Federated-Web-SSO – Entwurf

Der Entwurf „Federated-Web-SSO“ (für einmaliges Anmelden) in Active Directory Federation Services (AD FS) sorgt unter Einbeziehung mehrerer Firewalls, Umkreisnetzwerke und Namensauflösungsserver zusätzlich zur gesamten Routinginfrastruktur im Internet für sichere Kommunikation.

Dieser Entwurf wird in der Regel verwendet, wenn zwei Organisationen die Einrichtung einer Verbundvertrauensstellung verabreden, um Benutzer*innen in einer Organisationen (der Kontopartnerorganisation) den Zugriff auf webbasierte Anwendungen oder Dienste, die von AD FS geschützt werden, in der anderen Organisation (der Ressourcenpartnerorganisation) zu erlauben.

Anders ausgedrückt, ist eine Verbundvertrauensstellung die Verkörperung einer geschäftlichen Vereinbarung oder Partnerschaft zwischen zwei Organisationen. Wie in der folgenden Abbildung gezeigt, können Sie eine Verbundvertrauensstellung zwischen zwei Unternehmen einrichten, wodurch ein durchgehendes Verbundszenario erzeugt wird.

federated web sso

Der unidirektionale Pfeil in der Abbildung gibt die Richtung der Verbundvertrauensstellung an, die (wie die Richtung von Windows-Vertrauensstellungen) stets auf die Kontoseite der Gesamtstruktur zeigt. Dies bedeutet, dass die Authentifizierung von der Kontopartnerorganisation zur Ressourcenpartnerorganisation verläuft.

Bei diesem Entwurf „Federated-Web-SSO“ leiten zwei Verbundserver (einer in Fabrikam und der andere in Contoso) Authentifizierungsanforderungen von Benutzerkonten in Fabrikam zu webbasierten Anwendungen oder Diensten in Contoso.

Hinweis

Für mehr Sicherheit können Sie Verbundserverproxys einsetzen, um Anforderungen an Verbundserver zu leiten, auf die nicht direkt über das Internet zugegriffen werden kann.

In diesem Beispiel ist Fabrikam der Identitäts- bzw. Kontoanbieter. Der Fabrikam-Teil des Entwurfs „Federated-Web-SSO“ verwendet das folgende Bereitstellungsziel für AD FS:

Contoso ist der Ressourcenanbieter. Der Contoso-Teil des Entwurfs „Federated-Web-SSO“ erreicht die folgenden Bereitstellungsziele für AD FS:

Eine detaillierte Liste der Aufgaben, die Sie zum Planen und Bereitstellen des Entwurfs "Federated-Web-SSO" verwenden können, finden Sie unter Checklist: Implementing a Federated Web SSO Design.

Weitere Informationen

AD FS-Entwurfshandbuch in Windows Server 2012