Mit den Active Directory-Verbunddiensten (Active Directory Federation Services, AD FS) können Sie effiziente und sichere Onlinetransaktionen zwischen Partnerorganisationen ermöglichen, die durch Verbundvertrauensstellungen miteinander verbunden sind. Eine Verbundvertrauensstellung ist mit anderen Worten die Verkörperung eines geschäftlichen Vertrags oder einer Partnerschaft zwischen zwei Organisationen.

Wie in der folgenden Abbildung dargestellt können Verbundvertrauensstellungen zwischen zwei Partnerorganisationen eingerichtet werden, wenn beide Organisationen mindestens einen AD FS-Verbundserver bereitstellen und ihre Verbunddiensteinstellungen entsprechend konfigurieren. Der einseitige Pfeil kennzeichnet die Richtung der Vertrauensstellung, die wie bei Windows-Vertrauensstellungen immer zur Kontoseite der Gesamtstruktur zeigt. Dies bedeutet, dass die Authentifizierung von der Kontopartnerorganisation zur Ressourcenpartnerorganisation verläuft.

Verbundvertrauen verbindet Partnerorganisationen
Hinweis

Im Gegensatz zu Windows-Vertrauensstellungen, für die ein sicherer Kanal mit konstanter Verbindung zwischen mindestens zwei Domänen erforderlich ist, wird dieser Kanal für Verbundvertrauensstellungen nicht benötigt, da zwischen dem Kontoverbunddienst und dem Ressourcenverbunddienst keine direkte Kommunikation über das Netzwerk erfolgt, wenn Sie die Verbundvertrauensstellung einrichten.

Nachdem Sie die Verbundvertrauensstellung erstellt haben, können Benutzer in der Kontopartnerorganisation erfolgreich Authentifizierungsanforderungen durch die Verbundvertrauensstellung an den AD FS-fähigen Webserver in der Ressourcenpartnerorganisation senden. Eine Verbundvertrauensstellung wird erstellt, wenn die Kontopartnerorganisation und die Ressourcenpartnerorganisation beide die Verbunddienstkomponente von AD FS installieren und den Kontopartner und Ressourcenpartner mit dem Snap-In Active Directory-Verbunddienste entsprechend konfigurieren.

Wenn eine Seite der Verbundvertrauensstellung (der Kontopartner oder der Ressourcenpartner) nicht oder vom Administrator einer der Organisationen falsch konfiguriert wird, wird die Verbundvertrauensstellung nicht erfolgreich erstellt. Ausführliche Informationen zum Erstellen von Verbundvertrauensstellungen finden Sie in den schrittweisen Anleitungen oder dem Bereitstellungsinhalt zu AD FS auf der Startseite der Active Directory-Verbunddienste (https://go.microsoft.com/fwlink/?LinkId=91867, möglicherweise in englischer Sprache).

Hinweis

Verbundvertrauensstellungen werden nicht im AD FS-Entwurf für die einmalige Webanmeldung (Single-Sign-On, SSO) verwendet. Weitere Informationen zum Entwurf für Web-SSO finden Sie unter Grundlegendes zu Verbundentwürfen.


Inhaltsverzeichnis