Wenn Sie eine organisationsübergreifende (auf einem Verbund basierende) Zusammenarbeit mithilfe von Active Directory-Verbunddiensten (Active Directory Federation Services, AD FS) planen, bestimmen Sie zuerst, ob Ihre Organisation als Host für eine Webressource fungieren soll, auf die andere Organisationen über das Internet zugreifen können (oder umgekehrt). Vom Ergebnis dieser Bestimmung hängt es ab, wie Sie AD FS verwenden. Außerdem ist das Ergebnis von entscheidender Bedeutung für die Planung Ihrer AD FS-Infrastruktur.

Für Verbundentwürfe wie Federated-Web-SSO (verbundene einmalige Webanmeldung, Single-Sign-On) bzw. Federated-Web-SSO mit Gesamtstruktur-Vertrauensstellung (jedoch nicht der Entwurf für einfache Web-SSO) verwendet AD FS Ausdrücke wie "Kontopartner" und "Ressourcenpartner". Auf diese Weise soll die Organisation, die als Host für die Konten fungiert (Kontopartner), von der Organisation unterschieden werden, die als Host für die webbasierten Ressourcen fungiert (Ressourcenpartner). Der Ausdruck "Verbundvertrauensstellung" wird in AD FS verwendet, um die unidirektionale, nicht transitive Beziehung zu beschreiben, die zwischen dem Kontopartner und dem Ressourcenpartner geschaffen wird.

Weitere Informationen zu AD FS-Entwürfen finden Sie unter Grundlegendes zu Verbundentwürfen.

Die folgenden Abschnitte enthalten Erklärungen einiger Begriffe, die sich auf Kontopartner und Ressourcenpartner beziehen.

Kontopartner

Ein Kontopartner stellt die Organisation in der Verbundvertrauensstellung dar, die Benutzerkonten entweder in einem Active Directory-Domänendienstespeicher (Active Directory Domain Services, AD DS) oder einem Active Directory Lightweight Directory Services-Speicher (AD LDS) physikalisch speichert. Der Kontopartner ist für das Erfassen und Authentifizieren der Anmeldeinformationen eines Benutzers, das Zusammenstellen von Ansprüchen für diesen Benutzer und das Integrieren der Ansprüche in Sicherheitstokens verantwortlich. Diese Tokens können dann in einer Verbundvertrauensstellung verwendet werden, um auf webbasierte Ressourcen zuzugreifen, die sich innerhalb der Organisation des Ressourcenpartners befinden.

Anders ausgedrückt handelt es sich beim Kontopartner um die Organisation, für deren Benutzer die Kontoseite des Verbunddiensts Sicherheitstokens ausstellt. Der Verbunddienst bei der Kontopartnerorganisation authentifiziert lokale Benutzer und erstellt Sicherheitstokens, die vom Ressourcenpartner zum Treffen von Autorisierungsentscheidungen verwendet werden.

Bezogen auf AD DS entspricht der Kontopartner bei AD FS einer einzelnen AD DS-Gesamtstruktur, deren Konten den Zugriff auf Ressourcen benötigen, die sich physikalisch in einer anderen Gesamtstruktur befinden. Konten in dieser Beispielgesamtstruktur können nur dann auf Ressourcen in der Ressourcengesamtstruktur zugreifen, wenn Folgendes sichergestellt ist: Zwischen den beiden Gesamtstrukturen ist eine externe Vertrauensstellung bzw. eine Gesamtstruktur-Vertrauensstellung vorhanden, und für die Ressourcen, auf die die Benutzer versuchen zuzugreifen, wurden die richtigen Autorisierungsberechtigungen festgelegt.

Hinweis

Anhand dieser Analogie soll lediglich verdeutlicht werden, auf welche Weise die Beziehung zwischen Konto- und Partnerorganisationen bei AD FS prinzipiell der Beziehung zwischen einer Kontogesamtstruktur und einer Ressourcengesamtstruktur bei AD DS ähnelt. Externe Vertrauensstellungen und Gesamtstruktur-Vertrauensstellungen sind für das ordnungsgemäße Funktionieren von AD FS nicht erforderlich.

Erstellen von Ansprüchen an den Ressourcenpartner

Ein Anspruch ist eine Aussage (beispielsweise Name, Identität, Schlüssel, Gruppe, Berechtigung oder Funktion), die ein Server zu einem Client trifft. Ein Kontopartner erstellt Ansprüche, die vom Verbunddienst des Ressourcenpartners verarbeitet werden. In der folgenden Liste sind die verschiedenen Anspruchstypen aufgeführt, die für den Kontopartner auf dem Ressourcenverbundserver konfiguriert werden können:

  • UPN-Anspruch

    Wenn Sie den Kontopartner konfigurieren, können Sie eine Liste mit Benutzerprinzipalnamen-Domänen (User Principal Name, UPN) und -Suffixen angeben, die möglicherweise vom Kontopartner akzeptiert werden. Wenn eine UPN-Identität empfangen wird, deren Domänenteil nicht in der Liste enthalten ist, wird die Anforderung abgelehnt.

  • E-Mail-Anspruch

    Wenn Sie den Kontopartner konfigurieren, können Sie eine Liste mit E-Mail-Domänen und -Suffixen angeben, die möglicherweise vom Kontopartner akzeptiert werden. Wenn eine E-Mail-Identität empfangen wird, deren Domänenteil nicht in der Liste enthalten ist, wird die Anforderung abgelehnt, genau wie beim UPN-Anspruch.

  • Allgemeiner Namensanspruch

    Wenn Sie den Kontopartner konfigurieren, können Sie angeben, ob vom Kontopartner allgemeine Namensansprüche empfangen werden können. Dieser Anspruchstyp kann nicht zugeordnet werden. Er wird lediglich übertragen, wenn er aktiviert wird.

  • Gruppenansprüche

    Wenn Sie den Kontopartner konfigurieren, können Sie verschiedene eingehende Gruppenansprüche angeben, die möglicherweise vom Kontopartner akzeptiert werden. Sie können eingehende Gruppen dann jeweils einem Organisationsgruppenanspruch zuordnen. Beachten Sie, dass dabei eine Gruppenzuordnung erfolgt. Wenn ein eingehender Gruppenanspruch ohne Zuordnung empfangen wird, wird er verworfen.

  • Benutzerdefinierte Ansprüche

    Wenn Sie den Kontopartner konfigurieren, können Sie verschiedene eingehende Namen von benutzerdefinierten Ansprüchen angeben, die vom Kontopartner akzeptiert werden. Sie können eingehende Namen dann jeweils einem benutzerdefinierten Organisationsanspruch zuordnen. Beachten Sie, dass dabei eine Namenzuordnung erfolgt. Wenn ein eingehender benutzerdefinierter Anspruch ohne Zuordnung empfangen wird, wird er verworfen.

Ressourcenpartner

Ein Ressourcenpartner ist der zweite Organisationspartner in einer Verbundvertrauensstellung. Beim Ressourcenpartner handelt es sich um die Organisation, bei der sich die AD FS-fähigen Webserver befinden, auf denen eine oder mehrere webbasierte Anwendungen (die Ressourcen) ausgeführt werden. Dabei vertraut der Ressourcenpartner der Benutzerauthentifizierung durch den Kontopartner. Damit also Autorisierungsentscheidungen getroffen werden können, verarbeitet der Ressourcenpartner die Ansprüche, die in Sicherheitstokens verpackt sind und vom Kontopartner gesendet werden.

Anders ausgedrückt handelt es sich beim Ressourcenpartner um die Organisation, deren AD FS-fähige Webserver durch den Verbunddienst der Ressourcenseite geschützt sind. Der Verbunddienst beim Ressourcenpartner verwendet die Sicherheitstokens, die vom Kontopartner erstellt werden, um Autorisierungsentscheidungen für AD FS-fähige Webserver treffen zu können, die sich beim Ressourcenpartner befinden.

Damit er als AD FS-Ressource fungieren kann, muss auf dem AD FS-fähigen Webserver in der Ressourcenpartnerorganisation die AD FS-Web-Agent-Komponente von AD FS installiert sein. Webserver, die als AD FS-Ressource fungieren, können entweder als Host für Ansprüche unterstützende Anwendungen oder für tokenbasierte Windows NT-Anwendungen verwendet werden.

Hinweis

Wenn es sich bei der Anwendung, die auf dem AD FS-fähigen Webserver ausgeführt wird, um eine tokenbasierte Windows NT-Anwendung handelt, kann es sein, dass für die AD DS-Gesamtstruktur der Ressourcenpartnerorganisation ein Ressourcenkonto erforderlich ist.

Verglichen mit AD DS entspricht der Ressourcenpartner im Prinzip einer einzelnen Gesamtstruktur, deren Ressourcen über eine externe Vertrauensstellung bzw. eine Gesamtstruktur-Vertrauensstellung für Konten bereitgestellt werden, die physikalisch in einer anderen Gesamtstruktur gespeichert sind.

Hinweis

Anhand dieser Analogie soll lediglich verdeutlicht werden, auf welche Weise die Beziehung zwischen Konto- und Partnerorganisationen bei AD FS prinzipiell der Beziehung zwischen einer Kontogesamtstruktur und einer Ressourcengesamtstruktur bei AD DS ähnelt. Externe Vertrauensstellungen und Gesamtstruktur-Vertrauensstellungen sind nicht erforderlich, damit AD FS ordnungsgemäß ausgeführt wird.

Verarbeiten von Ansprüchen des Kontopartners

Ein Ressourcenpartner verarbeitet Ansprüche, die der Verbunddienst des Kontopartners erstellt und in Sicherheitstokens verpackt. In der folgenden Liste ist beschrieben, wie Ansprüche an den Ressourcenpartner gesendet werden können:

  • UPN-Anspruch

    Wenn Sie den Ressourcenpartner konfigurieren, können Sie angeben, ob ein UPN-Anspruch an den Ressourcenpartner gesendet werden soll. Sie können auch eine Suffixzuordnung angeben, um jedes Suffix einem bestimmten ausgehenden Suffix zuzuordnen. Sie können julianp@sales.tailspintoys.com beispielsweise julianp@tailspintoys.com zuordnen. Beachten Sie, dass jeweils nur ein ausgehendes Suffix angegeben werden kann.

  • E-Mail-Anspruch

    Wenn Sie den Ressourcenpartner konfigurieren, können Sie angeben, ob ein E-Mail-Anspruch an den Ressourcenpartner gesendet werden soll. Sie können auch eine Suffixzuordnung angeben, um jedes Suffix einem bestimmten anderen Suffix zuzuordnen. Sie können vernettep@sales.tailspintoys.com beispielsweise vernettep@tailspintoys.com zuordnen. Beachten Sie, dass jeweils nur ein ausgehendes Suffix angegeben werden kann.

  • Allgemeiner Namensanspruch

    Wenn Sie den Ressourcenpartner konfigurieren, können Sie angeben, ob allgemeine Namensansprüche an den Ressourcenpartner gesendet werden können. Dieser Anspruchstyp kann nicht zugeordnet werden. Er wird lediglich an den Ressourcenpartner übertragen, wenn er aktiviert wird.

  • Gruppenansprüche

    Wenn Sie den Ressourcenpartner konfigurieren, können Sie verschiedene ausgehende Gruppenansprüche angeben, die vom Ressourcenpartner akzeptiert werden. Sie können ausgehende Gruppenansprüche dann jeweils Organisationsgruppenansprüchen zuordnen. Beachten Sie, dass dabei verschiedene Gruppenzuordnungen erfolgen. Organisationsgruppenansprüche, die nicht mit einem ausgehenden Gruppenanspruch übereinstimmen, werden nicht erstellt.

  • Benutzerdefinierte Ansprüche

    Wenn Sie den Ressourcenpartner konfigurieren, können Sie verschiedene ausgehende benutzerdefinierte Ansprüche angeben, die vom Ressourcenpartner akzeptiert werden. Sie können ausgehende benutzerdefinierte Ansprüche jeweils einem benutzerdefinierten Organisationsanspruch zuordnen. Beachten Sie, dass dabei verschiedene Namenzuordnungen erfolgen. Benutzerdefinierte Organisationsansprüche, die nicht mit einem ausgehenden benutzerdefinierten Anspruch übereinstimmen, werden nicht erstellt.

Verstärkter Identitätsschutz

Bei der Option Verstärkten Identitätsschutz aktivieren handelt es sich um eine optionale Einstellung, die bei einem Ressourcenpartner in der Vertrauensrichtlinie konfiguriert werden kann. Wenn die Option Verstärkten Identitätsschutz aktivieren ausgewählt ist, bewirkt diese Einstellung ein Hashing des Benutzernamensabschnitts der ausgehenden UPN-Ansprüche und E-Mail-Ansprüche. Dabei wird der allgemeine Name durch einen zufälligen Wert ersetzt.

Durch diese Funktion soll Folgendes verhindert werden:

  • Abgleichen von Identitätsansprüchen mit persönlich identifizierbaren Benutzerinformationen durch den Ressourcenpartner

  • Absprachen von Partnern beim Abgleichen von Identitätsansprüchen mit persönlich identifizierbaren Benutzerinformationen. Bei dieser Einstellung wird pro Partner ein eindeutiger Hash erstellt, damit sich die Identitätsanspruchwerte für verschiedene einander vertrauende Bereichspartner unterscheiden, für einen einzelnen Partner über mehrere Sitzungen hinweg jedoch konsistent sind.

  • Einfache Verzeichnisangriffe auf den Hash durch "Spicken" der Benutzerdaten mit Daten in der Vertrauensrichtlinie, also Daten, die den Ressourcenpartnern nicht bekannt sind.

Inhaltsverzeichnis