Bereitstellen von Zugriff auf Ihre Ansprüche unterstützenden Anwendungen und Dienste für Active Directory-Benutzer

Wenn Sie bei einer Bereitstellung von Active Directory-Verbunddienste (AD FS) Administrator in der Kontopartnerorganisation sind und Ihr Bereitstellungsziel darin besteht, Mitarbeitern im Unternehmensnetzwerk Zugriff durch einmaliges Anmelden (Single Sign-On, SSO) auf Ihre gehosteten Ressourcen zu ermöglichen, gilt Folgendes:

  • Mitarbeiter, die im Unternehmensnetzwerk bei der Active Directory-Gesamtstruktur angemeldet sind, können mit SSO im Umkreisnetzwerk in Ihrer Organisation auf mehrere Programme oder Dienste zugreifen. Diese Anwendungen und Dienste sind durch AD FS geschützt.

    Beispielsweise könnte Fabrikam wünschen, das zum Unternehmensnetzwerk gehörende Mitarbeiter Verbundzugriff auf webbasierte Anwendungen haben, die im Umkreisnetzwerk für Fabrikam gehostet werden.

  • Remotemitarbeiter, die bei der Active Directory-Domäne angemeldet sind, können AD FS-Tokens von dem Verbundserver in Ihrer Organisation erhalten, um Verbundzugriff auf AD FS-gesicherte webbasierte Anwendungen oder Dienste zu erhalten, die sich ebenfalls in Ihrer Organisation befinden.

  • Die AD FS-Tokens der Mitarbeiter können mit Informationen aus dem Active Directory-Attributspeicher aufgefüllt werden.

Die folgenden Komponenten sind für dieses Bereitstellungsziel erforderlich:

  • Active Directory-Domänendienste (AD DS): AD DS enthält die Mitarbeiterbenutzerkonten, die zum Generieren von AD FS-Token verwendet werden. Informationen, wie z. B. Gruppenmitgliedschaften und Attribute, werden als Gruppenansprüche und benutzerdefinierte Ansprüche in AD FS-Tokens kopiert.

    Hinweis

    Sie können auch Lightweight Directory Access-Protokoll (LDAP) oder Structured Query Language (SQL) zur Aufnahme der Identitäten zur Generierung von AD FS-Tokens verwenden.

  • Unternehmens-DNS: Diese Implementierung von Domain Name System (DNS) enthält einen einfachen Hostressourceneintrag (A), sodass Intranetclients den Kontoverbundserver finden können. Diese DNS-Implementierung kann auch andere DNS-Einträge hosten, die im Unternehmensnetzwerk erforderlich sind. Weitere Informationen finden Sie unter Anforderungen an die Namensauflösung für Verbundserver.

  • Verbundserver des Kontopartners: Dieser Verbundserver wird in eine Domäne in der Kontopartner-Gesamtstruktur eingebunden. Er authentifiziert Mitarbeiterbenutzerkonten und generiert AD FS-Tokens. Der Clientcomputer für den Mitarbeiter führt die integrierte Windows-Authentifizierung für diesen Verbundserver aus, um ein AD FS-Token zu generieren. Weitere Informationen finden Sie unter Review the Role of the Federation Server in the Account Partner.

    Der Verbundserver des Kontopartners kann die folgenden Benutzer authentifizieren:

    • Mitarbeiter mit Benutzerkonten in dieser Domäne

    • Mitarbeiter mit Benutzerkonten an beliebiger Stelle in der Gesamtstruktur

    • Mitarbeiter mit Benutzerkonten an beliebiger Stelle in Gesamtstrukturen, denen diese Gesamtstruktur (über eine bidirektionale Windows-Vertrauensstellung) vertraut.

  • Mitarbeiter: Ein Mitarbeiter greift auf einen webbasierten Dienst (durch eine Anwendung) oder eine webbasierte Anwendung (über einen unterstützten Webbrowser) zu, während er beim Unternehmensnetzwerk angemeldet ist. Der Clientcomputer des Mitarbeiters im Unternehmensnetzwerk kommuniziert zur Authentifizierung direkt mit dem Verbundserver.

Nach Durchlesen der Informationen in den verknüpften Themen können Sie anhand der Schritte in Checklist: Implementing a Federated Web SSO Designmit der Umsetzung dieses Bereitstellungsziels beginnen.

In der folgenden Abbildung sind die zum Erreichen dieses AD FS-Bereitstellungsziels erforderlichen Komponenten dargestellt.

access to your claims

Weitere Informationen

AD FS-Entwurfshandbuch in Windows Server 2012