Erstellen einer Vertrauensstellung der vertrauenden Seite

  • Artikel

Im folgenden Dokument finden Sie Informationen zum manuellen Erstellen einer vertrauenden Seite und der Verwendung von Verbundmetadaten.

So erstellen Sie manuell eine Ansprüche unterstützende Vertrauensstellung der vertrauenden Seite

Um eine neue Vertrauensstellung der vertrauenden Seite mithilfe des AD FS-Verwaltungs-Snap-Ins hinzuzufügen und die Einstellungen manuell zu konfigurieren, führen Sie das folgende Verfahren auf einem Verbundserver aus.

Zum Ausführen dieses Verfahrens ist mindestens die Mitgliedschaft in der Gruppe Administratoren oder eine gleichwertige Berechtigung auf dem lokalen Computer erforderlich. Informationen zu den entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen.

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie unter Aktionen auf Vertrauensstellung der vertrauenden Seite hinzufügen.

    Screenshot of the AD FS dialog box with the Add Relying Party Trust option in the Actions pane called out.

  3. Wählen Sie auf der Willkommen-Seite Ansprüche unterstützend, und klicken Sie auf Start.

    Screenshot of the Welcome page of the Add Relying Party Trust Wizard showing the Claims aware option selected.

  4. Klicken Sie auf der Seite Datenquelle auswählen auf Daten über die vertrauende Seite manuell eingeben , und klicken Sie anschließend auf Weiter.

    Screenshot of the Select Data Source page of the Add Relying Party Trust Wizard showing the Enter data about the relying party manually option selected.

  5. Geben Sie auf der Seite Anzeigename angeben einen Namen in Anzeigename ein, geben Sie unter Hinweise eine Beschreibung für diese Vertrauensstellung der vertrauenden Seite ein, und klicken Sie dann auf Weiter.

    Screenshot of the Specify Display Name page of the Add Relying Party Trust Wizard.

  6. Falls Sie ein optionales Tokenverschlüsselungszertifikat haben, wählen Sie auf der Seite Zertifikat konfigurieren die Option Durchsuchen aus, um Ihre Zertifikatdatei zu suchen, und wählen Sie dann Weiter aus.

    Screenshot of the Configure Certificate page of the Add Relying Party Trust Wizard showing the Browse button called out.

  7. Führen Sie auf der Seite URL konfigurieren eine oder beide der folgenden Aktionen aus, klicken Sie auf Weiter, und fahren Sie dann mit Schritt 8 fort:

    • Aktivieren Sie das Kontrollkästchen Unterstützung für das passive WS-Verbundprotokoll aktivieren. Geben Sie unter URL des passiven WS-Verbundprotokolls der vertrauenden Seite die URL für diese Vertrauensstellung der vertrauenden Seite ein, und klicken Sie dann auf Weiter.

    • Aktivieren Sie das Kontrollkästchen Unterstützung für das SAML 2.0 WebSSO-Protokoll aktivieren. Geben Sie unter URL des SAML 2.0-Diensts für einmaliges Anmelden der vertrauenden Seite: die Security Assertion Markup Language-Dienstendpunkt-URL (SAML) für diese Vertrauensstellung der vertrauenden Seite ein, und klicken Sie dann auf Weiter.

    Screenshot of the Configure Certificate page of the Add Relying Party Trust Wizard showing the configuration explained above.

  8. Geben Sie auf der Seite Konfigurieren von Bezeichnern einen oder mehrere Bezeichner für diese vertrauende Seite an, klicken Sie auf Hinzufügen, um diese der Liste hinzufügen, und klicken Sie dann auf Weiter.

    Screenshot of the Configure Identifiers page of the Add Relying Party Trust Wizard showing identifiers added to the Relying party trust identifiers section.

  9. Wählen Sie auf der Seite Zugriffssteuerungsrichtlinie auswählen eine Richtlinie aus, und klicken Sie auf Weiter. Weitere Informationen zu Richtlinien für die Zugriffssteuerung finden Sie unter Richtlinien für die Zugriffssteuerung in AD FS.

    Screenshot of the Choose Access Control Policy page of the Add Relying Party Trust Wizard showing the Permit everyone and require MFA option highlighted.

  10. Überprüfen Sie auf der Seite Bereit zum Hinzufügen der Vertrauensstellung die Einstellungen, und klicken Sie dann auf Weiter, um die Informationen zur Vertrauensstellung der vertrauenden Seite zu speichern.

    Screenshot of the Ready to Add Trust page of the Add Relying Party Trust Wizard.

  11. Klicken Sie auf der Seite Fertig stellen auf Schließen. Dadurch wird automatisch das Dialogfeld Anspruchsregeln bearbeiten angezeigt.

    Screenshot of the Finish page of the Add Relying Party Trust Wizard.

Erstellen einer Ansprüche unterstützenden Vertrauensstellung der vertrauenden Seite mithilfe von Verbundmetadaten

Führen Sie das folgende Verfahren auf einem Verbundserver in der Kontopartnerorganisation aus, um unter Verwendung des AD FS-Verwaltungs-Snap-Ins eine neue Vertrauensstellung für vertrauende Seiten hinzuzufügen, indem Sie automatisch Konfigurationsdaten über den Partner aus Verbundmetadaten importieren, die der Partner in einem lokalen Netzwerk oder im Internet veröffentlicht hat.

Hinweis

Zwar ist es seit langem gängige Praxis, Zertifikate mit nicht qualifizierten Hostnamen wie https://myserver zu verwenden, aber diese Zertifikate haben keinen Sicherheitswert und können einem Angreifer ermöglichen, einen Verbunddienst zu imitieren, der Verbundmetadaten veröffentlicht. Daher sollten Sie zum Abfragen von Verbundmetadaten nur einen vollqualifizierten Domänennamen wie https://myserver.contoso.com verwenden.

Zum Ausführen dieses Verfahrens ist mindestens die Mitgliedschaft in der Gruppe Administratoren oder eine gleichwertige Berechtigung auf dem lokalen Computer erforderlich. Informationen zu den entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen.

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie unter Aktionen auf Vertrauensstellung der vertrauenden Seite hinzufügen.

    Another screenshot of the AD FS dialog box with the Add Relying Party Trust option in the Actions pane called out.

  3. Wählen Sie auf der Willkommen-Seite Ansprüche unterstützend, und klicken Sie auf Start.

    Another screenshot of the Welcome page of the Add Relying Party Trust Wizard showing the Claims aware option selected.

  4. Klicken Sie auf der Seite Datenquelle auswählen auf Online oder in einem lokalen Netzwerk veröffentlichte Daten über die vertrauende Seite importieren. Geben Sie im Feld Verbundmetadaten-Adresse (Hostname oder URL) die Verbundmetadaten-URL oder den Hostnamen für den Partner ein, und klicken Sie dann auf Weiter.

    Screenshot of the Select Data Source page of the Add Relying Party Trust Wizard showing the Import data about the relying party published online or on a local network option selected.

  5. Geben Sie auf der Seite Anzeigename angeben einen Namen unter Anzeigename und unter Anmerkungen eine Beschreibung für diese Vertrauensstellung der vertrauenden Seite ein, und klicken Sie dann auf Weiter.

  6. Wählen Sie auf der Seite Auswählen von Ausstellungsautorisierungsregeln entweder Allen Benutzern Zugriff auf diese vertrauende Seite gewähren oder Allen Benutzern Zugriff auf diese vertrauende Seite verweigern, und klicken Sie dann auf Weiter.

  7. Überprüfen Sie auf der Seite Bereit zum Hinzufügen der Vertrauensstellung die Einstellungen, und klicken Sie dann auf Weiter, um die Informationen zur Vertrauensstellung der vertrauenden Seite zu speichern.

  8. Klicken Sie auf der Seite Fertig stellen auf Schließen. Dadurch wird automatisch das Dialogfeld Anspruchsregeln bearbeiten angezeigt. Weitere Informationen zum Hinzufügen von Anspruchsregeln für diese Vertrauensstellung für die vertrauende Seite finden Sie unter „Weitere Referenzen“.

Weitere Informationen

AD FS-Vorgänge