Identifizieren Sie während des Entwurfs Ihrer Active Directory-Verbunddienste-Bereitstellung (Active Directory Federation Services, AD FS) den Typ der verbundenen Anwendung, die durch Active Directory-Domänendienste (Active Directory Domain Services, AD DS) geschützt werden soll. Damit eine Anwendung verbunden sein kann, muss sie mindestens einem der in den folgenden Abschnitten beschriebenen Anwendungstypen entsprechen.

Informationen zur verbesserten Anwendungsunterstützung in dieser Version von Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) finden Sie im Thema zu den Neuigkeiten bei AD FS in Windows Server 2008 (https://go.microsoft.com/fwlink/?LinkId=85684, möglicherweise in englischer Sprache).

Ansprüche unterstützende Anwendung

Ansprüche sind Aussagen (z. B. Name, Identität, Schlüssel, Gruppe, Berechtigung oder Funktion), die über Benutzer getroffen werden (und von beiden Partnern in einem Active Directory-Verbunddienst (Active Directory Federation Service, AD FS) verstanden werden) und für die Autorisierung durch eine Anwendung verwendet werden.

Eine Ansprüche unterstützende Anwendung ist eine Microsoft ASP.NET-Anwendung, die mit der AD FS-Klassenbibliothek erstellt wurde. Dieser Anwendungstyp kann AD FS-Ansprüche verwenden, um Autorisierungsentscheidungen direkt zu treffen. Eine Ansprüche unterstützende Anwendung akzeptiert vom Verbunddienst in AD FS-Sicherheitstokens gesendete Ansprüche. Weitere Informationen zur Verwendung von Sicherheitstokens und Ansprüchen durch den Verbunddienst finden Sie unter Grundlegendes zum Verbunddienst-Rollendienst.

Die Anspruchszuordnung ist das Zuordnen, Entfernen oder Filtern von eingehenden Ansprüchen oder das Weiterleiten von eingehenden Ansprüchen an ausgehende Ansprüche. Die Anspruchszuordnung findet nicht statt, wenn Ansprüche an eine Anwendung gesendet werden. Stattdessen werden nur die vom Verbunddienstadministrator beim Ressourcenpartner definierten Organisationsansprüche an die Anwendung gesendet. (Organisationsansprüche sind Ansprüche in einem Zwischenformat oder normalisierten Format innerhalb des Namespaces einer Organisation.) Weitere Informationen zu Ansprüchen und zur Anspruchszuordnung finden Sie unter Grundlegendes zu Ansprüchen.

In der folgenden Liste sind die Organisationsansprüche beschrieben, die von Ansprüche unterstützenden Anwendungen verwendet werden können:

  • Identitätsansprüche (UPN/E-Mail/allgemeiner Name)

    Sie geben beim Konfigurieren der Anwendung an, welcher dieser Identitätsansprüche an die Anwendung gesendet wird. Eine Zuordnung oder Filterung findet nicht statt.

  • Gruppenansprüche

    Sie geben die an die Anwendung gesendeten Organisationsgruppenansprüche beim Konfigurieren der Anwendung an. Organisationsgruppenansprüche, die nicht an die Anwendung gesendet werden sollen, werden verworfen.

  • Benutzerdefinierte Ansprüche

    Sie geben die an die Anwendung gesendeten benutzerdefinierten Organisationsansprüche beim Konfigurieren der Anwendung an. Benutzerdefinierte Organisationsansprüche, die nicht an die Anwendung gesendet werden sollen, werden verworfen.

Ansprüche unterstützende Autorisierung

Die Ansprüche unterstützende Autorisierung besteht aus einem HTTP-Modul (Hypertext Transfer Protocol) und Objekten zum Abfragen der im AD FS-Sicherheitstoken übertragenen Ansprüche. Die Ansprüche unterstützende Autorisierung wird nur für Microsoft ASP.NET-Anwendungen unterstützt.

Das HTTP-Modul verarbeitet AD FS-Protokollmeldungen basierend auf Konfigurationseinstellungen in der Datei Web.config der Webanwendung. Die Webseiten führen Authentifizierungs- und Autorisierungsaufgaben aus. Das HTTP-Modul authentifiziert auch Cookies und ruft Ansprüche aus den Cookies ab.

Tokenbasierte Windows NT-Anwendung

Eine tokenbasierte Windows NT-Anwendung ist eine Internetinformationsdienste-Anwendung (Internet Information Services, IIS), die für die Verwendung herkömmlicher Windows-Autorisierungsmechanismen programmiert wurde. Dieser Anwendungstyp ist nicht für die Verarbeitung von AD FS-Ansprüchen ausgelegt.

Tokenbasierte Windows NT-Anwendungen können von Windows-Benutzern aus dem lokalen Bereich oder aus einem Bereich, dem der lokale Bereich vertraut, verwendet werden, d. h. nur von Benutzern, die sich mit tokenbasierten Windows NT-Authentifizierungsmechanismen am Computer anmelden können.

Hinweis

Bei Verbundentwürfen bedeutet dies, dass für die tokenbasierte Windows NT-Authentifizierung möglicherweise Ressourcenkonten oder Ressourcengruppen erforderlich sind.

Das an den tokenbasierten Windows NT-Agent gesendete AD FS-Sicherheitstoken kann einen beliebigen der folgenden Anspruchstypen enthalten:

  • Einen UPN-Anspruch (User Principal Name) für den Benutzer

  • Einen E-Mail-Anspruch für den Benutzer

  • Einen Gruppenanspruch

  • Einen benutzerdefinierten Anspruch für den Benutzer

  • Einen UPN-, E-Mail-, Gruppen- oder benutzerdefinierten Anspruch, der Sicherheitskennungen (Security Identifier, SID) des Benutzerkontos enthält. (Dies ist nur gültig, wenn die Option Windows-Vertrauensstellung ausgewählt ist.)

Der AD FS-fähige Webserver generiert ein Windows-Identitätswechselzugriffstoken. Ein Identitätswechselzugriffstoken erfasst die Sicherheitsinformationen für einen Clientprozess. Dadurch wird es einem Dienst ermöglicht, bei Sicherheitsvorgängen die Identität des Clientprozesses anzunehmen.

Bei tokenbasierten Windows NT-Webanwendungen bestimmt die folgende Prozessreihenfolge, wie ein Windows NT-Token erstellt wird:

  1. Wenn das SAML-Token (Security Assertion Markup Language) SIDs im SAML-Advice-Element enthält, werden die SIDs zum Generieren des Windows NT-Tokens verwendet.

  2. Wenn das SAML-Token keine SIDs, sondern einen UPN-Identitätsanspruch enthält, wird der UPN-Anspruch zum Generieren des Windows NT-Tokens verwendet.

  3. Wenn das SAML-Token keine SIDs enthält und der UPN-Identitätsanspruch im E-Mail-Identitätsanspruch vorhanden ist, wird er als UPN interpretiert und zum Generieren des Windows NT-Tokens verwendet.

Dieses Verhalten ist unabhängig davon, ob der UPN- oder E-Mail-Identitätsanspruch beim Erstellen des Vertrauensrichtlinieneintrags für die Webanwendung im Verbunddienst als Identitätsanspruch für die Generierung des Windows NT-Tokens angegeben wird.

Herkömmliche Windows-basierte Autorisierung

Eine Reihe von Komponenten ist erforderlich, um Unterstützung für die Konvertierung eines AD FS-Sicherheitstokens in ein Windows NT-Identitätswechselzugriffstoken bereitzustellen:

  • ISAPI-Erweiterung (Internet Server Application Programming Interface): Diese Komponente überprüft, ob AD FS-Cookies und AD FS-Sicherheitstokens vom Verbunddienst vorhanden sind, führt die entsprechenden Protokollumleitungen aus und schreibt die erforderlichen Cookies, damit AD FS funktionsfähig ist.

  • AD FS-Authentifizierungspaket: Das AD FS-Authentifizierungspaket generiert anhand eines UPN für ein Domänenkonto ein Identitätswechselzugriffstoken. Das Paket erfordert, dass der Aufrufer die Berechtigung Trust Computing Base (TCB) besitzt.

  • Die Eigenschaftenseiten AD FS-Web-Agent und Verbunddienste-URL im IIS-Manager-Snap-In: Sie können diese Eigenschaftenseiten verwenden, um Richtlinien und Zertifikate für die Überprüfung von AD FS-Sicherheitstokens und -Cookies zu verwalten.

  • AD FS-Web-Agent-Authentifizierungsdienst: Der AD FS-Web-Agent-Authentifizierungsdienst wird als lokales System ausgeführt, um mithilfe von S4U (Service-for-User) oder des AD FS-Authentifizierungspakets ein Token zu generieren. Der IIS-Anwendungspool muss jedoch nicht als lokales System ausgeführt werden. Der AD FS-Web-Agent-Authentifizierungsdienst verfügt über Schnittstellen, die nicht mit einem Remoteprozeduraufruf (Remote Procedure Call, RPC), sondern nur mit einem lokalen Remoteprozeduraufruf (Local Remote Procedure Call, LRPC) aufgerufen werden können. Der Dienst gibt ein Windows NT-Identitätswechselzugriffstoken zurück, wenn er ein AD FS-Sicherheitstoken oder ein AD FS-Cookie erhält.

  • AD FS-Web-Agent-ISAPI-Filter: Bestimmte herkömmliche IIS-Webanwendungen verwenden einen ISAPI-Filter, der eingehende Daten wie URLs (Uniform Resource Locator) ändern kann. Wenn dies der Fall ist, muss der AD FS-Web-Agent-ISAPI-Filter aktiviert und als Filter mit der höchsten Priorität konfiguriert werden. Dieser Filter ist standardmäßig nicht aktiviert.


Inhaltsverzeichnis