Active Directory Federation Services (AD FS) kan alleen functioneren als de servers waarop Windows Server 2008 of Windows Server 2008 R2 wordt uitgevoerd zijn geconfigureerd met de juiste AD FS-functieservices. AD FS-functieservices zijn afzonderlijke onderdelen van AD FS die u installeert op servers waarop Windows Server 2008 of Windows Server 2008 R2 wordt uitgevoerd. U kunt de volgende AD FS-rolservices installeren met de wizard Rolservices toevoegen:

  • Federation-service

  • Federation-serviceproxy

  • Claimbewuste agent

  • Agent voor op tokens gebaseerde Windows-toepassingen

Afhankelijk van de omgeving in uw organisatie moeten er specifieke AD FS-serverrollen worden geïmplementeerd. In de volgende secties worden de serverrollen beschreven die bijhoren bij elke AD FS-rolservice die u kunt gebruiken voor een federatieve AD FS-oplossing voor identiteitsbeheer.

Federatieservers

Federatieservers treden op als host van de AD FS-rolservice Federation-service. Deze servers routeren verificatieaanvragen van gebruikersaccounts in andere organisaties (in federatieve web-SSO-ontwerpen) of van clients die op internet kunnen worden gevonden (in het web-SSO-ontwerp). Zie Wat zijn Federation-ontwerpen? voor meer informatie over de verschillende AD FS-ontwerpen.

Federation-servers fungeren ook als host van een beveiligingstokenservice die tokens uitgeeft die zijn gebaseerd op de referenties (bijvoorbeeld gebruikersnaam en wachtwoord) die aan de service worden aangeboden. Nadat de referenties zijn geverifieerd (door de gebruiker die zich aanmeldt), worden claims voor de gebruiker verzameld door de kenmerken voor de gebruiker te onderzoeken die in AD DS (Active Directory Domain Services) of AD LDS (Active Directory Lightweight Directory Services) zijn opgeslagen.

Zie Wat is de rolservice Federation-service? voor meer informatie over federatieservers.

Federation-serverproxy's

Federation-serverproxy's treden op als host van de AD FS-rolservice Federation-serviceproxy. U kunt Federation-serverproxy's in het perimeternetwerk (ook bekend als gedemilitariseerde zone, extranet of gecontroleerd subnet) van uw organisatie implementeren om aanvragen door te sturen naar federatieservers die niet toegankelijk zijn via internet.

Opmerking

Hoewel u afzonderlijke servers kunt inzetten die als host voor de rolservice Federation-serviceproxy optreden, is het niet nodig om een aparte server te implementeren die als Federation-serverproxy in het intranetforest van de accountpartner of bronpartner optreedt. Een Federation-server voert deze rol automatisch uit.

Zie Wat is de rolservice Federation-serviceproxy? voor meer informatie over Federation-serverproxy's.

AD FS-webservers

Webservers die als host optreden van de claimbewuste AD FS-webagent of de AD FS-webagent voor op tokens gebaseerde Windows-toepassingen worden AD FS-webservers genoemd. Deze servers bieden beveiligde toegang tot de webtoepassingen die zich bevinden op die webservers. De webagent voor AD FS beheert beveiligingstokens en verificatiecookies die naar een AD FS-webserver worden verzonden. Een AD FS-webserver moet een relatie met een Federation-service hebben, zodat alle verificatietokens van die Federation-service afkomstig zijn.

Zie Wat is de rolservice Webagent voor AD FS? voor meer informatie over AD FS-webservers.


Inhoudsopgave