Erstellen einer Vertrauensstellung der vertrauenden SeiteCreate a Relying Party Trust

Gilt für: Windows Server 2016, Windows Server2012 R2Applies To: Windows Server 2016, Windows Server 2012 R2

Das folgende Dokument enthält Informationen zu eine Vertrauensstellung der vertrauenden Seite manuell erstellen und mithilfe von Verbundmetadaten.The following document provides information on creating a relying party trust manually and using federation metadata.

Erstellen einer Ansprüche kennen der vertrauenden Seite Vertrauensstellung manuellTo create a claims aware Relying Party Trust manually

Um eine neue Vertrauensstellung einer vertrauenden Seite mithilfe von AD FS-Verwaltungs-Snap-In hinzufügen und die Einstellungen manuell konfigurieren, führen Sie das folgende Verfahren auf einem Verbundserver.To add a new relying party trust by using the AD FS Management snap-in and manually configure the settings, perform the following procedure on a federation server.

Mitgliedschaft in Administratoren, oder eine entsprechende Berechtigung auf dem lokalen Computer mindestens erforderlich, um dieses Verfahren ausführen.Membership in Administrators, or equivalent, on the local computer is the minimum required to complete this procedure. Weitere Informationen zur Verwendung der entsprechenden Konten und Gruppenmitgliedschaften unter lokale und Domänenstandardgruppen.Review details about using the appropriate accounts and group memberships at Local and Domain Default Groups.

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie dann AD FS-Verwaltungs.In Server Manager, click Tools, and then select AD FS Management.

  2. Klicken Sie unter Aktionen, klicken Sie auf Party Vertrauensstellung der vertrauenden Seite hinzufügen.Under Actions, click Add Relying Party Trust.
    Vertrauende Seite

  3. Auf der Willkommen Seite Claims-aware, und klicken Sie auf starten.On the Welcome page, choose Claims aware and click Start.
    Vertrauende Seite

  4. Auf der Auswählen einer Datenquelle auf Daten über die vertrauende Seite manuell eingeben, und klicken Sie dann auf Weiter.On the Select Data Source page, click Enter data about the relying party manually, and then click Next.
    Vertrauende Seite

  5. Auf der Anzeigename angeben Geben Sie einen Namen in Anzeigenamenunter Notizen Geben Sie eine Beschreibung für diese Vertrauensstellung der vertrauenden Seite, und klicken Sie dann auf Weiter.On the Specify Display Name page, type a name in Display name, under Notes type a description for this relying party trust, and then click Next.
    Vertrauende Seite

  6. Auf der Konfigurieren eines Zertifikats besitzen Sie ein optionales Token Verschlüsselungszertifikat, klicken Sie auf Seite Durchsuchen eine Datei suchen, und klicken Sie auf Weiter.On the Configure Certificate page, if you have an optional token encryption certificate, click Browse to locate a certificate file, and then click Next.
    Vertrauende Seite

  7. Auf der URL konfigurieren Seite, führen Sie eine oder beide der folgenden, klicken Sie auf Weiter, und fahren Sie mit Schritt8:On the Configure URL page, do one or both of the following, click Next, and then go to step 8:

    • Wählen Sie die Unterstützung für die WS-verbundprotokoll aktivieren Kontrollkästchen.Select the Enable support for the WS-Federation Passive protocol check box. Klicken Sie unter passiven WS-Federation-Protokoll-URL von der vertrauenden Seite Party, geben Sie die URL für diese Vertrauensstellung der vertrauenden Seite, und klicken Sie dann auf Weiter.Under Relying party WS-Federation Passive protocol URL, type the URL for this relying party trust, and then click Next.

    • Wählen Sie die Aktivieren der Unterstützung für das SAML 2.0 WebSSO-Protokoll Kontrollkästchen.Select the Enable support for the SAML 2.0 WebSSO protocol check box. Klicken Sie unter der vertrauenden Seite Party SAML 2.0-SSO-Dienst-URL, geben Sie die Security Assertion Markup Language (SAML) Service-Endpunkt-URL für diese Vertrauensstellung der vertrauenden Seite, und klicken Sie dann auf Weiter.Under Relying party SAML 2.0 SSO service URL, type the Security Assertion Markup Language (SAML) service endpoint URL for this relying party trust, and then click Next.
      Vertrauende Seite

  8. Auf der Konfigurieren von Bezeichnern Seite, geben Sie einen oder mehrere Bezeichner für diese vertrauende, klicken Sie auf hinzufügen, fügen sie Sie der Liste, und klicken Sie dann auf Weiter.On the Configure Identifiers page, specify one or more identifiers for this relying party, click Add to add them to the list, and then click Next.
    Vertrauende Seite

  9. Auf der Zugriffssteuerungsrichtlinie wählen wählen Sie eine Richtlinie, und klicken Sie auf Weiter.On the Choose Access Control Policy select a policy and click Next. Weitere Informationen zu Zugriffsrichtlinien, finden Sie unter Zugriffssteuerungsrichtlinien in AD FS.For more information about Access Control Policies, see Access Control Policies in AD FS. Vertrauende Seite

  10. Auf der bereit zum Hinzufügen der Vertrauensstellung Seite, überprüfen Sie die Einstellungen, und klicken Sie dann auf Weiter zum Speichern der vertrauenden Informationen vertrauen.On the Ready to Add Trust page, review the settings, and then click Next to save your relying party trust information.
    Vertrauende Seite

  11. Auf der Fertig stellen auf schließen.On the Finish page, click Close. Diese Aktion zeigt automatisch die Anspruchsregeln bearbeiten Dialogfeld.This action automatically displays the Edit Claim Rules dialog box.
    Vertrauende Seite

Zum Erstellen einer Ansprüche kennen der vertrauenden Seite Vertrauensstellung mithilfe von VerbundmetadatenTo create a claims aware Relying Party Trust using federation metadata

Führen Sie das folgende Verfahren auf einem Verbundserver in der Kontopartnerorganisation, zum Hinzufügen einer neuen Vertrauensstellung einer vertrauenden Seite, mit der AD FS-Verwaltungs-Snap-In Automatisches Importieren von Konfigurationsdaten zum Partner aus Verbundmetadaten, die der Partner in einem lokalen Netzwerk oder im Internet veröffentlicht.To add a new relying party trust, using the AD FS Management snap-in, by automatically importing configuration data about the partner from federation metadata that the partner published to a local network or to the Internet, perform the following procedure on a federation server in the account partner organization.

Hinweis

Wenn sie lange gängige Praxis, Zertifikate mit nicht qualifizierten Hostnamen wie https://myserver verwendet wurde, wird diese Zertifikate haben keinen Sicherheitswert und können einem Angreifer ermöglichen, einen Verbunddienst zu imitieren, der Verbundmetadaten veröffentlicht.Though it has long been common practice to use certificates with unqualified host names such as https://myserver, these certificates have no security value and can enable an attacker to impersonate a Federation Service that is publishing federation metadata. Aus diesem Grund sollten beim Abfragen von Verbundmetadaten Sie nur einen vollqualifizierten Domänennamen wie https://myserver.contoso.com verwenden.Therefore, when querying federation metadata, you should only use a fully qualified domain name such as https://myserver.contoso.com.

Mitgliedschaft in Administratoren, oder eine entsprechende Berechtigung auf dem lokalen Computer mindestens erforderlich, um dieses Verfahren ausführen.Membership in Administrators, or equivalent, on the local computer is the minimum required to complete this procedure. Weitere Informationen zur Verwendung der entsprechenden Konten und Gruppenmitgliedschaften unter lokale und Domänenstandardgruppen.Review details about using the appropriate accounts and group memberships at Local and Domain Default Groups.

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie dann AD FS-Verwaltungs.In Server Manager, click Tools, and then select AD FS Management.

  2. Klicken Sie unter Aktionen, klicken Sie auf Party Vertrauensstellung der vertrauenden Seite hinzufügen.Under Actions, click Add Relying Party Trust.
    Vertrauende Seite

  3. Auf der Willkommen Seite Claims-aware, und klicken Sie auf starten.On the Welcome page, choose Claims aware and click Start.
    Vertrauende Seite

  4. Auf der Auswählen einer Datenquelle auf *online oder in einem lokalen Netzwerk veröffentlichte Daten über die vertrauende Seite importieren.On the Select Data Source page, click *Import data about the relying party published online or on a local network. In Verbundmetadaten-Adresse (Hostname oder URL), geben Sie die Metadaten-URL oder den Hostnamen des Verbunddiensts für den Partner, und klicken Sie dann auf Weiter.In Federation metadata address (host name or URL), type the federation metadata URL or host name for the partner, and then click Next.
    Vertrauende Seite

  5. Geben Sie auf der Seite Anzeigename angeben einen Namen in Anzeigenamenunter Anmerkungen eine Beschreibung für diese Vertrauensstellung der vertrauenden Seite, und klicken Sie dann auf Weiter.On the Specify Display Name page type a name in Display name, under Notes type a description for this relying party trust, and then click Next.

  6. Wählen Sie auf der Seite auswählen von Ausstellungsautorisierungsregeln entweder allen Benutzern Zugriff auf diese vertrauende oder allen Benutzern den Zugriff auf diese vertrauende Seite verweigert, und klicken Sie dann auf Weiter.On the Choose Issuance Authorization Rules page, select either Permit all users to access this relying party or Deny all users access to this relying party, and then click Next.

  7. Klicken Sie auf der Seite bereit zum Hinzufügen der Vertrauensstellung, überprüfen Sie die Einstellungen, und klicken Sie dann auf Weiter zum Speichern der vertrauenden Informationen vertrauen.On the Ready to Add Trust page, review the settings, and then click Next to save your relying party trust information.

  8. Klicken Sie auf der Seite zum Fertigstellen auf schließen.On the Finish page, click Close. Diese Aktion zeigt automatisch das Dialogfeld "Anspruchsregeln bearbeiten".This action automatically displays the Edit Claim Rules dialog box. Weitere Informationen zum Hinzufügen von Anspruchsregeln für diese Vertrauensstellung der vertrauenden Seite finden Sie weiteren Referenzen.For more information about how to proceed with adding claim rules for this relying party trust, see the Additional references.

Siehe auchSee Also

AD FS-VorgängeAD FS Operations