Grundlegendes zu Verbundentwürfen

Der Entwurf für die Federated-Web-SSO (verbundene einmalige Webanmeldung, Single-Sign-On) beinhaltet die sichere Kommunikation, die häufig zusätzlich zur gesamten Infrastruktur für die Weiterleitung über das Internet noch über mehrere Firewalls, Umkreisnetzwerke und Namensauflösungsserver erfolgt. Die Kommunikation über eine Umgebung mit Federated-Web-SSO kann die Effizienz und Sicherheit der Onlinetransaktionen zwischen Organisationen fördern, die über Verbundvertrauensstellungen zusammenarbeiten.

Eine Verbundvertrauensstellung kann wie in der folgenden Abbildung dargestellt zwischen zwei Organisationen eingerichtet werden. Bei diesem Entwurf leiten Verbundserver Authentifizierungsanforderungen von Benutzerkonten bei Tailspin Toys an webbasierte Anwendungen, die sich im Netzwerk des Unternehmens Online Retailer befinden.

Verbundserver authentifizieren Anforderungen von vertrauenswürdigen Partnern basierend auf den Anmeldeinformationen der Partner. Darstellungen der Anmeldeinformationen werden in Form von Sicherheitstokens ausgetauscht.

Wenn eine noch höhere Sicherheit erzielt werden soll, können Verbundserverproxys verwendet werden, um Anforderungen an Verbundserver weiterzuleiten, auf die nicht direkt über das Internet zugegriffen werden kann.

Der Entwurf für Federated-Web-SSO (verbundene einmalige Webanmeldung, Single-Sign-On) mit Gesamtstruktur-Vertrauensstellung umfasst zwei Active Directory-Gesamtstrukturen innerhalb einer Organisation, wie in der folgenden Abbildung dargestellt. Eine der Gesamtstrukturen befindet sich im Umkreisnetzwerk der Organisation (auch bekannt als demilitarisierte Zone, Extranet oder abgeschirmtes Subnetz). Die andere Gesamtstruktur befindet sich im internen Netzwerk. Es wird eine unidirektionale Gesamtstruktur-Vertrauensstellung eingerichtet, damit die Gesamtstruktur im Umkreisnetzwerk der Gesamtstruktur im internen Netzwerk vertraut. In beiden Netzwerken werden Verbundserver bereitgestellt. Außerdem wird eine Verbundvertrauensstellung eingerichtet, damit Konten in der internen Gesamtstruktur verwendet werden können, um auf eine webbasierte Anwendung im Umkreisnetzwerk zuzugreifen. Dabei spielt es keine Rolle, ob die Konten von der Intranetgesamtstruktur oder vom Internet aus auf die Website zugreifen.

Bei diesem Entwurf können externe Benutzer, z. B. Kunden, auf die Webanwendung zugreifen, indem sie sich beim externen Kontoverbundserver authentifizieren, der sich im Umkreisnetzwerk befindet. Externe Benutzer verfügen über Benutzerkonten in der Active Directory-Gesamtstruktur des Umkreisnetzwerks. Interne Benutzer, z. B. Mitarbeiter, können ebenfalls auf die Webanwendung zugreifen, indem sie sich beim internen Kontoverbundserver authentifizieren, der sich im internen Netzwerk befindet. Interne Benutzer verfügen über Konten in der internen Active Directory-Gesamtstruktur.

Wenn es sich bei der webbasierten Anwendung um eine tokenbasierte Windows NT-Anwendung handelt, fängt der auf dem Webanwendungsserver ausgeführte AD FS-Web-Agent Anforderungen ab und erstellt Windows NT-Sicherheitstoken, die die Webanwendung zum Treffen von Autorisierungsentscheidungen benötigt. Dies ist für externe Benutzer möglich, da der AD FS-fähige Webserver, der als Host für die tokenbasierte Windows NT-Anwendung fungiert, der Domäne in der externen Gesamtstruktur hinzugefügt wurde. Für interne Benutzer wird dies über die Gesamtstruktur-Vertrauensstellung erreicht, die zwischen der Gesamtstruktur des Umkreisnetzwerks und der internen Gesamtstruktur besteht.

Wenn es sich bei der webbasierten Anwendung um eine Ansprüche unterstützende Anwendung handelt, muss der auf dem Webanwendungsserver ausgeführte AD FS-Web-Agent für den Benutzer keine Windows NT-Sicherheitstokens erstellen. Der AD FS-Web-Agent kann die eingehenden Ansprüche offen legen, damit die Anwendung basierend auf dem Inhalt der Sicherheitstokens vom Kontoverbundserver Autorisierungsentscheidungen treffen kann. Auf diese Weise muss der AD FS-fähige Webserver zum Ausführen von Ansprüche unterstützenden Anwendungen nicht der Domäne hinzugefügt werden, und die Vertrauensstellung zwischen externer Gesamtstruktur und interner Gesamtstruktur ist nicht erforderlich.

Beim AD FS-Entwurf für die Web-SSO (nicht verbunden) müssen sich Benutzer nur einmal authentifizieren und können dann auf mehrere webbasierte Anwendungen zugreifen. Bei diesem Entwurf sind alle Benutzer externe Benutzer, und es ist keine Verbundvertrauensstellung vorhanden. Da auf die AD FS-fähigen Webserver vom Internet aus zugegriffen werden können muss und sie außerdem Teil der Active Directory-Domäne sein müssen, sind sie mit zwei Netzwerken verbunden. Dies wird auch als "mehrfach vernetzt" (Englisch: multihomed) bezeichnet. Das erste Netzwerk ist mit dem Internet verbunden (das Umkreisnetzwerk), um die erforderliche Konnektivität bereitzustellen. Das zweite Netzwerk enthält die Active Directory-Gesamtstruktur (das geschützte Netzwerk), auf die nicht direkt vom Internet aus zugegriffen werden kann. Der Verbundserverproxy ist ebenfalls mehrfach vernetzt, um die erforderliche Konnektivität für den Verbundserver und das Internet bereitzustellen. Bei diesem Entwurf reduziert das Positionieren des Verbundservers in einem Netzwerk, auf das nicht direkt über das Internet zugegriffen werden kann, das Risiko für den Verbundserver in beträchtlichem Maße.