Wann sollte ein Verbundserver erstellt werden?

  • Artikel

Wenn Sie einen Verbundserver in Active Directory-Verbunddienste (AD FS) erstellen, stellen Sie eine Lösung bereit, mit der Ihre Organisation Folgendes erreichen kann:

  • Eine auf der einmaligen Webanmeldung (Single Sign-On, SSO) basierende Kommunikation mit einer anderen Organisation (die auch über mindestens einen Verbundserver verfügt) und ggf. mit den Mitarbeitern in Ihrer eigenen Organisation (erfordert Internetzugriff).

  • Aktivieren Sie die Front-End-Dienste, um Benutzer mithilfe von Identitätsdelegierung bei Infrastrukturdiensten anzumelden. Weitere Informationen finden Sie unter When to Use Identity Delegation.

In den folgenden Abschnitten werden einige der wichtigsten Kriterien der Entscheidungsfindung beschrieben, wann und wo Verbundserver erstellt werden sollten.

Bestimmen der Organisationsrollen für den Verbundserver

Damit Sie eine fundierte Entscheidung in Bezug auf die Erstellung eines neuen Verbundservers treffen können, müssen Sie zuerst ermitteln, in welcher Organisation sich der Server befinden soll. Die Rolle, die ein Verbundserver in einer Organisation spielt, hängt davon ab, ob Sie den Verbundserver in der Kontopartnerorganisation oder in der Ressourcenpartnerorganisation platzieren.

Wenn ein Verbundserver im Unternehmensnetzwerk des Kontopartners platziert wird, besteht seine Rolle darin, Benutzeranmeldeinformationen im Browser, im Webdienst oder in Identitätsauswahlclients zu authentifizieren und Sicherheitstoken an die Clients zu senden. Weitere Informationen finden Sie unter Review the Role of the Federation Server in the Account Partner.

Wenn ein Verbundserver im Unternehmensnetzwerk des Ressourcenpartners platziert wird, besteht seine Rolle darin, entweder Benutzer basierend auf einem von einem Verbundserver in der Ressourcenpartnerorganisation ausgestellten Sicherheitstoken zu authentifizieren oder Tokenanforderungen von konfigurierten Webanwendungen oder Webdiensten an die Kontopartnerorganisation des Clients umzuleiten. Weitere Informationen finden Sie unter Review the Role of the Federation Server in the Resource Partner.

Ermitteln des AD FS-Entwurfs für die Bereitstellung

Sie erstellen Verbundserver in Ihrer Organisation, wenn Sie einen der folgenden AD FS-Entwürfe bereitstellen möchten:

Falls erforderlich, kann eine Organisation, die einen Federated-Web-SSO-Entwurf bereitstellt, einen einzelnen Verbundserver konfigurieren, damit dieser in der Kontopartnerrolle und in der Ressourcenpartnerrolle fungiert. In diesem Fall kann der Verbundserver auf Grundlage der Benutzerkonten in der eigenen Organisation SAML-Token (Security Assertion Markup Language-Token) generieren oder Tokenanforderungen basierend auf dem Speicherort der Benutzerkonten an die Organisation weiterleiten.

Hinweis

Beim Federated-Web-SSO-Entwurf muss mindestens ein Verbundserver in der Kontopartnerorganisation und mindestens ein Verbundserver in der Ressourcenpartnerorganisation vorhanden sein.

Unterschiede zwischen einem Verbundserver und einem Verbundserverproxy

Ein Verbundserver kann Webseiten für Richtlinien sowie für die Anmeldung, Authentifizierung und Ermittlung auf die gleiche Weise bereitstellen wie ein Verbundserverproxy. Die primären Unterschiede zwischen einem Verbundserver und einem Verbundserverproxy bestehen in den Vorgängen, die ein Verbundserver im Gegensatz zu einem Verbundserverproxy ausführen kann.

Im Folgenden sind die Vorgänge aufgeführt, die nur ein Verbundserver ausführen kann:

  • Der Verbundserver führt die kryptografischen Vorgänge aus, die das Token generieren. Verbundserverproxys können zwar keine Token generieren, sie können aber verwendet werden, um die Token an Clients um- oder weiterzuleiten und bei Bedarf wieder an den Verbundserver zurückzusenden. Weitere Informationen zum Verwenden von Verbundservern finden Sie unter Kriterien für die Erstellung eines Verbundserverproxys.

  • Verbundserver unterstützen die Verwendung der integrierten Windows-Authentifizierung für Clients im Unternehmensnetzwerk. Verbundserverproxys tun das nicht. Weitere Informationen zum Verwenden der integrierten Windows-Authentifizierung mit Verbundservern finden Sie unter Kriterien für die Erstellung einer Verbundserverfarm.

Achtung

Die Integrität und Vertraulichkeit der Kommunikation zwischen Verbundservern und SQL Server-Konfigurationsdatenbanken, SQL Server-Attributspeichern, Domänencontrollern und AD LDS-Instanzen ist standardmäßig nicht geschützt. Um dieses Problem zu minimieren, sollten Sie den Kommunikationskanal zwischen diesen Servern mit IPsec oder mithilfe einer sicheren physischen Verbindung zwischen all diesen Servern schützen. Für die Kommunikation zwischen Verbundservern und SQL Server sollten Sie in Erwägung ziehen, SSL-Schutz in der Verbindungszeichenfolge zu verwenden. Für Verbindungen zwischen Verbundservern und Domänencontrollern sollten Sie Kerberos-Signaturen und -Verschlüsselung in Betracht ziehen. LDAP und LDAP/S werden für AD LDS/AD DS nicht unterstützt.

Wie wird ein Verbundserver erstellt?

Sie können einen Verbundserver mithilfe des Assistenten für die Konfiguration eines AD FS-Verbundservers oder mit dem Befehlszeilenprogramm „Fsconfig.exe“ erstellen. Wenn Sie eines dieser Tools verwenden, können Sie eine der folgenden Optionen zum Erstellen Ihres Verbundservers auswählen.

Ausführlichere Informationen zur Funktionsweise der einzelnen Optionen finden Sie unter The Role of the AD FS Configuration Database.

Weitere Informationen zum Einrichten der erforderlichen Komponenten zum Bereitstellen eines Verbundservers finden Sie unter Checklist: Setting Up a Federation Server.

Weitere Informationen

AD FS-Entwurfshandbuch in Windows Server 2012