Grundlegendes zu wichtigen AD FS-KonzeptenUnderstanding Key AD FS Concepts

Es wird empfohlen, dass Sie sich mit den wichtigen Konzepten für Active Directory-Verbunddienste (AD FS) vertraut machen und sich mit dem Funktions Satz vertraut machen.It is recommended that you learn about the important concepts for Active Directory Federation Services and become familiar with its feature set.

Tipp

Weitere Links zu AD FS 2.0-Ressourcen finden Sie im Microsoft TechNet-Wiki auf der Seite mit AD FS 2.0-Inhalten .You can find additional AD FS resource links at the AD FS Content Map page on the Microsoft TechNet Wiki. Diese Seite wird von Mitgliedern der AD FS-Community verwaltet und regelmäßig vom AD FS-Produktteam überprüft.This page is managed by members of the AD FS Community and is monitored on a regular basis by the AD FS Product Team.

AD FS-Terminologie in dieser AnleitungAD FS terminology used in this guide

AD FS-BegriffAD FS term DefinitionDefinition
KontopartnerorganisationAccount partner organization Eine Verbundpartnerorganisation, die durch eine Anspruchsanbieter-Vertrauensstellung im Verbunddienst dargestellt wird.A federation partner organization that is represented by a claims provider trust in the Federation Service. Die Konto Partnerorganisation enthält die Benutzer, die auf Web @ no__t-0basierte Anwendungen im Ressourcen Partner zugreifen.The account partner organization contains the users that will access Web-based applications in the resource partner.
KontoverbundserverAccount federation server Der Verbundserver in der Kontopartnerorganisation.The federation server in the account partner organization. Der Kontoverbundserver stellt Sicherheitstoken für Benutzer auf Basis der Benutzerauthentifizierung aus.The account federation server issues security tokens to users based on user authentication. Der Server authentifiziert den Benutzer, extrahiert die relevanten Attribute und Gruppen Mitgliedschafts Informationen aus dem Attribut Speicher, verpackt diese Informationen in Ansprüche und generiert und signiert ein Sicherheits Token (, das die zurück zugebende Ansprüche @ no__t-1 enthält. für den Benutzer – entweder zur Verwendung in der eigenen Organisation oder zum Senden an eine Partnerorganisation.The server authenticates the user, extracts the relevant attributes and group membership information out of the attribute store, packages this information into claims, and generates and signs a security token (which contains the claims) to return to the user—either to be used in its own organization or to be sent to a partner organization.
AD FS-KonfigurationsdatenbankAD FS configuration database Eine Datenbank zum Speichern sämtlicher Konfigurationsdaten, die eine einzelne AD FS-Instanz oder einen Verbunddienst darstellen.A database used to store all configuration data that represents a single AD FS instance or Federation Service. Diese Konfigurationsdaten können entweder in einer SQL Server Datenbank oder mithilfe der internen Windows-Datenbankfunktion in Windows Server 2016, Windows Server 2012 und 2012 R2 sowie Windows Server 2008 und 2008 R2 gespeichert werden.This configuration data can be stored in either a SQL Server database or using the Windows Internal Database feature included with Windows Server 2016, Windows Server 2012 and 2012 R2, and Windows Server 2008 and 2008 R2.
Sie können die AD FS Konfigurations Datenbank für SQL Server mithilfe des Befehls "fsconfig. exe" (@ no__t-0line-Tool) und für die interne Windows-Datenbank mit dem Assistenten zum Konfigurieren von AD FS Verbund Server erstellen.You can create the AD FS configuration database for SQL Server using the Fsconfig.exe command-line tool and for Windows Internal Database using the AD FS Federation Server Configuration Wizard.
AnspruchsanbieterClaims provider Die Organisation, die Ansprüche für ihre Benutzer bereitstellt.The organization that provides claims to its users. Siehe Kontopartnerorganisation.See account partner organization.
Anspruchsanbieter-VertrauensstellungClaims provider trust Im AD FS Management-Snap @ no__t-0in handelt es sich bei Anspruchs Anbieter-Vertrauens Stellungen um vertrauenswürdige Objekte, die in der Regel in Ressourcen Partnerorganisationen erstellt werden, um die Organisation in der Vertrauensstellung darzustellen, deren Konten auf Ressourcen im Ressourcen Partner zugreifen werden. Ordnung.In the AD FS Management snap-in, claims provider trusts are trust objects typically created in resource partner organizations to represent the organization in the trust relationship whose accounts will be accessing resources in the resource partner organization. Ein Anspruchsanbieter-Vertrauensstellungsobjekt besteht aus einer Auswahl von IDs, Namen und Regeln, die diesen Partner für den lokalen Verbunddienst identifizieren.A claims provider trust object consists of a variety of identifiers, names, and rules that identify this partner to the local Federation Service.
Vertrauensstellung mit lokalem AnspruchsanbieterLocal Claims Provider Trust Ein Trust-Objekt, das AD LDS oder Dritte @ no__t-0party LDAP @ no__t-1based-Verzeichnisse in einer AD FS Farm darstellt.A trust object that represents AD LDS or third-party LDAP-based directories in an AD FS farm. Ein lokales Anspruchs Anbieter-Vertrauensstellungs Objekt besteht aus einer Vielzahl von Bezeichnernamen, Namen und Regeln, die dieses LDAP @ no__t-0based-Verzeichnis für die lokale Verbunddienst identifizieren.A local claims provider trust object consists of a variety of identifiers, names, and rules that identify this LDAP-based directory to the local Federation Service.
VerbundmetadatenFederation metadata Das Datenformat für die Kommunikation von Konfigurationsinformationen zwischen einem Anspruchsanbieter und einer vertrauenden Seite, um die geeignete Konfiguration von Anspruchsanbieter-Vertrauensstellungen und von Vertrauensstellungen der vertrauenden Seite zu ermöglichen.The data format for communicating configuration information between a claims provider and a relying party to facilitate proper configuration of claims provider trusts and relying party trusts. Das Datenformat ist in Security Assertion Markup Language (saml @ no__t-1 2,0 definiert, und es wird in der Erweiterung WS @ no__t-2federation erweitert.The data format is defined in Security Assertion Markup Language (SAML) 2.0, and it is extended in WS-Federation.
VerbundserverFederation server Ein Windows-Server, der mithilfe des AD FS-Verbund Server-Konfigurations-Assistenten für die Verbund Server Rolle konfiguriert wurde.A Windows Server that has been configured using the AD FS Federation Server Configuration Wizard to act in the federation server role. Ein Verbundserver stellt Token aus und dient als Komponente eines Verbunddiensts.A federation server issues tokens and serves as part of a Federation Service.
VerbundserverproxyFederation server proxy Ein Windows-Server, der mithilfe des Konfigurations-Assistenten für den AD FS Verbund Server Proxy konfiguriert wurde, um als zwischengeschalteter Proxy Dienst zwischen einem Internet Client und einem Verbunddienst zu fungieren, der sich hinter einer Firewall in einem Unternehmensnetzwerk befindet.A Windows Server that has been configured using the AD FS Federation Server Proxy Configuration Wizard to act as an intermediary proxy service between an Internet client and a Federation Service that is located behind a firewall on a corporate network.
Primärer VerbundserverPrimary federation server Ein Windows-Server, der in der Verbund Server Rolle mithilfe des Konfigurations-Assistenten für den AD FS-Verbund Servers konfiguriert wurde und über eine Lese-/Schreib-Schreibkopie der AD FS Konfigurations Datenbank verfügt.A Windows Server that has been configured in the federation server role using the AD FS Federation Server Configuration Wizard and has a read/write copy of the AD FS configuration database.
Der primäre Verbund Server wird erstellt, wenn Sie den Konfigurations-Assistenten für den AD FS-Verbund Server verwenden und die Option zum Erstellen eines neuen Verbunddienst auswählen und diesen Computer zum ersten Verbund Server in der Farm machen.The primary federation server is created when you use the AD FS Federation Server Configuration Wizard and select the option to create a new Federation Service and make that computer the first federation server in the farm. Alle anderen Verbund Server in dieser Farm müssen Änderungen, die auf dem primären Verbund Server vorgenommen wurden, in eine schreibgeschützte @ no__t-0kopie der AD FS Konfigurations Datenbank replizieren, die lokal gespeichert wird.All other federation servers in this farm must replicate changes made on the primary federation server to a read-only copy of the AD FS configuration database that is stored locally. Der Begriff "primärer Verbundserver" trifft nicht zu, wenn die AD FS-Konfigurationsdatenbank in einer SQL-Datenbank gespeichert wird, da alle Verbundserver gleichermaßen aus einer Konfigurationsdatenbank lesen bzw. in diese schreiben können, die auf einem SQL Server gespeichert wird.The term “primary federation server” does not apply when the AD FS configuration database is stored in an SQL database as all federation servers can equally read and write to a configuration database stored on a SQL Server.
Vertrauende SeiteRelying party Die Organisation, die Ansprüche erhält und verarbeitet.The organization that receives and processes claims. Siehe Ressourcenpartnerorganisation.See resource partner organization.
Vertrauensstellung der vertrauenden SeiteRelying party trust Im AD FS Management-Snap @ no__t-0in sind Vertrauens Stellungen der vertrauenden Seite Vertrauens Objekte, die in der Regel in erstellt werden:In the AD FS Management snap-in, relying party trusts are trust objects typically created in:

-Konto Partnerorganisationen, um die Organisation in der Vertrauensstellung darzustellen, deren Konten auf Ressourcen in der Ressourcen Partnerorganisation zugreifen werden.- Account partner organizations to represent the organization in the trust relationship whose accounts will be accessing resources in the resource partner organization.
-Ressourcen Partnerorganisationen, die die Vertrauensstellung zwischen dem Verbunddienst und einer einzelnen Web @ no__t-basierten Anwendung darstellen.- Resource partner organizations to represent the trust between the Federation Service and a single web-based application.

Ein Vertrauensstellungs Objekt der vertrauenden Seite besteht aus einer Vielzahl von Bezeichnernamen, Namen und Regeln, die diesen Partner oder eine Web @ no__t-0-Anwendung für die lokale Verbunddienst identifizieren.A relying party trust object consists of a variety of identifiers, names, and rules that identify this partner or web-application to the local Federation Service.
RessourcenverbundserverResource federation server Der Verbundserver in der Ressourcenpartnerorganisation.The federation server in the resource partner organization. Der Ressourcenverbundserver stellt in der Regel Sicherheitstoken für Benutzer auf Basis eines Sicherheitstokens aus, das von einem Kontoverbundserver ausgestellt wurde.The resource federation server typically issues security tokens to users based on a security token that is issued by an account federation server. Der Server empfängt das Sicherheits Token, überprüft die Signatur und wendet die Anspruchs Regellogik auf die unverpackten Ansprüche an, um die gewünschten ausgehenden Ansprüche zu erzeugen, generiert ein neues Sicherheits Token (mit den ausgehenden Ansprüchen @ no__t-1, basierend auf den Informationen in der eingehenden -Sicherheits Token, und signiert das neue Token, um an den Benutzer und letztendlich an die Webanwendung zurückzukehren.The server receives the security token, verifies the signature, applies claim rule logic to the unpackaged claims to produce the desired outgoing claims, generates a new security token (with the outgoing claims) based on information in the incoming security token, and signs the new token to return to the user and ultimately to the Web application.
RessourcenpartnerorganisationResource partner organization Ein Verbundpartner, der durch die Vertrauensstellung einer vertrauenden Seite im Verbunddienst dargestellt wird.A federation partner that is represented by a relying party trust in the Federation Service. Der Ressourcen Partner gibt Ansprüche auf no__t basierende Sicherheits Token aus, die veröffentlichte Web @ no__t-1-basierte Anwendungen enthalten, auf die Benutzer des Konto Partners zugreifen können.The resource partner issues claims-based security tokens that contains published Web-based applications that users in the account partner can access.

Übersicht über AD FSOverview of AD FS

AD FS ist eine Identitäts Zugriffs Lösung, die Client Computern (internal oder extern für Ihr Netzwerk bereitstellt @ no__t-1 mit nahtlosem SSO-Zugriff auf geschützte Internet-no__t-Anwendungen oder-Dienste, auch wenn die Benutzerkonten und Anwendungen in ganz anderen Netzwerken oder Organisationen.AD FS is an identity access solution that provides client computers (internal or external to your network) with seamless SSO access to protected Internet-facing applications or services, even when the user accounts and applications are located in completely different networks or organizations.

Wenn sich eine Anwendung oder ein Dienst in einem Netzwerk und ein Benutzerkonto in einem anderen Netzwerk befindet, wird der Benutzer beim versuchten Zugriff auf die Anwendung oder den Dienst normalerweise zur Angabe sekundärer Anmeldeinformationen aufgefordert.When an application or service is in one network and a user account is in another network, typically the user is prompted for secondary credentials when he or she attempts to access the application or service. Diese sekundären Anmeldeinformationen stellen die Identität des Benutzers in dem Bereich dar, in dem sich die Anwendung oder der Dienst befindet.These secondary credentials represent the user's identity in the realm where the application or service resides. Sie sind in der Regel für den Webserver erforderlich, der die Anwendung oder den Dienst hostet, daher kann er die entsprechende Autorisierungsentscheidung treffen.They are usually required by the Web server that hosts the application or service so that it can make the most appropriate authorization decision.

Mit AD FS können Organisationen Anforderungen für sekundäre Anmelde Informationen umgehen, indem Sie Vertrauens Stellungen (federation Trusts @ no__t-1 bereitstellen, die diese Organisationen verwenden können, um die digitale Identität eines Benutzers und die Zugriffsrechte für vertrauenswürdige Partner zu projizieren.With AD FS, organizations can bypass requests for secondary credentials by providing trust relationships (federation trusts) that these organizations can use to project a user's digital identity and access rights to trusted partners. In dieser Verbundumgebung verwaltet jede Organisation weiterhin die eigenen Identitäten, aber die einzelnen Organisationen können auch Identitäten anderer Organisationen sicher planen und akzeptieren.In this federated environment, each organization continues to manage its own identities, but each organization can also securely project and accept identities from other organizations.