Sie können den Assistenten zum Hinzufügen von Kontopartnern verwenden, um einen neuen Kontopartner manuell oder durch das Importieren einer Richtliniendatei hinzuzufügen. Auf diese Weise wird es Benutzerkonten des Kontopartners ermöglicht, auf Webanwendungen zuzugreifen, die durch diesen Verbunddienst geschützt werden. Informationen (möglicherweise in englischer Sprache) zur verbesserten Importfunktionalität in dieser Version von Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) finden Sie im Thema zu den Neuigkeiten bei AD FS in Windows Server 2008 (https://go.microsoft.com/fwlink/?LinkId=85684).

Sie müssen mindestens Mitglied der lokalen Gruppe Administratoren oder einer entsprechenden Gruppe sein, damit Sie diese Verfahren ausführen können. Weitere Informationen zum Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter https://go.microsoft.com/fwlink/?LinkId=83477.

Manuelles Hinzufügen eines Kontopartners

Sie können das folgende Verfahren verwenden, um einen Kontopartner manuell hinzuzufügen.

So fügen Sie einen Kontopartner manuell hinzu
  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie anschließend auf Active Directory-Verbunddienste.

  2. Doppelklicken Sie in der Konsolenstruktur auf Verbunddienst, dann auf Vertrauensrichtlinie, und anschließend doppelklicken Sie auf Partnerorganisationen.

  3. Klicken Sie mit der rechten Maustaste auf Kontopartner, zeigen Sie auf Neu, und klicken Sie auf Kontopartner.

  4. Klicken Sie auf der Seite Willkommen auf Weiter.

  5. Klicken Sie auf der Seite Richtliniendatei importieren auf Nein und dann auf Weiter.

  6. Führen Sie auf der Seite Kontopartnerdetails die folgenden Schritte aus, und klicken Sie auf Weiter:

    • Geben Sie im Feld Anzeigename den Anzeigenamen des Kontopartners ein.

    • Geben Sie im Feld Verbunddienst-URI den Uniform Resource Identifier (URI) für den Verbunddienst ein.

    • Geben Sie im Feld Verbunddienstendpunkt-URL die URL (Uniform Resource Locator) für den Verbunddienst ein.

  7. Geben Sie auf der Seite Kontopartner-Verifizierungszertifikat den Pfad zum Verifizierungszertifikat ein bzw. suchen Sie danach, und klicken Sie auf Weiter.

  8. Führen Sie auf der Seite Verbundszenario einen der folgenden Schritte aus, und klicken Sie auf Weiter:

    • Wenn Sie eine Vertrauensstellung mit einer anderen Organisation einrichten oder wenn Sie keine vorhandene Gesamtstruktur-Vertrauensstellung verwenden möchten, klicken Sie auf Federated-Web-SSO, und setzen Sie den Vorgang dann bei Schritt 10 fort.

    • Wenn Sie eine Vertrauensstellung innerhalb einer Organisation einrichten und beide Seiten bereits eine Gesamtstruktur-Vertrauensstellung nutzen, klicken Sie auf Federated-Web-SSO mit Gesamtstruktur-Vertrauensstellung.

  9. Führen Sie auf der Seite Federated-Web-SSO mit Gesamtstruktur-Vertrauensstellung einen der folgenden Schritte aus, und klicken Sie auf Weiter:

    • Wenn Sie Benutzer aller Domänen annehmen möchten, die der Kontopartner als vertrauenswürdig eingestuft hat, klicken Sie auf Alle AD-Domänen und -Gesamtstrukturen. Alle Benutzer, deren Authentifizierung beim Kontopartner erfolgreich ist, werden angenommen.

    • Wenn Sie nur Benutzerkonten aus einigen Domänen annehmen möchten, die der Kontopartner als vertrauenswürdig eingestuft hat, klicken Sie auf Die folgenden Active Directory-Domänen und -Gesamtstrukturen. Geben Sie dann unter Neue, vertrauenswürdige AD DS-Domäne oder -Gesamtstruktur den Namen einer Domäne bzw. einer Gesamtstruktur ein, und klicken Sie auf Hinzufügen. Es werden nur Benutzer aus den angegebenen Domänen angenommen.

  10. Wählen Sie auf der Seite Kontopartner-Identitätsansprüche einen oder mehrere Identitätsansprüche zur gemeinsamen Nutzung mit dem Ressourcenpartner aus, und klicken Sie auf Weiter.

    • Wenn der Ressourcenpartner UPN-Ansprüche (User Principal Name, Benutzerprinzipalnamen) benötigt, um Autorisierungsentscheidungen treffen zu können, aktivieren Sie das Kontrollkästchen UPN-Anspruch.

    Wichtig

    Wenn UPN-Ansprüche oder E-Mail-Ansprüche verwendet werden, um Autorisierungsentscheidungen zu treffen, ist es wichtig, dass jeder Kontopartner ein eindeutiges UPN-Suffix bzw. E-Mail-Suffix aufweist. Wenn zwei Kontopartner dasselbe UPN-Suffix bzw. E-Mail-Suffix aufweisen, können Benutzer möglicherweise nicht eindeutig identifiziert werden. Es kann passieren, dass ein Benutzer des einen Kontopartners die Berechtigungen erhält, die für einen Benutzer des anderen Kontopartners bestimmt sind. Dieser Zustand stellt zudem ein beträchtliches potenzielles Sicherheitsrisiko dar, da ein Administrator absichtlich Benutzerkonten erstellen könnte, um die Identität von Benutzern eines Ihrer anderen Kontopartner anzunehmen.

    Hinweis

    Wenn Sie das Szenario Federated-Web-SSO mit Gesamtstruktur-Vertrauensstellung ausgewählt haben, ist die Option UPN-Anspruch bereits ausgewählt und kann nicht konfiguriert werden. Der Grund dafür ist, dass für dieses Szenario UPN-Ansprüche erforderlich sind.

    • Wenn der Ressourcenpartner E-Mail-Ansprüche benötigt, um Autorisierungsentscheidungen treffen zu können, aktivieren Sie das Kontrollkästchen E-Mail-Anspruch.

    • Wenn der Ressourcenpartner allgemeine Namensansprüche benötigt, um Autorisierungsentscheidungen treffen zu können, aktivieren Sie das Kontrollkästchen Allgemeiner Namensanspruch.

  11. Wenn Sie UPN-Anspruch als Identitätsanspruch ausgewählt haben, führen Sie auf der Seite Angenommene UPN-Suffixe einen der folgenden Schritte aus, und klicken Sie dann auf Weiter:

    • Wenn Sie die Option Federated-Web-SSO mit Gesamtstruktur-Vertrauensstellung ausgewählt haben, klicken Sie auf Alle UPN-Suffixe oder auf Nur Suffixe aus der folgenden Liste, geben Sie die angenommenen Suffixe ein, und klicken Sie dann auf Hinzufügen.

    • Wenn Sie die Option Federated-Web-SSO ausgewählt haben, geben Sie unter Neues Suffix hinzufügen das angenommene Suffix ein, und klicken Sie dann auf Hinzufügen.

  12. Wenn Sie E-Mail-Anspruch als Identitätsanspruch ausgewählt haben, führen Sie auf der Seite Angenommene E-Mail-Suffixe einen der folgenden Schritte aus, und klicken Sie dann auf Weiter:

    • Wenn Sie die Option Federated-Web-SSO mit Gesamtstruktur-Vertrauensstellung ausgewählt haben, klicken Sie auf Alle E-Mail-Suffixe oder auf Nur Suffixe aus der folgenden Liste, geben Sie die angenommenen Suffixe ein, und klicken Sie dann auf Hinzufügen.

    • Wenn Sie die Option Federated-Web-SSO ausgewählt haben, geben Sie unter Neues Suffix hinzufügen das angenommene Suffix ein, und klicken Sie dann auf Hinzufügen.

    Hinweis

    Für allgemeine Namensansprüche sind keine weiteren Informationen erforderlich.

  13. Wenn Sie den Kontopartner zu diesem Zeitpunkt nicht aktivieren möchten, deaktivieren Sie auf der Seite Diesen Kontopartner aktivieren das Kontrollkästchen Diesen Kontopartner aktivieren und klicken auf Weiter.

  14. Klicken Sie auf Fertig stellen, um den neuen Kontopartner hinzuzufügen und den Assistenten zu schließen.

Hinzufügen eines Kontopartners durch Importieren einer Richtliniendatei

Sie können das folgende Verfahren verwenden, um einen Kontopartner durch Importieren einer Richtliniendatei hinzuzufügen.

So fügen Sie einen Kontopartner durch Importieren einer Richtliniendatei hinzu
  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie anschließend auf Active Directory-Verbunddienste.

  2. Doppelklicken Sie in der Konsolenstruktur auf Verbunddienst, dann auf Vertrauensrichtlinie, und anschließend doppelklicken Sie auf Partnerorganisationen.

  3. Klicken Sie mit der rechten Maustaste auf Kontopartner, zeigen Sie auf Neu, und klicken Sie auf Kontopartner.

  4. Klicken Sie auf der Seite Willkommen auf Weiter.

  5. Führen Sie auf der Seite Richtliniendatei importieren die folgenden Schritte aus, und klicken Sie dann auf Weiter:

    • Klicken Sie auf Ja.

    • Suchen Sie unter Partnerinteroperabilitäts-Richtliniendatei nach dem Speicherort der Richtliniendatei des Kontopartners bzw. geben Sie ihn ein.

  6. Geben Sie auf der Seite Kontopartnerdetails unter Anzeigename den Anzeigenamen des Kontopartners ein. Überprüfen Sie anschließend, ob die zusätzlich importierten Partnereinstellungen richtig sind, und klicken Sie dann auf Weiter.

  7. Führen Sie auf der Seite Kontopartner-Verifizierungszertifikat einen der folgenden Schritte aus, und klicken Sie dann auf Weiter:

    • Klicken Sie auf Verifizierungszertifikat in der Importrichtliniendatei verwenden.

    • Klicken Sie auf Anderes Verifizierungszertifikat verwenden, und geben Sie dann den Speicherort des Zertifikats ein, oder klicken Sie auf Durchsuchen.

  8. Führen Sie auf der Seite Verbundszenario einen der folgenden Schritte aus, und klicken Sie auf Weiter:

    • Wenn Sie eine Vertrauensstellung mit einer anderen Organisation einrichten oder wenn Sie keine vorhandene Gesamtstruktur-Vertrauensstellung verwenden möchten, klicken Sie auf Federated-Web-SSO, und setzen Sie den Vorgang dann bei Schritt 10 fort.

    • Wenn Sie eine Vertrauensstellung innerhalb einer Organisation einrichten und beide Seiten bereits eine Gesamtstruktur-Vertrauensstellung verwenden, klicken Sie auf Federated-Web-SSO mit Gesamtstruktur-Vertrauensstellung.

  9. Führen Sie auf der Seite Federated-Web-SSO mit Gesamtstruktur-Vertrauensstellung einen der folgenden Schritte aus, und klicken Sie dann auf Weiter:

    • Wenn Sie Benutzer aller Domänen annehmen möchten, die der Kontopartner als vertrauenswürdig eingestuft hat, klicken Sie auf Alle AD-Domänen und -Gesamtstrukturen. Alle Benutzer, deren Authentifizierung beim Kontopartner erfolgreich ist, werden angenommen.

    • Wenn Sie nur Benutzerkonten aus einigen Domänen annehmen möchten, die der Kontopartner als vertrauenswürdig eingestuft hat, klicken Sie auf Die folgenden Active Directory-Domänen und -Gesamtstrukturen. Geben Sie dann unter Neue, vertrauenswürdige AD DS-Domäne oder -Gesamtstruktur den Namen der Domäne bzw. der Gesamtstruktur ein, und klicken Sie auf Hinzufügen. Es werden nur Benutzer aus den angegebenen Domänen angenommen.

  10. Wählen Sie auf der Seite Kontopartner-Identitätsansprüche einen oder mehrere Identitätsansprüche aus, die dieser Partner bereitstellen wird, und klicken Sie auf Weiter:

    • Wenn der Ressourcenpartner UPN-Ansprüche benötigt, um Autorisierungsentscheidungen treffen zu können, aktivieren Sie das Kontrollkästchen UPN-Anspruch.

    Wichtig

    Wenn UPN-Ansprüche oder E-Mail-Ansprüche verwendet werden, um Autorisierungsentscheidungen zu treffen, ist es wichtig, dass jeder Kontopartner ein eindeutiges UPN-Suffix bzw. E-Mail-Suffix aufweist. Wenn zwei Kontopartner dasselbe UPN-Suffix bzw. E-Mail-Suffix aufweisen, können Benutzer möglicherweise nicht eindeutig identifiziert werden. Es kann passieren, dass ein Benutzer des einen Kontopartners die Berechtigungen erhält, die für einen Benutzer des anderen Kontopartners bestimmt sind. Dieser Zustand stellt zudem ein beträchtliches potenzielles Sicherheitsrisiko dar, da ein Administrator absichtlich Benutzerkonten erstellen könnte, um die Identität von Benutzern eines Ihrer anderen Kontopartner anzunehmen.

    Hinweis

    Wenn Sie das Szenario Federated-Web-SSO mit Gesamtstruktur-Vertrauensstellung ausgewählt haben, ist die Option UPN-Anspruch bereits ausgewählt und kann nicht konfiguriert werden. Der Grund dafür ist, dass für dieses Szenario UPN-Ansprüche erforderlich sind.

    • Wenn der Ressourcenpartner E-Mail-Ansprüche benötigt, um Autorisierungsentscheidungen treffen zu können, aktivieren Sie das Kontrollkästchen E-Mail-Anspruch.

    • Wenn der Ressourcenpartner allgemeine Namensansprüche benötigt, um Autorisierungsentscheidungen treffen zu können, aktivieren Sie das Kontrollkästchen Allgemeiner Namensanspruch.

  11. Wenn Sie UPN-Anspruch als Identitätsanspruch ausgewählt haben, führen Sie auf der Seite Akzeptierte UPN-Suffixe einen der folgenden Schritte aus, und klicken Sie dann auf Weiter:

    • Wenn Sie die Option Federated-Web-SSO mit Gesamtstruktur-Vertrauensstellung ausgewählt haben, klicken Sie auf Alle UPN-Suffixe oder auf Nur Suffixe aus der folgenden Liste, geben Sie die akzeptierten Suffixe ein, und klicken Sie dann auf Hinzufügen.

    • Wenn Sie die Option Federated-Web-SSO ausgewählt haben, geben Sie unter Neues Suffix hinzufügen das akzeptierte Suffix ein, und klicken Sie dann auf Hinzufügen.

  12. Wenn Sie E-Mail-Anspruch als Identitätsanspruch ausgewählt haben, führen Sie auf der Seite Akzeptierte UPN-Suffixe einen der folgenden Schritte aus, und klicken Sie dann auf Weiter:

    • Wenn Sie die Option Federated-Web-SSO mit Gesamtstruktur-Vertrauensstellung ausgewählt haben, klicken Sie auf Alle E-Mail-Suffixe oder auf Nur Suffixe aus der folgenden Liste, geben Sie die akzeptierten Suffixe ein, und klicken Sie dann auf Hinzufügen.

    • Wenn Sie die Option Federated-Web-SSO ausgewählt haben, geben Sie unter Neues Suffix hinzufügen das akzeptierte Suffix ein, und klicken Sie dann auf Hinzufügen.

  13. Wenn Sie den Kontopartner zu diesem Zeitpunkt nicht aktivieren möchten, deaktivieren Sie auf der Seite Kontopartner aktivieren das Kontrollkästchen Kontopartner aktivieren und klicken auf Weiter.

  14. Klicken Sie auf Fertig stellen, um den neuen Kontopartner hinzuzufügen und den Assistenten zu schließen.

Umbenennen eines importierten Kontopartners

Sie können das folgende Verfahren verwenden, um einen importierten Kontopartner umzubenennen.

So benennen Sie einen importierten Kontopartner um
  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie anschließend auf Active Directory-Verbunddienste.

  2. Doppelklicken Sie in der Konsolenstruktur auf Verbunddienst, dann auf Vertrauensrichtlinie, und doppelklicken Sie anschließend auf Partnerorganisationen und Kontopartner.

  3. Klicken Sie mit der rechten Maustaste auf den Kontopartner, und klicken Sie dann auf Umbenennen.

  4. Geben Sie einen neuen Namen für den Kontopartner ein.


Inhaltsverzeichnis