Grundlegendes zu den von AD FS verwendeten Cookies

Authentifizierungscookies können sowohl vom Verbunddienst als auch vom AD FS-Web-Agent ausgestellt werden. Der AD FS-Web-Agent verwendet das AD FS-Sicherheitstoken, das er empfängt, als Cookiewert. Der Vorteil des AD FS-fähigen Webservers besteht darin, dass er nicht mit einem öffentlichen/privaten Schlüsselpaar konfiguriert werden muss, das seine eigenen Cookies signieren und überprüfen kann. Der Verbunddienst veröffentlicht alle zum Bestätigen seiner Tokens erforderlichen Informationen.

Beim Verbunddienst enthält das Sicherheitstoken in einem Cookie die Organisationsansprüche für den Client. Die Organisationsansprüche können ausgehenden Ansprüchen für eine bestimmte Ressource zugeordnet werden. Der AD FS-Web-Agent kann auch vom Verbunddienst ausgestellte Cookies authentifizieren und verwenden. Der AD FS-fähige Webserver empfängt ein Cookie, wenn der Client sich an den AD FS-fähigen Webserver wendet. Der AD FS-Web-Agent kann dieses Cookie dann authentifizieren und die darin enthaltenen Ansprüche verwenden. Weitere Informationen zur Verwendung von Tokens, Ansprüchen und Authentifizierungscookies durch den Verbunddienst finden Sie unter Grundlegendes zum Verbunddienst-Rollendienst.

Das Authentifizierungscookie ermöglicht das einmalige Anmelden (Single Sign-On, SSO). Nachdem der Verbunddienst den Client einmal bestätigt hat, wird das Authentifizierungscookie in den Client geschrieben. Der Verbunddienst erzeugt und verbraucht den Inhalt des Authentifizierungscookies, und dieser Inhalt wird von den Verbundserverproxys nicht gelesen. Die weitere Authentifizierung erfolgt nicht durch wiederholte Erfassung der Clientanmeldeinformationen, sondern anhand des Cookies. Weitere Informationen zu Verbundserverproxys finden Sie unter Grundlegendes zum Verbunddienstproxy-Rollendienst.

In der folgenden Abbildung sind der Inhalt eines Authentifizierungscookies und die AD FS-Rollendienste dargestellt, die das Authentifizierungscookie verwenden. Der AD FS-Web-Agent umfasst sowohl den AD FS-Web-Agent-Authentifizierungsdienst als auch die tokenbasierte AD FS Windows-Agent-Erweiterung.

Das Authentifizierungscookie ist immer ein Sitzungscookie. Das Authentifizierungscookie ist signiert, aber nicht verschlüsselt. Dies ist einer der Gründe, weshalb die Verwendung von TLS/SSL (Transport Layer Security und Secure Sockets Layer) in AD FS obligatorisch ist.

Das Kontopartnercookie ermöglicht das einmalige Anmelden (Single-Sign-On, SSO). Nach der interaktiven Kontopartnerermittlung wird das Kontopartnercookie in den Client geschrieben, sofern es ein gültiges Token enthält. Bei weiteren Interaktionen werden die Informationen in diesem Cookie verwendet, anstatt die Informationen zur Kontopartnermitgliedschaft erneut vom Client anzufordern. Das Kontopartnercookie wird in Folge der Kontopartnerermittlung festgelegt. Weitere Informationen zur Kontopartnerermittlung finden Sie unter Grundlegendes zum Verbunddienst-Rollendienst.

Das Kontopartnercookie ist ein langlebiges dauerhaftes Cookie. Es wird weder signiert noch verschlüsselt.

Das Abmeldecookie ermöglicht die Abmeldung. Jedes Mal, wenn der Verbunddienst ein Token ausstellt, wird der Ressourcenpartner oder Zielserver des Tokens dem Abmeldecookie hinzugefügt. Wenn er eine Abmeldeanforderung empfängt, sendet der Verbunddienst oder Verbunddienstproxy Anforderungen an alle Zielserver des Tokens, um sie aufzufordern, Authentifizierungsartefakte (z. B. vom Ressourcenpartner oder AD FS-fähigen Webserver in den Client geschriebene zwischengespeicherte Cookies) zu bereinigen. Im Fall eines Ressourcenpartners wird eine Bereinigungsanforderung an alle AD FS-fähigen Webserver gesendet, die der Client verwendet hat.

Das Abmeldecookie ist immer ein Sitzungscookie. Es wird weder signiert noch verschlüsselt.