Active Directory Federation Services (AD FS) maakt gebruik van accountarchieven om gebruikers aan te melden en beveiligingsclaims voor de desbetreffende gebruikers te extraheren. U kunt meerdere accountarchieven configureren voor een enkele Federation-service. U kunt ook hun prioriteit definiëren. De Federation Service maakt gebruik van Lightweight Directory Access Protocol (LDAP) om met accountarchieven te communiceren. AD FS ondersteunt de volgende twee accountarchieven:

  • Active Directory Domain Services (AD DS)

  • Active Directory Lightweight Directory Services (AD LDS)

AD FS werkt zowel met implementaties van AD DS op ondernemingsniveau als met exemplaren van AD LDS. Met AD FS in combinatie met AD DS kan worden geprofiteerd van de technologieën voor sterke verificatie in AD DS, waaronder Kerberos, digitale X.509-certificaten en smartcards. In combinatie met AD LDS maakt AD FS gebruik van een LDAP-binding om gebruikers te verifiëren.

AD DS-accountarchieven

AD FS is geïntegreerd met AD DS. Met AD FS worden gebruikerskenmerken opgehaald en worden gebruikers aan de hand van AD DS geverifieerd. Bovendien worden door AD FS met Windows geïntegreerde verificatie en door AD DS gemaakte beveiligingstokens gebruikt.

Gebruikers moeten voor aanmelding bij AD DS de gebruikersnaam met de UPN-notatie (gebruiker@adatum.com) of de SAM-accountnaam (Security Accounts Manager) (datum\gebruiker) opgeven.

Toegangstokens worden gegenereerd wanneer een gebruiker zich aanmeldt. Deze bevatten de beveiligings-id's (SID's) voor de gebruiker en alle groepen waartoe de gebruiker behoort. Aan elk proces dat de gebruiker start, wordt een kopie van het toegangstoken toegewezen.

Als de gebruiker is aangemeld en geïmiteerd, worden gebruikers-SID's vanuit het toegangstoken geïnventariseerd. De SID's worden vervolgens toegewezen aan organisatiegroepclaims.

Waarschuwing

Wanneer u de optie voor een Windows-vertrouwensrelatie in de Federation Service van de accountpartner inschakelt, verzendt u werkelijke SID's via internet naar de organisatie van de bronpartner en dit kan een risico inhouden voor de beveiliging. Deze SID's worden opgenomen in het SAML-token (Security Assertion Markup Language) van AD FS. Schakel deze optie daarom alleen in wanneer u het ontwerp Federatieve web-SSO met forest-vertrouwensrelatie gebruikt. Dit ontwerp is bedoeld om beveiligde communicatie binnen dezelfde organisatie tot stand te brengen.

Als het Federation Service-account wordt gebruikt om een LDAP-zoekopdracht voor een object uit te voeren, kunnen e-mailclaims, algemene-naamclaims en aangepaste claims worden geëxtraheerd uit gebruikersobjectkenmerken die in AD DS zijn gedefinieerd.

Het Federation Service-account moet toegang hebben tot het gebruikersobject. Als het gebruikersobject is opgeslagen in een ander domein dan het domein waar het Federation Service-account is opgeslagen, moet het eerstgenoemde domein een AD DS-domeinvertrouwensrelatie hebben met het laatstgenoemde domein.

U kunt niet rechtstreeks nagaan of een gebruikersnaam al bestaat in AD DS en in alle door AD DS (rechtstreeks of transitief) vertrouwde mappen. AD DS retourneert alleen een bindende fout als vanwege beleidsbeperkingen de aanmeldingspoging mislukt. Beleidsbeperkingsfouten zijn bijvoorbeeld:

  • Het account is uitgeschakeld.

  • Het wachtwoord van het account is verlopen.

  • Het account mag niet op deze computer worden aangemeld.

  • Het account heeft aanmeldingstijdbeperkingen en mag op dit moment niet worden aangemeld.

Overige aanmeldingsfouten van AD DS-accountarchieven zijn altijd niet-bindend. Bij dergelijke fouten wordt het accountarchief met de daarop volgende prioriteit geprobeerd. Zie Problemen met AD FS oplossen voor meer informatie over mislukte aanmeldingspogingen voor accountarchieven.

AD LDS-accountarchieven

Met AD LDS kunt u gegevens voor Active Directory-toepassingen opslaan en ophalen zonder de afhankelijkheden die voor AD DS nodig zijn. De functionaliteit van AD LDS lijkt veel op die van AD DS, maar er hoeven geen domeinen of domeincontrollers te worden geïmplementeerd. Op een soortgelijke manier als in AD FS gebruik wordt gemaakt van gegevens uit AD DS-accountarchieven, kunnen in AD FS ook gebruikerskenmerken worden opgehaald en gebruikers met AD LDS worden geverifieerd.

Opmerking

Met AD FS kunnen geen AD LDS-accounts worden geverifieerd waarvan de naam haakjes bevat. Accounts met een haakje openen in de gebruikersnaam veroorzaken een fout in de LDAP-zoekopdracht doordat de gebruikersnaam een ongeldige LDAP-filter vormt.

Het Federation-serviceaccount verkrijgt de claims die worden gebruikt voor het uitvoeren van een LDAP-zoekopdracht voor het object. Zie Wat zijn claims? voor meer informatie. Hiervoor moeten twee stappen worden uitgevoerd:

  • Om te beginnen vindt het Federation-serviceaccount het gebruikersobject via een zoekopdracht naar het object waarvan het geconfigureerde kenmerk gelijk is aan de opgegeven gebruikersnaam. Het Federation-serviceaccount maakt gebruik van Kerberos-verificatie of NTLM-versleuteling om deze communicatie te beveiligen.

    Opmerking

    Voor dit proces moet de AD LDS-server worden gekoppeld aan een domein dat het domein vertrouwt waarvan de Federation-service lid is.

  • Vervolgens worden de gebruikersreferenties gecontroleerd door het gevonden gebruikersobject met een LDAP-binding te koppelen aan het opgegeven wachtwoord. Als TLS/SSL (Transport Layer Security en Secure Sockets Layer) zijn geconfigureerd voor de eigenschappen van het AD LDS-accountarchief, worden de gebruikersreferenties beveiligd.

    Belangrijk

    Het wordt nadrukkelijk aanbevolen om het verkeer tussen de AD LDS-server en de federatieserver te beveiligen met TLS/SSL of op een andere manier, bijvoorbeeld met Internet Protocol-beveiliging (IPSec).

Als de LDAP-zoekopdracht met de opgegeven gebruikersnaam meer dan een object retourneert, wordt dit beschouwd als een verificatiefout.

Het gebruikersaccount wordt eerst opgezocht in het AD LDS-accountarchief als dat is geconfigureerd en vervolgens worden de overige LDAP-archieven in die volgorde geconfigureerd. Als een van de archieven het gebruikersaccount vindt, wordt de gebruiker aangemeld en wordt geen ander accountarchief meer aangeroepen om het aanmeldingsverzoek van de gebruiker te verwerken.

De prioriteitsvolgorde van aanmeldingsaanvragen van gebruikers bepalen

Wanneer een gebruiker een aanmeldingsverzoek indient bij AD DS of AD LDS via een AD FS-client, wordt het verzoek onmiddellijk doorgegeven aan het opgegeven accountarchief. Als de URI (Uniform Resource Identifier) voor het accountarchief niet is opgegeven, wordt met elk archief in volgorde van prioriteit geprobeerd de gebruiker aan te melden. Het resultaat van de verificatie wordt geretourneerd als:

  • er slechts één archief is geconfigureerd en informatie over de verificatie van de referenties wordt geretourneerd;

  • de URI voor het archief in de aanmeldingsaanvraag is opgegeven en informatie over de verificatie van de referenties wordt geretourneerd;

  • het verificatieresultaat door een van de archieven bindend is;

  • de verificatie door een van de archieven is geslaagd.

Accountarchieven uitschakelen

U kunt elk accountarchief als ingeschakeld of als uitgeschakeld markeren. Als een accountarchief is uitgeschakeld, neemt het niet deel aan bewerkingen waarbij accountarchieven zijn betrokken. Cookies met claims die afkomstig zijn uit een uitgeschakeld accountarchief worden verwijderd en de client wordt omgeleid naar de aanmeldingspagina.

Inhoudsopgave