Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) können nur verwendet werden, wenn die Server unter Windows Server 2008 oder Windows Server 2008 R2 mit den entsprechenden AD FS-Rollendiensten konfiguriert sind. AD FS-Rollendienste sind einzelne AD FS-Komponenten, die Sie auf Servern unter Windows Server 2008 oder Windows Server 2008 R2 installieren. Sie können die folgenden AD FS-Rollendienste mit dem Assistenten zum Hinzufügen von Rollendiensten installieren:

  • Verbunddienst

  • Verbunddienstproxy

  • Ansprüche unterstützender Agent

  • Tokenbasierter Windows-Agent

Je nach der Umgebung in Ihrer Organisation müssen bestimmte AD FS-Serverrollen bereitgestellt werden. In den folgenden Abschnitten werden die Serverrollen beschrieben, die mit den einzelnen AD FS-Rollendiensten verbunden sind, mit denen Sie eine AD FS-Verbundlösung zur Identitätsverwaltung bereitstellen können.

Verbundserver

Auf Verbundservern wird der Verbunddienst-Rollendienst von AD FS gehostet. Diese Server leiten Authentifizierungsanforderungen von Benutzerkonten in anderen Organisationen (bei Entwürfen für Federated-Web-SSO (Single-Sign-On, SSO)) bzw. von Clients weiter, die sich an beliebigen Orten im Internet befinden können (beim Entwurf für Web-SSO). Weitere Informationen zu den verschiedenen AD FS-Entwürfen finden Sie unter Grundlegendes zu Verbundentwürfen.

Verbundserver dienen auch als Hosts für einen Sicherheitstokendienst, der Tokens ausstellt, die auf den jeweiligen Anmeldeinformationen (z. B. Benutzername und Kennwort) basieren. Nachdem die Anmeldeinformationen überprüft wurden (die Anmeldung also erfolgreich war), werden für Benutzer durch die Untersuchung ihrer Attribute, die in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) bzw. Active Directory Lightweight Directory Services (AD LDS) gespeichert sind, so genannte Ansprüche zusammengestellt.

Weitere Informationen zu Verbundservern finden Sie unter Grundlegendes zum Verbunddienst-Rollendienst.

Verbundserverproxys

Auf Verbundserverproxys wird der Verbunddienstproxy-Rollendienst von AD FS gehostet. Sie können Verbundserverproxys im Umkreisnetzwerk (auch bekannt als demilitarisierte Zone (DMZ), Extranet oder abgeschirmtes Subnetz) Ihrer Organisation bereitstellen, um Anforderungen an Verbundserver weiterzuleiten, auf die aus dem Internet nicht zugegriffen werden kann.

Hinweis

Sie können als Hosts für den Verbunddienstproxy-Rollendienst verschiedene Server verwenden. Es ist jedoch nicht erforderlich, einen separaten Server als Verbundserverproxy in der Intranetgesamtstruktur des Kontopartners oder des Ressourcenpartners zu nutzen. Diese Rolle übernimmt ein Verbundserver automatisch.

Weitere Informationen zu Verbundserverproxys finden Sie unter Grundlegendes zum Verbunddienstproxy-Rollendienst.

AD FS-fähige Webserver

Webserver, die als Host für den Ansprüche unterstützenden oder den tokenbasierten Windows AD FS-Web-Agent-Rollendienst dienen, werden als AD FS-fähige Webserver bezeichnet. Diese Server bieten sicheren Zugriff auf die auf ihnen gehosteten Webanwendungen. Der AD FS-Web-Agent verwaltet Sicherheitstokens und Authentifizierungscookies, die an einen AD FS-fähigen Webserver gesendet werden. Für einen AD FS-fähigen Webserver ist eine Beziehung zu einem Verbunddienst erforderlich, um sicherzustellen, dass alle Authentifizierungstokens von diesem Verbunddienst stammen.

Weitere Informationen zu AD FS-fähigen Webservern finden Sie unter Grundlegendes zum AD FS-Web-Agent-Rollendienst.


Inhaltsverzeichnis