In den Active Directory-Verbunddiensten (Active Directory Federation Services, AD FS) wird Terminologie aus mehreren unterschiedlichen Technologien verwendet. Hierzu zählen Zertifikatsdienste, Internetinformationsdienste (Internet Information Services, IIS), Active Directory-Domänendienste (Active Directory Domain Services, AD DS), Active Directory Lightweight Directory Services (AD LDS) und Webdienste (Web Services, WS-*). Diese Begriffe werden in der folgenden Tabelle beschrieben.
| Begriff | Beschreibung |
|---|---|
|
Kontoverbundserver |
Dies ist der Verbundserver, der sich im Unternehmensnetzwerk der Kontopartnerorganisation befindet. Der Kontoverbundserver gibt basierend auf der Benutzerauthentifizierung Sicherheitstoken an Benutzer aus. Der Server authentifiziert einen Benutzer, ruft die relevanten Attribute und Gruppenmitgliedschaftsinformationen aus dem Kontospeicher ab, und generiert und signiert ein Sicherheitstoken, das an den Benutzer zurückgegeben wird. Dieses kann entweder in dessen eigener Organisation verwendet oder an eine Partnerorganisation gesendet werden. |
|
Kontoverbundserver-Proxy |
Dies ist der Verbundserverproxy, der sich im Umkreisnetzwerk der Kontopartnerorganisation befindet. Der Kontoverbundserver-Proxy erfasst Authentifizierungsanmeldeinformationen von einem Client, der sich über das Internet (oder über das Umkreisnetzwerk) anmeldet, und gibt diese Anmeldeinformationen an den Kontoverbundserver weiter. |
|
Kontopartner |
Dies ist ein Verbundpartner, dem der Verbunddienst vertraut und der den Benutzern (d. h. Benutzern in der Kontopartnerorganisation) Sicherheitstoken bereitstellen kann, damit sie auf webbasierte Anwendungen im Ressourcenpartner zugreifen können. |
|
Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) |
AD FS ist eine Komponente von Windows Server 2003 R2, Windows Server 2008 und Windows Server 2008 R2, von der Web-SSO-Technologien (Single-Sign-On, einmalige Webanmeldung) bereitgestellt werden, mit deren Hilfe ein Benutzer während einer Onlinesitzung bei mehreren Webanwendungen authentifiziert werden kann. AD FS realisiert dies durch die sichere gemeinsame Nutzung der digitalen Identität und von Anspruchsberechtigungen über Sicherheits- und Unternehmensgrenzen. AD FS unterstützt WS-Verbund-PRP (Passive Requestor Profile). |
|
AD FS-Web-Agent |
Dies ist ein installierbarer Rollendienst von AD FS, der zum Erstellen eines AD FS-fähigen Webservers verwendet wird. Ein AD FS-Web-Agent verarbeitet eingehende Sicherheitstoken und Authentifizierungscookies, die – unter Berücksichtigung anwendungsspezifischer Zugriffssteuerungseinstellungen – von einem gültigen Verbundserver signiert werden, um den Benutzerzugriff auf die geschützte Anwendung zuzulassen oder zu verweigern. |
|
AD FS-fähiger Webserver |
Dies ist ein Webserver unter Windows Server 2003 R2, Windows Server 2008 oder Windows Server 2008 R2, der mit der entsprechenden AD FS-Web-Agent-Software (dem Ansprüche unterstützenden Agent oder dem tokenbasierten Windows-Agent) konfiguriert wurde, die zum Authentifizieren und Autorisieren von Verbundzugriff auf lokal gehostete, webbasierte Anwendungen erforderlich ist. |
|
Anspruch |
Dies ist eine Aussage eines Servers über einen Client (z. B. Name, Identität, Schlüssel, Gruppe, Berechtigung oder Funktion). |
|
Ansprüche unterstützende Anwendung |
Dies ist eine Microsoft ASP.NET-Anwendung, die die Autorisierung basierend auf den in einem AD FS-Sicherheitstoken enthaltenen Ansprüchen ausführt. |
|
Anspruchszuordnung |
Dies ist der Vorgang, bei dem Ansprüche zugeordnet, entfernt und gefiltert oder zwischen verschiedenen Anspruchssätzen weitergegeben werden. |
|
Clientkontopartner-Ermittlungswebseite |
Diese Webseite interagiert mit dem Benutzer, um festzustellen, welchem Kontopartner der Benutzer angehört, wenn AD FS den für die Authentifizierung des Benutzers zuständigen Kontopartner nicht automatisch ermitteln kann. |
|
Clientauthentifizierungszertifikat |
Dies ist ein Zertifikat in AD FS, das von Verbundproxyservern zum Authentifizieren eines Clients für den Verbunddienst verwendet wird. |
|
Clientabmeldungs-Webseite |
Wenn AD FS eine Abmeldung ausführt, wird eine Webseite angezeigt, um visuelles Feedback zur Abmeldung des Benutzers bereitzustellen. |
|
Clientanmeldungs-Webseite |
Wenn AD FS Clientanmeldeinformationen erfasst, wird zum Ausführen der Benutzerinteraktion eine Webseite angezeigt. Die Clientanmeldungs-Webseite kann jede erforderliche Geschäftslogik verwenden, um den zu erfassenden Anmeldeinformationstyp zu bestimmen. |
|
Verbundanwendung |
Dies ist eine webbasierte Anwendung, die AD FS-fähig ist. Auf sie kann daher von Verbundbenutzern zugegriffen werden. |
|
Verbundbenutzer |
Dies ist ein Benutzer, dessen Konto sich in einer Kontopartnerorganisation befindet, von der aus auf Verbundanwendungen in einer Ressourcenpartnerorganisation zugegriffen werden kann. |
|
Verbund |
Dies ist ein Bereichs- oder Domänenpaar mit einer Verbundvertrauensstellung. |
|
Verbundserver |
Dies ist ein Computer unter Windows Server 2003 R2, Windows Server 2008 oder Windows Server 2008 R2, der für das Hosten der Verbunddienstkomponenten von AD FS konfiguriert wurde. Verbundserver können Anforderungen von Benutzerkonten in anderen Organisationen und von Clients, die sich an einem Ort im Internet befinden, authentifizieren und weiterleiten. |
|
Verbundserverproxy |
Dies ist ein Computer unter Windows Server 2003 R2, Windows Server 2008 oder Windows Server 2008 R2, der für das Hosten der Verbunddienstproxy-Komponenten von AD FS konfiguriert wurde. Verbundserverproxys stellen Zwischenproxydienste zwischen einem Internetclient und einem Verbundserver bereit, der sich hinter einer Firewall in einem Unternehmensnetzwerk befindet. |
|
Verbunddienst |
Dies ist ein installierbarer Rollendienst von AD FS, der zum Erstellen eines Verbundservers verwendet wird. Ist der Verbunddienst installiert, stellt er Token bereit, wenn Sicherheitstoken angefordert werden. Mehrere Verbundserver können so konfiguriert werden, dass Fehlertoleranz und Lastenausgleich für einen einzelnen Verbunddienst bereitgestellt werden. |
|
Verbunddienstproxy |
Dies ist ein installierbarer Rollendienst von AD FS, der zum Erstellen eines Verbundserverproxys verwendet wird. Wenn der Verbunddienstproxy-Rollendienst installiert ist, verwendet er WS-Verbund-PRP-Protokolle, um Benutzeranmeldeinformationen von Browserclients und Webanwendungen zu erfassen und die Informationen in ihrem Auftrag an den Verbunddienst zu senden. |
|
Organisationsansprüche |
Dies sind Ansprüche in einem Zwischenformat oder normalisierten Format innerhalb des Namespaces einer Organisation. |
|
Passiver Client |
Dies ist ein HTTP-Browser (Hypertext Transfer Protocol), der allgemein unterstütztes HTTP unterstützt und Cookies verwenden kann. AD FS unter Windows Server 2003 R2, Windows Server 2008 und Windows Server 2008 R2 unterstützt nur passive Clients und entspricht der WS-F PRP-Spezifikation. |
|
Ressourcenkonto |
Ein einzelnes Sicherheitsprinzipal (i. d. R. ein Benutzerkonto), das in AD DS erstellt und zum Zuordnen zu einem einzelnen Verbundbenutzer verwendet wird. Ein Ressourcenkonto ist erforderlich, wenn Sie einen Verbund für tokenbasierte Windows NT-Anwendungen erstellen, da der tokenbasierte Windows-Agent auf ein Active Directory-Sicherheitsprinzipal in der Gesamtstruktur des Ressourcenpartners verweisen muss, um das Windows NT-Zugriffstoken zu erstellen. Dadurch werden Zugriffssteuerungsberechtigungen für die Anwendung erzwungen. |
|
Ressourcenverbundserver |
Dies ist der Verbundserver in der Ressourcenpartnerorganisation. Der Ressourcenverbundserver stellt in der Regel Sicherheitstoken für Benutzer aus. Diese Token basieren auf einem Sicherheitstoken, das von einem Kontoverbundserver ausgestellt wird. Vom Server werden die folgenden Aufgaben ausgeführt:
|
|
Ressourcenverbundserver-Proxy |
Dies ist der Verbundserverproxy, der sich im Umkreisnetzwerk der Ressourcenpartnerorganisation befindet. Der Ressourcenverbundserver-Proxy führt Kontopartnerermittlungen für Internetclients aus und leitet eingehende Sicherheitstoken an den Ressourcenverbundserver um. |
|
Ressourcengruppe |
Dies ist eine einzelne Sicherheitsgruppe, die in AD DS erstellt wird und der eingehende Gruppenansprüche (AD FS-Gruppenansprüche vom Kontopartner) zugeordnet werden. Nachdem Verbundbenutzer einer Ressourcengruppe zugeordnet wurden, können AD FS-fähige Webserver Autorisierungsentscheidungen für tokenbasierte Windows NT-Anwendungen treffen. Dies erfolgt anhand der Zugriffsberechtigungen, die der Sicherheitskennung (Security Identifier, SID) für die Ressourcengruppe zugewiesen sind. |
|
Ressourcenpartner |
Dies ist ein Verbundpartner, der dem Verbunddienst vertraut und der anspruchbasierte Sicherheitstoken für webbasierte Anwendungen (d. h. Anwendungen in der Ressourcenpartnerorganisation) ausstellen kann, auf die Benutzer im Partnerkonto zugreifen können. |
|
Sicherheitstoken |
Dies ist eine kryptografisch signierte Dateneinheit, die mindestens einen Anspruch formuliert. In AD FS wird mit einem signierten Sicherheitstoken angegeben, dass der Verbundserver, der das Sicherheitstoken ausstellt, die Authentizität des Verbundbenutzers erfolgreich überprüft hat. |
|
Sicherheitstokendienst (STS) |
Dies ist ein Webdienst, der Sicherheitstoken ausstellt. Ein STS nimmt basierend auf vertrauenswürdigen Nachweisen Assertionen für jeden vor, dem er vertraut (oder für spezifische Empfänger). Für die Übermittlung einer Vertrauensstellung benötigt ein Dienst einen Beweis (z. B. eine Signatur), um die Kenntnis eines Sicherheitstokens oder einer Gruppe von Sicherheitstoken zu belegen. Ein Dienst kann Token selbst generieren oder darauf beruhen, dass ein separater STS ein Sicherheitstoken mit seiner eigenen Vertrauensaussage ausstellt. Dies ist die Grundlage der Vertrauensstellungsvermittlung. In AD FS ist der Verbunddienst ein STS. |
|
Serverauthentifizierungszertifikat |
AD FS-fähige Webserver, Verbundserver und Verbundserverproxys verwenden Authentifizierungszertifikate, um den Webdienstdatenverkehr für die Kommunikation untereinander sowie mit Webclients zu sichern. |
|
Serverfarm |
In AD FS ist dies eine Sammlung von Verbundservern, Verbundserverproxys oder Webservern mit dem AD FS-Web-Agent, für die ein Lastenausgleich ausgeführt wird. |
|
Einmaliges Anmelden (SSO) |
Dies ist eine optimierte Authentifizierungssequenz, durch die vom Endbenutzer ausgeführte wiederholte Anmeldeaktionen entfallen. |
|
Tokensignaturzertifikat |
Dies ist ein X.509-Zertifikat, dessen öffentliches/privates Schlüsselpaar von Verbundservern verwendet wird, um alle von Verbundservern erstellten Sicherheitstoken digital zu signieren. |
|
URI (Uniform Resource Identifier) |
Dies ist eine kompakte Zeichenfolge zur Identifizierung einer abstrakten oder physikalischen Ressource. URIs werden (möglicherweise in englischer Sprache) in RFC (Request for Comments) 2396 ( |
|
Verifizierungszertifikat |
Dies ist ein Zertifikat, das den öffentlichen Schlüssel eines Tokensignaturzertifikats darstellt. Ein Verifizierungszertifikat wird in der Vertrauensrichtlinie gespeichert und vom Verbundserver in einer Organisation verwendet, um zu überprüfen, ob eingehende Sicherheitstoken von gültigen Verbundservern in der Farm der Organisation oder in anderen Organisationen ausgestellt wurden. |
|
Webdienste (WS-*) |
Hierunter versteht man die Spezifikationen für eine Webdienstearchitektur, die auf Branchenstandards wie SOAP (Simple Object Access Protocol), XML, WSDL (Web Service Description Language) und UDDI (Universal Description, Discovery and Integration) basiert. WS-* bietet eine Grundlage für die Bereitstellung vollständiger kompatibler Geschäftslösungen für das erweiterte Unternehmen. Dies beinhaltet die Fähigkeit, den Identitätsverbund und die Sicherheit zu verwalten. Das Webdienstemodell beruht auf dem Konzept, dass Unternehmenssysteme in unterschiedlichen Sprachen und mit unterschiedlichen Programmiermodellen erstellt werden, die auf unterschiedlichen Gerätetypen ausgeführt werden und für unterschiedliche Gerätetypen zugänglich sind. Webdienste sind ein Mittel zur Erstellung verteilter Systeme, die – unabhängig von ihrer Programmiersprache und Plattform – einfach und effizient über das Internet eine Verbindung miteinander herstellen und interagieren können. |
|
Webdienstesicherheit (WS-Sicherheit) |
Dies ist eine Reihe von Spezifikationen, die beschreibt, wie Signaturen und Verschlüsselungsheader an SOAP-Nachrichten angefügt werden. Zudem beschreibt die WS-Sicherheit, wie Sicherheitstoken an Nachrichten angefügt werden. Dies beinhaltet auch binäre Sicherheitstoken wie X.509-Zertifikate und Kerberos-Tickets. In AD FS wird die WS-Sicherheit verwendet, wenn Sicherheitstoken von Kerberos signiert werden. |
|
Tokenbasierte Windows NT-Anwendung |
Dies ist eine Windows-Anwendung, bei der ein Windows NT-Token die Autorisierung von Benutzern ausführt. |
|
WS-Verbund |
Diese Spezifikation definiert ein Modell und einen Meldungssatz für die Vertrauensstellungsübermittlung und den Verbund von Identitäts- und Authentifizierungsinformationen in unterschiedlichen Vertrauensstellungsbereichen. Die WS-Verbundspezifikation identifiziert zwei Quellen von Identitäts- und Authentifizierungsanforderungen in Vertrauensstellungsbereichen:
|
|
WS-Verbund-PRP (Passive Requestor Profile) |
Dies ist eine Implementierung der WS-Verbundspezifikation, die ein Standardprotokoll für die Anwendung der Verbundumgebung durch passive Clients (z. B. Webbrowser) vorschlägt. Innerhalb dieses Protokolls wird vorausgesetzt, dass Webdienstanfordernde die neuen Sicherheitsmechanismen akzeptieren und mit Webdienstanbietern interagieren können. |