Wanneer u samenwerking tussen organisaties (op basis van Federation) plant met AD FS (Active Directory Federation Services), moet u eerst bepalen of uw organisatie een webbron host waartoe andere organisaties toegang moeten krijgen via internet, of andersom. Dit is van invloed op de manier waarop u AD FS installeert en is van essentieel belang bij de planning van uw AD FS-infrastructuur.

Voor Federation-ontwerpen, zoals federatieve web-SSO en federatieve web-SSO met forest-vertrouwensrelatie (maar niet het web-SSO-ontwerp), worden in AD FS termen als 'accountpartner' en 'bronpartner' gebruikt om onderscheid te maken tussen de organisatie die als host van de accounts optreedt (de accountpartner) en de organisatie die als host van de webbronnen optreedt (de bronpartner). De term 'federatieve vertrouwensrelatie' wordt in AD FS gebruikt om de niet-overgankelijke eenrichtingsrelatie tussen de account- en bronpartner te karakteriseren.

Zie Wat zijn Federation-ontwerpen? voor meer informatie over AD FS-ontwerpen.

In de volgende secties worden enkele concepten besproken die verband houden met account- en bronpartners.

Accountpartner

Een accountpartner vertegenwoordigt de organisatie in de federatieve vertrouwensrelatie waarmee fysiek gebruikersaccounts worden opgeslagen in een AD DS-archief (Active Directory Domain Services) of een AD LDS-archief (Active Directory Lightweight Directory Services). De accountpartner is verantwoordelijk voor het verzamelen en verifiëren van de referenties van een gebruiker, het opbouwen van claims voor deze gebruiker en het opnemen van de claims in beveiligingstokens. Deze tokens kunnen vervolgens overal in een federatieve vertrouwensrelatie worden gepresenteerd om toegang te krijgen tot webbronnen in de bronpartnerorganisatie.

Met andere woorden, een accountpartner vertegenwoordigt de organisatie met gebruikers voor wie de Federation-service aan de accountzijde beveiligingstokens uitgeeft. De Federation-service in de accountpartnerorganisatie verifieert lokale gebruikers en maakt beveiligingstokens die de bronpartner gebruikt om autorisatiebeslissingen te nemen.

Met betrekking tot AD DS is de accountpartner in AD FS conceptueel gezien equivalent aan één AD DS-forest waarvan de accounts toegang moeten hebben tot bronnen die zich fysiek in een ander forest bevinden. Accounts in dit voorbeeldforest kunnen alleen toegang krijgen tot bronnen in het bronforest wanneer er een externe vertrouwensrelatie of forest-vertrouwensrelatie bestaat tussen de twee forests en wanneer de juiste autorisatiemachtigingen zijn ingesteld voor de bron waartoe de gebruiker toegang probeert te krijgen.

Opmerking

Deze analogie is louter en alleen bedoeld om te benadrukken hoe de relatie tussen de account- en partnerorganisaties in AD FS conceptueel gezien overeenkomt met de relatie tussen een accountforest en een bronforest in AD DS. Externe vertrouwensrelaties en forest-vertrouwensrelaties werken ook zonder AD FS.

Claims maken die naar de bronpartner gaan

Een claim is een instructie van een server over een client (bijvoorbeeld naam, identiteit, sleutel, groep, privilege of mogelijkheid). Een accountpartner maakt claims die de Federation-service van de bronpartner gebruikt. In de volgende lijst worden de verschillende claimtypen beschreven die kunnen worden geconfigureerd in de accountpartner op de federatieserver van de bronpartner:

  • UPN-claim

    Wanneer u de accountpartner configureert, kunt u een lijst opgeven met domeinen en achtervoegsels voor Principal-namen van gebruikers (UPN-namen) die kunnen worden geaccepteerd van de accountpartner. Als een UPN-identiteit wordt ontvangen waarvan het domeinonderdeel niet in de lijst voorkomt, wordt de aanvraag geweigerd.

  • E-mailclaim

    Wanneer u de accountpartner configureert, kunt u een lijst opgeven met e-maildomeinen en -achtervoegsels die kunnen worden geaccepteerd van de accountpartner. Zoals bij de UPN-claim wordt de aanvraag geweigerd als een e-mailidentiteit wordt ontvangen waarvan het domeinonderdeel niet in de lijst voorkomt.

  • Algemene-naamclaim

    Wanneer u de accountpartner configureert, kunt u opgeven of algemene-naamclaims kunnen worden ontvangen van de accountpartner. Dit claimtype kan niet worden toegewezen, maar wordt gewoonweg doorgegeven als het is ingeschakeld.

  • Groepclaims

    Wanneer de accountpartner wordt geconfigureerd, kunt u een set binnenkomende groepclaims opgeven die kunnen worden geaccepteerd van de partner. U kunt vervolgens elke mogelijke binnenkomende groep koppelen aan een organisatiegroepclaim. Hiermee wordt een groeptoewijzing gemaakt. Als een binnenkomende groep wordt aangetroffen die niet is toegewezen, wordt deze genegeerd.

  • Aangepaste claims

    Wanneer de accountpartner wordt geconfigureerd, kunt u een set binnenkomende namen van groepclaims opgeven die worden geaccepteerd van de partner. U kunt vervolgens elke mogelijke binnenkomende naam toewijzen aan een aangepaste organisatieclaim. Hiermee wordt een naamtoewijzing gemaakt. Als een binnenkomende aangepaste claim wordt aangetroffen die niet is toegewezen, wordt deze genegeerd.

Bronpartner

Een bronpartner is de tweede organisatiepartner in de federatieve vertrouwensrelatie. Een bronpartner is de organisatie waarin de AD FS-webservers aanwezig zijn die als host optreden voor een of meer webtoepassingen (de bronnen). De bronpartner vertrouwt de accountpartner om gebruikers te verifiëren. Voor het nemen van autorisatiebeslissingen gebruikt de bronpartner daarom de claims die zijn opgenomen in beveiligingstokens van gebruikers in de accountpartner.

Met andere woorden, een bronpartner vertegenwoordigt de organisatie waarvan de AD FS-webservers worden beschermd door de Federation-service aan de bronzijde. De Federation-service van de bronpartner gebruikt de beveiligingstokens die door de accountpartner worden gemaakt om autorisatiebeslissingen te nemen voor AD FS-webservers die zich in de bronpartner bevinden.

Op een AD FS-webserver in de organisatie van de bronpartner die als een AD FS-bron moet functioneren, moet het onderdeel Webagent voor AD FS zijn geïnstalleerd. Webservers die als AD FS-bron functioneren, kunnen als host voor claimbewuste toepassingen of op tokens gebaseerde Windows NT-toepassingen optreden.

Opmerking

Als de toepassing waarvoor de AD FS-webserver als host optreedt, een op tokens gebaseerde Windows NT-toepassing is, is mogelijk een bronaccount vereist voor het AD DS-forest in de bronpartnerorganisatie.

Met betrekking tot AD DS is de bronpartner conceptueel gezien equivalent aan één forest waarvan bronnen binnen een externe vertrouwensrelatie of forest-vertrouwensrelatie beschikbaar zijn gemaakt voor accounts die fysiek zijn opgeslagen in een ander forest.

Opmerking

Deze analogie is louter en alleen bedoeld om te benadrukken hoe de relatie tussen de account- en partnerorganisaties in AD FS conceptueel gezien overeenkomt met de relatie tussen een accountforest en een bronforest in AD DS. Externe vertrouwensrelaties en forestvertrouwensrelaties werken ook zonder AD FS.

Claims gebruiken die afkomstig zijn van de accountpartner

Een bronpartner gebruikt claims die de Federatie-service van de accountpartner maakt en in beveiligingstokens verpakt. In de volgende lijst wordt beschreven hoe claims kunnen worden verzonden naar de bronpartner:

  • UPN-claim

    Wanneer u de bronpartner configureert, kunt u opgeven of een UPN-claim moet worden verzonden naar de bronpartner. U kunt ook de toewijzing van een achtervoegsel opgeven zodat een achtervoegsel wordt toegewezen aan een opgegeven uitgaand achtervoegsel. Julianp@sales.tailspintoys.com kan bijvoorbeeld worden toegewezen aan julianp@tailspintoys.com. U kunt slechts één uitgaand achtervoegsel opgeven.

  • E-mailclaim

    Wanneer u de bronpartner configureert, kunt u opgeven of een e-mailclaim moet worden verzonden naar de bronpartner. U kunt ook de toewijzing van een achtervoegsel opgeven zodat een achtervoegsel wordt toegewezen aan een opgegeven achtervoegsel. Vernettep@sales.tailspintoys.com kan bijvoorbeeld worden toegewezen aan vernettep@tailspintoys.com. U kunt slechts één uitgaand achtervoegsel opgeven.

  • Algemene-naamclaim

    Wanneer u de bronpartner configureert, kunt u opgeven of algemene-naamclaims kunnen worden verzonden naar de bronpartner. Dit claimtype kan niet worden toegewezen, maar wordt gewoon doorgegeven aan de bronpartner als het is ingeschakeld.

  • Groepclaims

    Wanneer de bronpartner wordt geconfigureerd, kunt u een set uitgaande groepclaims opgeven die worden geaccepteerd door de bronpartner. Vervolgens kunt u elke mogelijke uitgaande groepclaim koppelen aan organisatiegroepclaims. Hiermee wordt een set groeptoewijzingen gemaakt. Organisatiegroepclaims die niet overeenkomen met een uitgaande groepclaim, worden niet gemaakt.

  • Aangepaste claims

    Wanneer de bronpartner wordt geconfigureerd, kunt u een set uitgaande aangepaste claims opgeven die worden geaccepteerd door de bronpartner. U kunt elke mogelijke uitgaande aangepaste claim toewijzen aan een aangepaste organisatieclaim. Hiermee wordt een set naamtoewijzingen gemaakt. Aangepaste organisatieclaims die niet overeenkomen met een uitgaande aangepaste claim, worden niet gemaakt.

Uitgebreide identiteitsvertrouwelijkheid

Uitgebreide identiteitsvertrouwelijkheid is een optionele instelling die u kunt configureren op een bronpartner in het vertrouwensbeleid. Als de optie Uitgebreide identiteitsvertrouwelijkheid is ingeschakeld, wordt met deze instelling het gebruikersnaamgedeelte van uitgaande UPN- en e-mailclaims gehasht. De algemene naam wordt hierbij vervangen door een willekeurige waarde.

Deze functie is bedoeld om te voorkomen dat:

  • De bronpartner identiteitsclaims verbindt met gebruikersgegevens die naar personen verwijzen.

  • Er een geheime relatie tussen partners ontstaan bij het verbinden van identiteitsclaims met gebruikersgegevens die naar personen verwijzen. Met deze instelling wordt een unieke hash per partner gemaakt, zodat identiteitsclaimwaarden tussen diverse partners met een realm-vertrouwensrelatie verschillen, maar consistent zijn tussen sessies voor één partner.

  • Eenvoudige woordenboekaanvallen tegen de hash worden uitgevoerd door fictief gegevens in het vertrouwensbeleid toe te wijzen aan de gebruikerswaarde. Deze gegevens zijn niet bekend bij de bronpartners.


Inhoudsopgave