Understanding Key AD FS Concepts

AD FS-Begriff Definition
Kontopartnerorganisation Eine Verbundpartnerorganisation, die durch eine Anspruchsanbieter-Vertrauensstellung im Verbunddienst dargestellt wird. Die Kontopartnerorganisation enthält die Benutzer, die auf webbasierte Anwendungen im Ressourcenpartner zugreifen.
Kontoverbundserver Der Verbundserver in der Kontopartnerorganisation. Der Kontoverbundserver stellt Sicherheitstoken für Benutzer auf Basis der Benutzerauthentifizierung aus. Der Server authentifiziert den Benutzer, extrahiert die relevanten Attribute und Informationen zur Gruppenmitgliedschaft aus dem Attributspeicher, packt diese Informationen in Ansprüche und generiert und signiert ein Sicherheitstoken (das die Ansprüche enthält), um an den Benutzer zurückzukehren, entweder zur Verwendung in seiner eigenen Organisation oder zum Senden an eine — Partnerorganisation.
AD FS-Konfigurationsdatenbank Eine Datenbank zum Speichern sämtlicher Konfigurationsdaten, die eine einzelne AD FS-Instanz oder einen Verbunddienst darstellen. Diese Konfigurationsdaten können entweder in einer SQL Server-Datenbank oder mithilfe des interne Windows-Datenbank-Features gespeichert werden, das in Windows Server 2016, Windows Server 2012 und 2012 R2 sowie Windows Server 2008 und 2008 R2 enthalten ist.

Sie können die AD FS-Konfigurationsdatenbank für SQL Server mithilfe des Fsconfig.exe-Befehlszeilentools und für interne Windows-Datenbank mithilfe des AD FS-Verbundserverkonfigurations-Assistenten erstellen.
Anspruchsanbieter Die Organisation, die Ansprüche für ihre Benutzer bereitstellt. Siehe Kontopartnerorganisation.
Anspruchsanbieter-Vertrauensstellung Im AD FS Management-Snap-In sind Anspruchsanbieter-Vertrauensstellungen Vertrauensobjekte, die in der Regel in Ressourcenpartnerorganisationen erstellt werden, um die Organisation in der Vertrauensstellung zu repräsentieren, deren Konten auf Ressourcen in der Ressourcenpartnerorganisation zugreifen. Ein Anspruchsanbieter-Vertrauensstellungsobjekt besteht aus einer Auswahl von IDs, Namen und Regeln, die diesen Partner für den lokalen Verbunddienst identifizieren.
Vertrauensstellung mit lokalem Anspruchsanbieter Ein Vertrauensstellungsobjekt, das AD LDS- oder LDAP-basierte Verzeichnisse von Drittanbietern in einer AD FS-Farm darstellt. Ein lokales Anspruchsanbieter-Vertrauensstellungsobjekt besteht aus einer Auswahl von IDs, Namen und Regeln, die dieses LDAP-basierte Verzeichnis für den lokalen Verbunddienst identifizieren.
Verbundmetadaten Das Datenformat für die Kommunikation von Konfigurationsinformationen zwischen einem Anspruchsanbieter und einer vertrauenden Seite, um die geeignete Konfiguration von Anspruchsanbieter-Vertrauensstellungen und von Vertrauensstellungen der vertrauenden Seite zu ermöglichen. Das Datenformat ist in SAML 2.0 (Security Assertion Markup Language) definiert und wird im WS-Verbund erweitert.
Verbundserver Ein Windows Server, der mithilfe des AD FS-Verbundserverkonfigurations-Assistenten konfiguriert wurde, um in der Verbundserverrolle zu agieren. Ein Verbundserver stellt Token aus und dient als Komponente eines Verbunddiensts.
Verbundserverproxy Ein Windows-Server, der mithilfe des Assistenten zum Konfigurieren des AD FS-Verbundserverproxys konfiguriert wurde, um als zwischengeschalteter Proxydienst zwischen einem Internetclient und einem Verbunddienst zu fungieren, der sich hinter einer Firewall in einem Unternehmensnetzwerk befindet.
Primärer Verbundserver Ein Windows-Server, der in der Verbundserverrolle mithilfe des AD FS-Verbundserverkonfigurations-Assistenten konfiguriert wurde und über eine Lese-/Schreibkopie der AD FS-Konfigurationsdatenbank verfügt.

Der primäre Verbundserver wird erstellt, wenn Sie den AD FS-Verbundserverkonfigurations-Assistenten verwenden und die Option zum Erstellen eines neuen Verbunddienst und zum ersten Verbundserver in der Farm auswählen. Alle anderen Verbundserver in dieser Farm müssen die am primären Verbundserver vorgenommenen Änderungen zu einer schreibgeschützten Kopie der AD FS-Konfigurationsdatenbank replizieren, die lokal gespeichert wird. Der Begriff "Primärer Verbundserver" gilt nicht, wenn die AD FS-Konfigurationsdatenbank in einer SQL-Datenbank gespeichert ist, da alle Verbundserver gleichermaßen eine Konfigurationsdatenbank lesen und in diese schreiben können, die auf einer SQL Server.
Vertrauende Seite Die Organisation, die Ansprüche erhält und verarbeitet. Siehe Ressourcenpartnerorganisation.
Vertrauensstellung der vertrauenden Seite Im AD FS-Snap-In "Verwaltung" sind Vertrauensstellungen der vertrauenden Partei Vertrauensobjekte, die in der Regel in folgenden Objekten erstellt werden:

– Kontopartnerorganisationen, um die Organisation in der Vertrauensstellung zu repräsentieren, deren Konten auf Ressourcen in der Ressourcenpartnerorganisation zugreifen.
– Ressourcenpartnerorganisationen, um die Vertrauensstellung zwischen dem Verbunddienst und einer einzelnen webbasierten Anwendung zu repräsentieren.

Ein Vertrauensstellungsobjekt der vertrauenden Seite besteht aus einer Auswahl von IDs, Namen und Regeln, die diesen Partner oder eine Webanwendung für den lokalen Verbunddienst identifizieren.

Ressourcenverbundserver Der Verbundserver in der Ressourcenpartnerorganisation. Der Ressourcenverbundserver stellt in der Regel Sicherheitstoken für Benutzer auf Basis eines Sicherheitstokens aus, das von einem Kontoverbundserver ausgestellt wurde. Der Server empfängt das Sicherheitstoken, überprüft die Signatur und wendet die Anspruchsregellogik auf die unverpackten Ansprüche an, um die gewünschten ausgehenden Ansprüche zu erzeugen. Dann wird ein neues Sicherheitstoken (mit den ausgehenden Ansprüchen) auf Basis der Informationen im eingehenden Sicherheitstoken generiert und das neue Token signiert, um es an den Benutzer und letztendlich an die Webanwendung zurückzusenden.
Ressourcenpartnerorganisation Ein Verbundpartner, der durch die Vertrauensstellung einer vertrauenden Seite im Verbunddienst dargestellt wird. Der Ressourcenpartner stellt anspruchsbasierte Sicherheitstoken aus, die veröffentlichte webbasierte Anwendungen enthalten, auf die Benutzer des Kontopartners zugreifen können.

Übersicht über AD FS

AD FS ist eine Identitätszugriffslösung, die Clientcomputern (intern oder extern in Ihrem Netzwerk) nahtlosen SSO-Zugriff auf geschützte Anwendungen oder Dienste mit Internetzugriff bietet, auch wenn sich die Benutzerkonten und Anwendungen in völlig anderen Netzwerken oder Organisationen befinden.

Wenn sich eine Anwendung oder ein Dienst in einem Netzwerk und ein Benutzerkonto in einem anderen Netzwerk befindet, wird der Benutzer beim versuchten Zugriff auf die Anwendung oder den Dienst normalerweise zur Angabe sekundärer Anmeldeinformationen aufgefordert. Diese sekundären Anmeldeinformationen stellen die Identität des Benutzers in dem Bereich dar, in dem sich die Anwendung oder der Dienst befindet. Sie sind in der Regel für den Webserver erforderlich, der die Anwendung oder den Dienst hostet, daher kann er die entsprechende Autorisierungsentscheidung treffen.

Mit AD FS können Organisationen Anforderungen für sekundäre Anmeldeinformationen umgehen, indem sie Vertrauensstellungen (Verbundvertrauensstellungen) bereitstellen, die diese Organisationen verwenden können, um die digitale Identität und die Zugriffsrechte eines Benutzers an vertrauenswürdige Partner zu senden. In dieser Verbundumgebung verwaltet jede Organisation weiterhin die eigenen Identitäten, aber die einzelnen Organisationen können auch Identitäten anderer Organisationen sicher planen und akzeptieren.

Es wird empfohlen, sich mit den wichtigen Konzepten für Active Directory-Verbunddienste (AD FS) vertraut zu machen und sich mit dem Featuresatz vertraut zu machen.

Tipp

Weitere Ressourcenlinks für AD FS finden Sie unter Grundlegendes zu AD FS Konzepten.

AD FS-Terminologie in dieser Anleitung