Erstellen einer Vertrauensstellung der vertrauenden Seite
Im folgenden Dokument finden Sie Informationen zum manuellen Erstellen einer vertrauenden Seite und der Verwendung von Verbundmetadaten.
So erstellen Sie manuell eine Ansprüche unterstützende Vertrauensstellung der vertrauenden Seite
Um eine neue Vertrauensstellung der vertrauenden Seite mithilfe des AD FS-Verwaltungs-Snap-Ins hinzuzufügen und die Einstellungen manuell zu konfigurieren, führen Sie das folgende Verfahren auf einem Verbundserver aus.
Zum Ausführen dieses Verfahrens ist mindestens die Mitgliedschaft in der Gruppe Administratoren oder eine gleichwertige Berechtigung auf dem lokalen Computer erforderlich. Informationen zu den entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen.
Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.
Klicken Sie unter Aktionen auf Vertrauensstellung der vertrauenden Seite hinzufügen.
Wählen Sie auf der Willkommen-Seite Ansprüche unterstützend, und klicken Sie auf Start.
Klicken Sie auf der Seite Datenquelle auswählen auf Daten über die vertrauende Seite manuell eingeben , und klicken Sie anschließend auf Weiter.
Geben Sie auf der Seite Anzeigename angeben einen Namen in Anzeigename ein, geben Sie unter Hinweise eine Beschreibung für diese Vertrauensstellung der vertrauenden Seite ein, und klicken Sie dann auf Weiter.
Falls Sie ein optionales Tokenverschlüsselungszertifikat haben, wählen Sie auf der Seite Zertifikat konfigurieren die Option Durchsuchen aus, um Ihre Zertifikatdatei zu suchen, und wählen Sie dann Weiter aus.
Führen Sie auf der Seite URL konfigurieren eine oder beide der folgenden Aktionen aus, klicken Sie auf Weiter, und fahren Sie dann mit Schritt 8 fort:
Aktivieren Sie das Kontrollkästchen Unterstützung für das passive WS-Verbundprotokoll aktivieren. Geben Sie unter URL des passiven WS-Verbundprotokolls der vertrauenden Seite die URL für diese Vertrauensstellung der vertrauenden Seite ein, und klicken Sie dann auf Weiter.
Aktivieren Sie das Kontrollkästchen Unterstützung für das SAML 2.0 WebSSO-Protokoll aktivieren. Geben Sie unter URL des SAML 2.0-Diensts für einmaliges Anmelden der vertrauenden Seite: die Security Assertion Markup Language-Dienstendpunkt-URL (SAML) für diese Vertrauensstellung der vertrauenden Seite ein, und klicken Sie dann auf Weiter.
Geben Sie auf der Seite Konfigurieren von Bezeichnern einen oder mehrere Bezeichner für diese vertrauende Seite an, klicken Sie auf Hinzufügen, um diese der Liste hinzufügen, und klicken Sie dann auf Weiter.
Wählen Sie auf der Seite Zugriffssteuerungsrichtlinie auswählen eine Richtlinie aus, und klicken Sie auf Weiter. Weitere Informationen zu Richtlinien für die Zugriffssteuerung finden Sie unter Richtlinien für die Zugriffssteuerung in AD FS.
Überprüfen Sie auf der Seite Bereit zum Hinzufügen der Vertrauensstellung die Einstellungen, und klicken Sie dann auf Weiter, um die Informationen zur Vertrauensstellung der vertrauenden Seite zu speichern.
Klicken Sie auf der Seite Fertig stellen auf Schließen. Dadurch wird automatisch das Dialogfeld Anspruchsregeln bearbeiten angezeigt.
Erstellen einer Ansprüche unterstützenden Vertrauensstellung der vertrauenden Seite mithilfe von Verbundmetadaten
Führen Sie das folgende Verfahren auf einem Verbundserver in der Kontopartnerorganisation aus, um unter Verwendung des AD FS-Verwaltungs-Snap-Ins eine neue Vertrauensstellung für vertrauende Seiten hinzuzufügen, indem Sie automatisch Konfigurationsdaten über den Partner aus Verbundmetadaten importieren, die der Partner in einem lokalen Netzwerk oder im Internet veröffentlicht hat.
Hinweis
Zwar ist es seit langem gängige Praxis, Zertifikate mit nicht qualifizierten Hostnamen wie https://myserver zu verwenden, aber diese Zertifikate haben keinen Sicherheitswert und können einem Angreifer ermöglichen, einen Verbunddienst zu imitieren, der Verbundmetadaten veröffentlicht. Daher sollten Sie zum Abfragen von Verbundmetadaten nur einen vollqualifizierten Domänennamen wie https://myserver.contoso.com verwenden.
Zum Ausführen dieses Verfahrens ist mindestens die Mitgliedschaft in der Gruppe Administratoren oder eine gleichwertige Berechtigung auf dem lokalen Computer erforderlich. Informationen zu den entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen.
Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.
Klicken Sie unter Aktionen auf Vertrauensstellung der vertrauenden Seite hinzufügen.
Wählen Sie auf der Willkommen-Seite Ansprüche unterstützend, und klicken Sie auf Start.
Klicken Sie auf der Seite Datenquelle auswählen auf Online oder in einem lokalen Netzwerk veröffentlichte Daten über die vertrauende Seite importieren. Geben Sie im Feld Verbundmetadaten-Adresse (Hostname oder URL) die Verbundmetadaten-URL oder den Hostnamen für den Partner ein, und klicken Sie dann auf Weiter.
Geben Sie auf der Seite Anzeigename angeben einen Namen unter Anzeigename und unter Anmerkungen eine Beschreibung für diese Vertrauensstellung der vertrauenden Seite ein, und klicken Sie dann auf Weiter.
Wählen Sie auf der Seite Auswählen von Ausstellungsautorisierungsregeln entweder Allen Benutzern Zugriff auf diese vertrauende Seite gewähren oder Allen Benutzern Zugriff auf diese vertrauende Seite verweigern, und klicken Sie dann auf Weiter.
Überprüfen Sie auf der Seite Bereit zum Hinzufügen der Vertrauensstellung die Einstellungen, und klicken Sie dann auf Weiter, um die Informationen zur Vertrauensstellung der vertrauenden Seite zu speichern.
Klicken Sie auf der Seite Fertig stellen auf Schließen. Dadurch wird automatisch das Dialogfeld Anspruchsregeln bearbeiten angezeigt. Weitere Informationen zum Hinzufügen von Anspruchsregeln für diese Vertrauensstellung für die vertrauende Seite finden Sie unter „Weitere Referenzen“.