Der Active Directory-Verbunddienst-Web-Agent (Active Directory Federation Services, AD FS) ist ein Rollendienst von AD FS, der unabhängig von anderen AD FS-Rollendiensten installiert werden kann. Durch die Installation des AD FS-Web-Agent-Rollendiensts auf einem Computer wird dieser Computer zu einem AD FS-fähigen Webserver.
AD FS-fähige Webserver verbrauchen Sicherheitstoken und gestatten oder verweigern den Benutzerzugriff auf eine Webanwendung. Zu diesem Zweck benötigt der AD FS-fähige Webserver eine Beziehung mit einem Ressourcenverbunddienst, damit er den Benutzer bei Bedarf an den Verbunddienst weiterleiten kann.
Der AD FS-Web-Agent kann für zwei unterschiedliche Anwendungstypen verwendet werden:
-
Ansprüche unterstützende Anwendungen: Hierunter versteht man eine Microsoft ASP.NET-Anwendung, die in veröffentlichte AD FS-Objekte geschrieben wird, die das Abfragen von AD FS-Sicherheitstoken-Ansprüchen zulassen. Diese Anwendungen treffen basierend auf diesen Ansprüchen Autorisierungsentscheidungen.
-
Tokenbasierte Windows NT-Anwendungen: Hierunter versteht man eine Anwendung, die Windows-basierte Autorisierungsmechanismen verwendet. Der AD FS-Web-Agent unterstützt die Konvertierung von einem AD FS-Sicherheitstoken in ein Windows NT®-Identitätswechselzugriffstoken.
Der AD FS-fähige Webserver speichert bei Bedarf auch HTTP-Cookies (Hypertext Transfer Protocol) auf Clients, auf denen die Cookies erforderlich sind, um die einmalige Anmeldung (Single-Sign-On, SSO) zu ermöglichen. Der AD FS-Web-Agent besteht aus zwei separaten Komponenten:
-
Tokenbasierte AD FS Windows-Agent-Erweiterung
-
AD FS-Web-Agent-Authentifizierungsdienst
Erweiterung für tokenbasierten AD FS-Windows-Agent
Die tokenbasierte AD FS Windows-Agent-Erweiterung ist eine ISAPI-Erweiterung (Internet Server Application Programming Interface), die auch zum Konfigurieren von Informationen in der Internetinformationsdienste-Metabasis (Internet Information Services, IIS) verwendet werden kann. Im IIS-Manager können Sie die Eigenschaftenseiten Verbunddienste-URL und AD FS-Web-Agent zum Verwalten von Richtlinien und Zertifikaten verwenden, mit denen die AD FS-Sicherheitstoken und AD FS-Cookies überprüft werden.
Die AD FS-Web-Agent-Eigenschaften in der folgenden Tabelle sind vererbbar. Diese Eigenschaften sind in einer IIS-Ressource erforderlich, wenn die ISAPI-Erweiterung das WS-Verbund-PRP-Protokoll (Passive Requestor Profile) unterstützt.
| Eigenschaften | Beschreibung |
|---|---|
|
Verbunddienst-URL |
Dies ist die URL (Uniform Resource Locator) des Verbunddiensts. Diese URL ist erforderlich, damit sie möglicherweise für Vertrauensinformationen abgefragt werden kann. |
|
Cookiepfad |
Dies ist der beim Schreiben des Authentifizierungscookies angegebene Pfad. |
|
Cookiedomäne |
Dies ist die Domäne, für die das Cookie gültig ist. |
|
Rückgabe-URL |
Dies ist die URL, zu der das Token vom Verbunddienst nach der Authentifizierung durch den Verbunddienst zurückkehrt. Diese URL sollte mit dem Publikum-Element des Tokens übereinstimmen. Der Vergleich mit dem Publikum-Element wird vom Windows-Dienst ausgeführt. |
AD FS-Web-Agent-Authentifizierungsdienst
Der AD FS-Web-Agent-Authentifizierungsdienst bestätigt eingehende Token und Cookies. Er wird als lokales System ausgeführt, um mithilfe von S4U (Service-for-User) oder des AD FS-Authentifizierungspakets ein Token zu generieren. Bei S4U können Sie ein Windows-Token für den Client abrufen, indem Sie einen Benutzerprinzipalnamen (User Principal Name, UPN) angeben. Der IIS-Anwendungspool muss jedoch nicht als lokales System ausgeführt werden.
Der AD FS-Web-Agent-Authentifizierungsdienst verfügt über Schnittstellen, die nicht mit einem Remoteprozeduraufruf (Remote Procedure Call, RPC), sondern nur mit einem lokalen Remoteprozeduraufruf (Local Remote Procedure Call, LRPC) aufgerufen werden können. Dieser Dienst gibt ein Windows NT-Identitätswechselzugriffstoken zurück, wenn er ein AD FS-Sicherheitstoken oder ein AD FS-Cookie erhält.