolle für das Szenario Dynamic Access Control aktivieren.

How AD DS Issued Claims Work with AD FS
  1. Ein AD DS-Administrator verwendet der Active Directory Administrative Center-Konsole oder PowerShell-Cmdlets ermöglicht bestimmter Anspruch Objekten in AD DS-Schema.

  2. Ein AD FS-Administrator verwendet die AD FS-Verwaltungskonsole erstellen und konfigurieren den Anspruchsanbieter und Vertrauensstellungen mit Pass-Through- oder Transformation vertrauenden Seite Anspruchsregeln.

  3. Ein Windows-Client versucht, auf das Netzwerk zugreifen. Als Teil der Kerberos-Authentifizierungsprozess enthalten die Client-zeigt die Benutzer und Computer Ticket-granting ticket (TGT) das durchführt, noch nicht Ansprüche an den Domänencontroller. Der Domänencontroller sucht in AD DS aktiviert Anspruchstypen und resultierende Ansprüche, die in der zurückgegebenen Kerberos-Ticket enthält.

  4. Wenn der Benutzer/Client versucht, eine Ressource zuzugreifen, die durch eine ACL geschützt, die Ansprüche erforderlich ist, können sie die Ressourcen zugreifen, da die Verbund-ID, die von Kerberos verfügbar gemacht wurde diese Ansprüche enthält.

  5. Wenn Sie der gleiche Client versucht, eine Website oder Anwendung zugreifen, die für die AD FS-Authentifizierung konfiguriert ist, wird der Benutzer an einen AD FS-Verbundserver umgeleitet, die für die integrierte Windows-Authentifizierung konfiguriert ist. Der Client sendet eine Anforderung an den Domänencontroller mit Kerberos. Der Domänencontroller gibt ein Kerberos-Ticket enthält angeforderten Ansprüche Dies kann der Client dann an den Verbundserver darstellen.

  6. Basierend auf der Art die Anspruchsregeln auf Anspruchsanbieter konfiguriert wurden, und der vertrauenden Seite Vertrauensstellungen, die zuvor konfigurierten Administrator AD FS die Ansprüche aus dem Kerberos-Ticket liest und sie in einem SAML-Token schließt, das für den Client ausgestellt.

  7. Der Client empfängt die richtigen Ansprüche mit SAML-Token und wird dann an die Website umgeleitet.

Weitere Informationen zum Erstellen der Anspruchsregeln für AD DS ausgestellte Ansprüche mit AD FS erforderlich sind, finden Sie unter Erstellen Sie eine Regel zum Transformieren eines eingehenden Anspruchs.

Anzeigen:
© 2016 Microsoft