Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) ist ein Feature unter den Betriebssystemen Windows Server® 2003 R2, Windows Server 2008 und Windows Server 2008 R2, das Web-SSO-Technologien (Single-Sign-On, einmalige Webanmeldung) bereitstellt. Mithilfe dieser Technologien kann ein Benutzer während einer Onlinesitzung bei mehreren Webanwendungen authentifiziert werden. AD FS realisiert dies durch die sichere gemeinsame Nutzung der digitalen Identität und von Anspruchsberechtigungen bzw. "Ansprüchen" über Sicherheits- und Unternehmensgrenzen hinweg.
Features in AD FS
AD FS enthält unter Windows Server 2008 und Windows Server 2008 R2 neue Features, die unter Windows Server 2003 R2 nicht verfügbar waren. Informationen (möglicherweise in englischer Sprache) zu diesen neuen Features finden Sie im Thema zu den Neuigkeiten bei AD FS in Windows Server 2008 (
Im Folgenden werden einige wichtige Features von AD FS erläutert:
-
Verbund und Web-SSO
Wenn eine Organisation Active Directory-Domänendienste (Active Directory Domain Services, AD DS) verwendet, nutzt sie die Vorteile der SSO-Funktionalität über die integrierte Windows-Authentifizierung innerhalb der Sicherheits- oder Unternehmensgrenzen der Organisation. AD FS weitet diese Funktionalität auf mit dem Internet verbundene Anwendungen aus. Dadurch können Kunden, Partner und Lieferanten auf ähnliche und vereinfachte Weise mithilfe von Web-SSO auf die webbasierten Anwendungen der Organisation zugreifen. Zudem können Verbundserver in mehreren Organisationen bereitgestellt werden, um Verbund-B2B-Transaktionen (Business-to-Business) zwischen Partnerorganisationen zu ermöglichen. Weitere Informationen zum AD FS-Verbund finden Sie unter Grundlegendes zu Verbundentwürfen.
-
Webdiensteinteroperabilität (WS-)
Die Verbund-Identitätsverwaltungslösung von AD FS kann direkt mit anderen Sicherheitsprodukten kommunizieren, die die Webdienstearchitektur (WS-) unterstützen. AD FS verwendet hierzu die als WS-Verbund bezeichnete Webdienste-Verbundspezifikation (WS-). Die WS-Verbundspezifikation ermöglicht Umgebungen, in denen nicht das Microsoft® Windows®-Identitätsmodell verwendet wird, das Eingehen eines Verbunds mit Windows-Umgebungen. Weitere Informationen zu WS-Spezifikationen finden Sie unter Ressourcen für AD FS.
-
Erweiterbare Architektur
AD FS bietet eine erweiterbare Architektur, die den SAML-Tokentyp 1.1 (Security Assertion Markup Language) und die Kerberos-Authentifizierung (im Entwurf für Federated-Web-SSO mit Gesamtstruktur-Vertrauensstellung) unterstützt. Darüber hinaus kann AD FS eine Anspruchszuordnung ausführen, z. B. durch Ändern von Ansprüchen mit benutzerdefinierter Geschäftslogik als Variable in einer Zugriffsanforderung. Organisationen können diese Erweiterungsmöglichkeit nutzen, um AD FS für die gemeinsame Verwendung mit ihrer aktuellen Sicherheitsinfrastruktur und den aktuellen Geschäftsrichtlinien anzupassen. Weitere Informationen zum Ändern von Ansprüchen finden Sie unter Grundlegendes zu Ansprüchen.
Erweitern von AD DS für das Internet
AD DS dient in vielen Organisationen als primärer Identitäts- und Authentifizierungsdienst. Mit Windows Server 2003 Active Directory und Windows Server 2008 sowie Windows Server 2008 R2 AD DS können Gesamtstruktur-Vertrauensstellungen zwischen mehreren Windows Server 2003- oder Windows Server 2008- bzw. Windows Server 2008 R2-Gesamtstrukturen erstellt werden, um den Zugriff auf Ressourcen in unterschiedlichen Geschäftsbereichen oder Organisationen zu ermöglichen. Weitere Informationen (möglicherweise in englischer Sprache) zu Gesamtstruktur-Vertrauensstellungen finden Sie im Thema zur Funktionsweise von Domänen- und Gesamtstruktur-Vertrauensstellungen (
Bei manchen Entwürfen sind Gesamtstruktur-Vertrauensstellungen jedoch nicht realisierbar. In Organisationen kann es beispielsweise erforderlich sein, den Zugriff auf eine kleine Gruppe von Einzelpersonen zu beschränken, die nicht alle einer Gesamtstruktur angehören.
Mithilfe von AD FS können Organisationen ihre vorhandenen Active Directory-Infrastrukturen erweitern, um über das Internet den Zugriff auf Ressourcen von vertrauenswürdigen Partnern zu ermöglichen. Bei diesen vertrauenswürdigen Partnern kann es sich um externe Dritte oder andere Abteilungen und Niederlassungen derselben Organisation handeln.
AD FS unterstützt die verteilte Authentifizierung und Autorisierung über das Internet. AD FS kann in die vorhandene Zugriffsverwaltungslösung einer Organisation oder Abteilung integriert werden, um die in der Organisation verwendeten Ansprüche in Ansprüche zu übersetzen, die als Teil eines Verbunds vereinbart werden. AD FS kann die zwischen Organisationen ausgetauschten Ansprüche erstellen, sichern und überprüfen. Darüber hinaus kann AD FS zur Sicherstellung sicherer Transaktionen die Kommunikation zwischen Organisationen und Abteilungen überwachen.
Weitere Informationen zu AD FS finden Sie in den folgenden Themen: