Der Verbunddienst ist ein Rollendienst der Active Directory-Verbunddienste (Active Directory Federation Services, AD FS), der unabhängig von anderen AD FS-Rollendiensten installiert werden kann. Der Verbunddienst dient als Sicherheitstokendienst. Durch die Installation des Verbunddienst-Rollendiensts auf einem Computer wird dieser Computer zu einem Verbundserver. Zudem wird dadurch auf diesem Computer das Snap-In Active Directory-Verbunddienst im Menü Verwaltung verfügbar. Weitere Informationen zum AD FS-Snap-In finden Sie unter Verwenden von Active Directory-Verbunddienste (Snap-In).

Der Verbunddienst verwendet Active Directory-Domänendienste (Active Directory Domain Services, AD DS), um als Reaktion auf Sicherheitstokenanforderungen Tokens bereitzustellen. Dies ermöglicht die nachfolgende Verwendung von Active Directory-Domänen und -Gesamtstrukturen:

  • Sie können als Identitätsanbieter verwendet werden, die mit kompatiblen Kontopartnern und Ressourcenpartnern einen Verbund eingehen können. Als Identitätsanbieter kann der Verbunddienst Active Directory-Identitäten über das Internet projizieren, um mit Anwendungen bei kompatiblen Dienstanbietern zu interagieren.

  • Sie können als Dienstanbieter verwendet werden, die mit kompatiblen Kontopartnern und Ressourcenpartnern einen Verbund eingehen können. Als Dienstanbieter kann der Verbunddienst Identitäten von anderen Organisationen Zugriff auf Windows-basierte und ASP.NET-basierte Anwendungen eines Partners erteilen.

  • Sie können als Sicherheitstokenanbieter für Anwendungen verwendet werden, die der WS-Verbund-PRP-Spezifikation (Passive Requestor Profile, WS-F PRP) entsprechen.

Als Kontopartner ermöglicht der Verbunddienst Benutzern den Zugriff auf Ressourcen in Partnerorganisationen. Wenn eine Anforderung von einem Ressourcenpartner eingeht, erfasst und überprüft der Verbunddienst Benutzeranmeldeinformationen mithilfe von AD DS oder einer Instanz von Active Directory Lightweight Directory Services (AD LDS). Der Verbunddienst kann einen Satz von Organisationsansprüchen basierend auf den LDAP-Attributen (Lightweight Directory Access Protocol) des Benutzerkontos auffüllen. Die Organisationsansprüche werden anschließend den entsprechenden Ansprüchen für den Ressourcenpartner zugeordnet und in einem vom Tokensignaturzertifikat des Verbunddiensts signierten Sicherheitstoken verpackt. Das resultierende Sicherheitstoken wird als Antwort auf die ursprüngliche Anforderung des Ressourcenpartners gesendet. Der Ressourcenpartner verwendet das Token dann, um dem Benutzer den Zugriff zu erteilen.

Als Ressourcenpartner übernimmt der Verbunddienst die entgegengesetzte Rolle. Wenn ein Benutzer versucht, auf eine AD FS-geschützte Anwendung zuzugreifen, bestimmt der Verbunddienst, von welchem Kontopartner der Benutzer authentifiziert werden muss. Anschließend sendet er eine Authentifizierungsanforderung an diesen Partner. Wenn der Benutzer dann ein Sicherheitstoken zurückgibt, überprüft der Verbunddienst, ob das Token ordnungsgemäß vom Partner signiert wurde. Dann extrahiert der Verbunddienst die Ansprüche aus dem Token. Die Ansprüche werden Organisationsansprüchen zugeordnet, und die Filterrichtlinie für die spezifische Anwendung wird angewendet. Die gefilterten Organisationsansprüche werden in einem Sicherheitstoken verpackt, das vom Tokensignaturzertifikat des Verbunddiensts oder von einem Kerberos-Sitzungsschlüssel für die Webanwendung geschützt wird. Das resultierende Sicherheitstoken wird an die ursprüngliche Anwendungs-URL (Uniform Resource Locator) zurückgesendet. Die Anwendung verwendet das Token dann, um dem Benutzer den Zugriff zu erteilen.

AD FS verwendet das WS-Verbund-PRP-Protokoll (WS-F PRP), um Ansprüche in vom Verbunddienst ausgestellten Sicherheitstokens an die Webanwendung zu übertragen. Weitere Informationen zur WS-Verbund-PRP-Spezifikation finden Sie unter Ressourcen für AD FS.

Diese Ansprüche werden zunächst aus Kontospeichern aufgefüllt. Dabei kann es sich um AD DS- oder AD LDS-Kontospeicher handeln. Der Verbunddienst stellt Tokens basierend auf den eingegebenen Anmeldeinformationen aus. Nachdem die Anmeldeinformationen eines Benutzers vom Kontospeicher überprüft wurden, werden die Ansprüche für den Benutzer entsprechend den Regeln der Vertrauensrichtlinie generiert. Der Verbunddienst ordnet die eingehenden Ansprüche entsprechenden ausgehenden Ansprüchen für einen Ressourcenpartner zu. Die resultierenden Anspruchszuordnungen werden einem Sicherheitstoken hinzugefügt, das für den Ressourcenpartner ausgestellt wird. Weitere Informationen zu Ansprüchen finden Sie unter Grundlegendes zu Ansprüchen.

Nachdem der Verbunddienst das Token überprüft hat, wird ein Authentifizierungscookie ausgestellt und in den Clientbrowser geschrieben. Jedes Mal, wenn der Client authentifiziert werden muss, verwendet der Verbunddienst dieses Cookie. Auf diese Weise muss der Client die Anmeldeinformationen nicht erneut eingeben. Dadurch wird die einmalige Anmeldung (Single-Sign-On) ermöglicht. Weitere Informationen zu Cookies finden Sie unter Grundlegendes zu den von AD FS verwendeten Cookies.

Verbunddienst-Webseiten

Der Verbunddienst stellt eine Webseite bereit, auf der der Benutzer zur Auswahl eines entsprechenden Kontopartners für die Authentifizierung aufgefordert wird. Für die formulargestützte Authentifizierung bietet der Verbunddienst auch eine Webseite zur Eingabe der Benutzeranmeldeinformationen (z. B. Benutzername und Kennwort). Eine Webseite, die die Windows-integrierte Authentifizierung unterstützt, ist ebenfalls verfügbar.

Hinter den Webseiten stellt der Verbunddienst einen Microsoft ASP.NET-Webdienst bereit, der Anforderungen vom Client oder Verbundserverproxy verarbeitet. Der Verbundserverproxy befindet sich im Perimeternetzwerk. Er dient als Vermittler zwischen einem Internetclient und einem Verbunddienst im Intranet. Weitere Informationen zur Rolle des Verbundserverproxys finden Sie unter Grundlegendes zum Verbunddienstproxy-Rollendienst.

Der Verbunddienst antwortet auf zwei grundlegende Anforderungstypen:

  • Anforderungen zur Ausstellung von Sicherheitstokens

  • Anforderungen zum Abrufen von Vertrauensrichtliniendaten

Kontopartnerermittlung

Die Kontopartnerermittlung ermöglicht einem Client die Identifizierung seines bevorzugten Kontopartners für die Authentifizierung, wenn mehrere Kontopartner konfiguriert sind. Für diese Auswahl wird auf dem Verbundserver im Clientbrowser ein Dropdownfeld mit den in der Vertrauensrichtlinie konfigurierten Kontopartnernamen angezeigt.

Sie können die Kontopartnerermittlung umgehen, indem Sie den whr-Parameter in die Abfragezeichenfolge für die gewünschte Ressource einschließen, wie im folgenden Beispiel dargestellt ist.

https://webserver/testapp/testpage.aspx?whr=urn:federation:<accountpartner>

Hierbei gibt <accountpartner> den Kontopartnerbereich des Clients an.

Wenn Sie den whr-Parameter verwenden, entfernt der Ressourcenverbundserver den Parameter und schreibt ein Cookie in den Clientbrowser, um diese Einstellung für zukünftige Anforderungen zu speichern. Die weitere Verarbeitung der Anforderung erfolgt wie bei einer Anforderung ohne diesen Parameter.


Inhaltsverzeichnis