Wann sollte ein Verbundserverproxy erstellt werden?
Durch das Erstellen eines Verbundserverproxys in Ihrer Organisation werden Ihrer Active Directory-Verbunddienste (AD FS) -Bereitstellung zusätzliche Sicherheitsebenen hinzugefügt. Erwägen Sie die Bereitstellung eines Verbundserverproxys im Umkreisnetzwerk Ihrer Organisation, wenn Sie Folgendes erzielen möchten:
Verhindern, dass externe Clientcomputer direkten Zugriff auf Ihre Verbundserver haben. Durch Bereitstellen eines Verbundserverproxys in Ihrem Umkreisnetzwerk isolieren Sie effektiv Ihre Verbundserver, sodass nur Clientcomputer auf sie zugreifen können, die über Verbundserverproxys bei dem Unternehmensnetzwerk angemeldet sind, die im Auftrag der externen Clientcomputer für diese agieren. Verbundserverproxys können nicht auf die privaten Schlüssel zugreifen, die verwendet werden, um Token zu erzeugen. Weitere Informationen hierzu finden Sie unter Where to Place a Federation Server Proxy (Platzieren eines Verbundserverproxys).
Eine komfortable Möglichkeit bieten, mithilfe der integrierten Windows-Authentifizierung Benutzern, die aus dem Internet kommen, eine andere Anmeldeumgebung zur Verfügung zu stellen, als Benutzern, die aus Ihrem Unternehmensnetzwerk kommen. Ein Verbundserverproxy sammelt Anmeldeinformationen oder Startbereichsdetails von Internetclientcomputern mittels der Seiten für Anmeldung, Abmeldung und Identitätsanbieterermittlung (homerealmdiscovery.aspx), die auf dem Verbundserverproxy gespeichert sind.
Die Anmeldeumgebung von Clientcomputern, die aus dem Unternehmensnetzwerk kommen, ist basierend auf der Konfiguration des Verbundservers unterschiedlich. Der Verbundserver des Unternehmensnetzwerks ist häufig für die integrierte Windows-Authentifizierung konfiguriert, die eine nahtlose Anmeldeumgebung für Benutzer aus dem Unternehmensnetzwerk bietet.
Die Rolle, die ein Verbundserverproxy in Ihrer Organisation spielt, hängt davon ab, ob Sie den Verbundserverproxy in der Kontopartnerorganisation oder in der Ressourcenpartnerorganisation platzieren. Wenn ein Verbundserverproxy z. B. im Umkreisnetzwerk des Kontopartners platziert wird, besteht seine Rolle darin, die Benutzeranmeldeinformationen von Browserclients zu erfassen. Wenn ein Verbundserverproxy im Umkreisnetzwerk des Ressourcenpartners platziert wird, leitet er Sicherheitstokenanforderungen an einen Ressourcenverbundserver und erzeugt organisatorische Sicherheitstoken in Reaktion auf die Sicherheitstoken, die von den Kontopartnern bereitgestellt werden.
Weitere Informationen finden Sie unter Review the Role of the Federation Server Proxy in the Account Partner und Review the Role of the Federation Server Proxy in the Resource Partner.
Erstellen eines Verbundserverproxys
Sie können einen Verbundserverproxy mithilfe des Assistenten für die Konfiguration eines AD FS-Verbundserverproxys oder des Befehlszeilentools „Fsconfig.exe“ erstellen. Anleitungen hierzu finden Sie unter Configure a Computer for the Federation Server Proxy Role.
Allgemeine Informationen zum Einrichten der Voraussetzungen zum Bereitstellen eines Verbundserverproxys finden Sie unter Checklist: Setting Up a Federation Server Proxy.