ADFS ist eine neue Funktion im Betriebssystem Windows Server 2008. Es bietet eine einheitliche Zugriffslösung für den browserbasierten Zugriff für interne und externe Benutzer. Diese neue Funktion kann sogar die Kommunikation zwischen Konten und Anwendungen zwischen zwei völlig unterschiedlichen Netzwerken oder Organisationen ermöglichen.
Um zu verstehen, wie ADFS funktioniert, können Sie zunächst die Funktionsweise von Active Directory betrachten. Wenn sich ein Benutzer über Active Directory authentifiziert, überprüft der Domänencontroller das Zertifikat des Benutzers. Nachdem er nachgewiesen hat, dass er ein legitimer Benutzer ist, kann der Benutzer frei auf alle autorisierten Ressourcen im Windows-Netzwerk zugreifen, ohne sich jedes Mal erneut authentifizieren zu müssen, wenn er auf einen anderen Server zugreift. ADFS wendet dasselbe Konzept auf das Internet an. Wir alle wissen, dass die Sicherheitsauthentifizierungsprobleme für die Back-End-Ressourcen oft kompliziert sind, wenn eine Webanwendung auf Back-End-Daten zugreifen muss, die sich in einer Datenbank oder anderen Arten von Back-End-Ressourcen befinden. Für eine solche Authentifizierung stehen heute viele verschiedene Authentifizierungsmethoden zur Verfügung. Beispielsweise könnte der Benutzer einen Eigentümerauthentifizierungsmechanismus über einen RADIUS-Server (Remote Authentication Dial-in User Service) oder über einen Teil des Anwendungscodes implementieren. Diese Authentifizierungsmechanismen können alle Authentifizierungsfunktionen implementieren, weisen jedoch auch einige Mängel auf. Ein Nachteil ist die Kontoverwaltung. Wenn auf Anwendungen nur die eigenen Mitarbeiter des Unternehmens zugreifen, stellt die Kontoverwaltung kein großes Problem dar. Wenn jedoch alle Lieferanten und Kunden des Unternehmens die Anwendung nutzen, werden Benutzer plötzlich feststellen, dass sie neue Benutzerkonten für Mitarbeiter anderer Unternehmen erstellen müssen. Das zweite Manko ist die Wartung. Wenn Mitarbeiter anderer Unternehmen ausscheiden und neue Mitarbeiter eingestellt werden, müssen Benutzer auch alte Konten löschen und neue erstellen.
Was kann ADFS für Sie tun?
Wie wäre es, wenn Benutzer ihre Kontoverwaltungsaufgaben mithilfe der Webanwendung auf ihre Kunden, Lieferanten oder andere übertragen würden? Stellen Sie sich vor, dass die Webanwendung Dienste für andere Unternehmen bereitstellt und Benutzer keine Benutzer mehr für diese Mitarbeiter erstellen oder zurücksetzen müssten Ihr Passwort. Als ob das nicht genug wäre, müssen sich Benutzer nicht mehr bei der App anmelden, um sie zu verwenden. Das wäre so eine aufregende Sache.
Was braucht ADFS?
Natürlich erfordern Active Directory-Verbunddienste auch die Verwendung anderer Konfigurationen, und Benutzer benötigen einige Server, um diese Funktionen auszuführen. Am grundlegendsten ist der Verbundserver, der die Verbunddienstkomponente von ADFS ausführt. Die Hauptaufgabe des Verbundservers besteht darin, Anfragen von verschiedenen externen Benutzern zu senden. Er ist auch für die Ausgabe von Token an authentifizierte Benutzer verantwortlich.
Darüber hinaus ist in den meisten Fällen ein gemeinsamer Vertreter erforderlich. Stellen Sie sich vor: Wenn das externe Netzwerk in der Lage sein muss, ein Verbundprotokoll mit dem internen Netzwerk des Benutzers einzurichten, bedeutet dies, dass der Verbundserver des Benutzers über das Internet erreichbar sein muss. Da der Active Directory-Verbund jedoch nicht stark von Active Directory abhängt, birgt die direkte Aussetzung des Verbundservers an das Internet große Risiken. Aus diesem Grund kann der Verbundserver nicht direkt mit dem Internet verbunden werden, sondern der Zugriff erfolgt über den Verbundproxy. Der Verbundproxy leitet Verbundanforderungen von außen an den Verbundserver weiter, sodass der Verbundserver nicht direkt der Außenwelt ausgesetzt ist.
Eine weitere wichtige Komponente von ADFS ist der ADFS-Webagent. Webanwendungen müssen über einen Mechanismus zur Authentifizierung externer Benutzer verfügen. Diese Mechanismen sind der ADFS-Webproxy. Der ADFS-Webproxy verwaltet Sicherheitstoken und Authentifizierungscookies, die an Webserver ausgegeben werden.
Im folgenden Artikel führen wir Sie durch eine simulierte Testumgebung, um die neue Erfahrung zu erleben, die der ADFS-Dienst Unternehmen bietet. Beginnen wir ohne weitere Umschweife mit dem ADFS-Konfigurationstest.
Schritt 1: Aufgaben vor der Installation
Um das folgende Experiment abzuschließen, müssen Benutzer mindestens vier Computer vorbereiten, bevor sie ADFS installieren.
1) Konfigurieren Sie das Betriebssystem und die Netzwerkumgebung des Computers
Verwenden Sie die folgende Tabelle, um Ihr Computersystem und Ihre Netzwerkumgebung für den Test zu konfigurieren.
2) Installieren Sie AD DS
Benutzer verwenden das Dcpromo-Tool, um für jeden Verbundserver (FS) eine neue Active Directory-Gesamtstruktur zu erstellen. Den genauen Namen finden Sie in der Konfigurationstabelle unten.
3) Erstellen Sie Benutzerkonten und Ressourcenkonten
Nach dem Einrichten der beiden Gesamtstrukturen können Benutzer mit dem Tool „Benutzerkonten und Computer“ (Active Directory-Benutzer und -Computer) einige Konten zur Vorbereitung auf die folgenden Experimente erstellen. Die folgende Liste enthält einige Beispiele als Benutzerreferenz:
4) Verbinden Sie den Testcomputer mit der entsprechenden Domäne
Befolgen Sie die nachstehende Tabelle, um die entsprechenden Computer zur entsprechenden Domäne hinzuzufügen. Beachten Sie, dass Benutzer vor dem Hinzufügen dieser Computer zur Domäne die Firewall auf dem entsprechenden Domänencontroller deaktivieren müssen.
Schritt 2: Installieren Sie den AD FS-Rollendienst und konfigurieren Sie das Zertifikat
Nachdem wir nun die Computer konfiguriert und zur Domäne hinzugefügt haben, haben wir auch die ADFS-Komponenten auf jedem Server installiert.
1) Installieren Sie den Allianzdienst
Installieren Sie den Allianzdienst auf zwei Computern. Nach Abschluss der Installation werden die beiden Computer zu Allianzservern. Die folgenden Schritte führen uns durch die Erstellung einer neuen Vertrauensrichtliniendatei sowie von SSL und Zertifikat:
Klicken Sie auf „Start“, wählen Sie „Verwaltung“ und klicken Sie auf „Server-Manager“. Klicken Sie mit der rechten Maustaste auf „Rollen verwalten“ und wählen Sie „Rollen hinzufügen“, um den Assistenten zum Hinzufügen von Rollen zu starten. Klicken Sie auf der Seite „Bevor Sie beginnen“ auf „Weiter“. Wählen Sie auf der Seite „Serverrollen auswählen“ die Option „Active Directory-Verbunddienste“ aus und klicken Sie auf „Weiter“. Aktivieren Sie das Kontrollkästchen „Verbunddienst“ unter „Rollendienste auswählen“. Wenn das System den Benutzer auffordert, die Rollendienste „Webserver“ (IIS) oder „Windows-Aktivierungsdienst“ (WAS) zu installieren, klicken Sie auf „Erforderliche Rollendienste hinzufügen“, und klicken Sie anschließend auf „Weiter“. Klicken Sie auf der Seite „Zertifikat für SSL-Verschlüsselung auswählen“ auf „Selbstsigniertes Zertifikat für SSL-Verschlüsselung erstellen“, klicken Sie auf „Weiter“, um fortzufahren. Klicken Sie auf der Seite „Tokensignaturzertifikat auswählen“ auf „Selbstsigniertes Tokensignaturzertifikat erstellen“ und dann auf „Weiter“. Wählen Sie „Vertrauensrichtlinie“ aus. Wählen Sie auf der Seite „Neue Vertrauensrichtlinie erstellen“ aus. Rufen Sie dann die Seite „Rollendienste auswählen“ auf und klicken Sie auf „Weiter“, um den Standardwert zu bestätigen. Nachdem Sie die Informationen unter „Installationsoptionen bestätigen“ überprüft haben, können Sie auf „Installieren“ klicken, um die Installation zu starten.
[Seite ausschneiden]
2) Weisen Sie das lokale Systemkonto der ADFSAppPool-Identität zu
Klicken Sie auf Start, doppelklicken Sie im Internetinformationsdienste-Manager (IIS) in den Verwaltungstools auf ADFSRESOURCE oder ADFSACCOUNT, wählen Sie Anwendungspools aus, klicken Sie im mittleren Bereich mit der rechten Maustaste auf ADFSAppPool, wählen Sie unter Identitätstyp die Option Anwendungspool-Standardwerte festlegen aus, klicken Sie dann auf Lokales System Wählen Sie OK.
3) Installieren Sie den AD FS-Webagenten
Klicken Sie im Server-Manager in den Verwaltungstools mit der rechten Maustaste auf „Rollen verwalten“, wählen Sie „Rollen hinzufügen“, wählen Sie „Active Directory-Verbunddienste“ auf der Seite „Serverrollen auswählen“ entsprechend dem Assistenten aus, klicken Sie auf „Weiter“ und aktivieren Sie das Kontrollkästchen „Anspruchsfähiger Agent“ im Fenster „Rollendienste auswählen“. . Wenn der Assistent den Benutzer auffordert, die Rollendienste Webserver (IIS) oder Windows-Aktivierungsdienst (WAS) zu installieren, klicken Sie auf Erforderliche Rollendienste hinzufügen, um die Installation abzuschließen. Aktivieren Sie nach Abschluss auf der Seite „Rollendienste auswählen“ das Kontrollkästchen „Client-Zertifikatzuordnungsauthentifizierung“. (Um diesen Schritt auszuführen, muss IIS eine selbstsignierte Dienstauthentifizierung erstellen.) Nachdem Sie die Informationen überprüft haben, können Sie mit der Installation beginnen.
Um einen Webserver und Allianzserver erfolgreich einzurichten, ist ein weiterer wichtiger Schritt die Erstellung, der Import und der Export von Zertifikaten. Wir haben zuvor den Assistenten zum Hinzufügen von Rollen verwendet, um Serverautorisierungszertifikate zwischen Allianzservern zu erstellen. Jetzt müssen nur noch die entsprechenden Autorisierungszertifikate für den adfsweb-Computer erstellt werden. Aus Platzgründen werde ich es hier nicht im Detail vorstellen. Für verwandte Inhalte können Sie die zertifikatsbezogenen Artikel in der Serie lesen.
Schritt 3: Webserver konfigurieren
In diesem Schritt geht es vor allem darum, wie man eine anspruchsfähige Anwendung auf einem Webserver (adfsweb) einrichtet.
Zuerst konfigurieren wir IIS. Alles, was wir tun müssen, ist, die SSL-Einstellungen der adfsweb-Standardwebsite zu aktivieren. Nach Abschluss doppelklicken wir auf Websites in ADFSWEB von IIS, klicken mit der rechten Maustaste auf „Standardwebsite“, wählen „Anwendung hinzufügen“ und geben „claimapp“ ein Klicken Sie im Dialogfeld „Anwendung hinzufügen“ auf die Schaltfläche „Alias“, erstellen Sie einen neuen Ordner mit dem Namen „claimapp“ und bestätigen Sie. Es ist zu beachten, dass Sie bei der Benennung eines neuen Ordners am besten keine Großbuchstaben verwenden, da Sie sonst bei der späteren Verwendung die entsprechenden Großbuchstaben verwenden müssen.
Schritt 4: Alliance-Server konfigurieren
Nachdem wir nun den ADFS-Dienst installiert und den Webserver für den Zugriff auf die anspruchsbewusste Anwendung konfiguriert haben, konfigurieren wir die Allianzdienste der beiden Unternehmen (Trey Research und A. Datum Corporation) in der Testumgebung.
Lassen Sie uns zunächst die Vertrauensrichtlinie konfigurieren. Klicken Sie in den Verwaltungstools auf „Active Directory-Verbunddienste“, doppelklicken Sie auf „Verbunddienst“, klicken Sie mit der rechten Maustaste, wählen Sie „Vertrauensrichtlinie“ und dann „Eigenschaften“. Geben Sie urn:federation:adatum in der Option „Verbunddienst-URI“ auf der Registerkarte „Allgemein“ ein. Überprüfen Sie dann, ob die folgende URL im Textfeld URL des Föderationsdienst-Endpunkts korrekt ist: https://adfsaccount.adatum.com/adfs/ls/. Geben Sie abschließend A. Datum in den Anzeigenamen für diese Vertrauensrichtlinie auf der Registerkarte Anzeigename ein Wählen Sie OK. Sicher. Nach Abschluss rufen wir die Active Directory-Verbunddienste erneut auf. Doppelklicken Sie auf „Verbunddienst“, „Vertrauensrichtlinie“, „Meine Organisation“, klicken Sie mit der rechten Maustaste auf „Organisationsansprüche“, klicken Sie auf „Neu“ und klicken Sie dann im Feld „Anspruch erstellen“ auf „Organisationsanspruch“. Dialogfeld „Neuer Organisationsanspruch“. Stellen Sie sicher, dass Gruppenanspruch ausgewählt ist, und klicken Sie auf OK. Die Konfiguration eines anderen Unternehmens ähnelt im Wesentlichen dem oben genannten Vorgang, daher werde ich nicht noch einmal auf Details eingehen.
Schritt 5: Greifen Sie über den Client-Computer auf die Pilotanwendung zu
Konfigurieren Sie die Browsereinstellungen für den adfsaccount-Verbunddienst
Melden Sie sich bei adfsclient als Benutzer alansh an, starten Sie IE, klicken Sie im Menü „Extras“ auf „Lokales Intranet“ und klicken Sie dann auf „Sites“. Geben Sie dann unter „Diese Website zur Zone hinzufügen“ ein .adatum.com, klicken Sie auf Hinzufügen. Geben Sie dann https://adfsweb.treyresearch.net/claimapp/ in den IE-Browser ein. Wenn Sie jedoch zur Eingabe des Home-Bereichs aufgefordert werden, klicken Sie auf „A. Datum“ und dann auf „Senden“. Auf diese Weise wird die anspruchsfähige Beispielanwendung im Browser angezeigt und der Benutzer kann die ausgewählten Ansprüche der Anwendung in der SingleSignOnIdentity.SecurityPropertyCollection sehen. Wenn beim Zugriff ein Problem auftritt, kann der Benutzer iisreset ausführen oder den adfsweb-Computer neu starten und dann erneut versuchen, darauf zuzugreifen.
Zu diesem Zeitpunkt wurde ein grundlegendes ADFS-Testmodell erstellt. Natürlich ist ADFS immer noch eine umfassende und komplexe neue Technologie. In einer realen Produktionsumgebung müssen wir jedoch noch viele Vorgänge und Konfigurationen durchführen. Wie oben erwähnt, wird ADFS die Funktionen von Webanwendungen erheblich erweitern und den Informatisierungsgrad des externen Geschäfts des Unternehmens erweitern. Lassen Sie uns abwarten, wie die ADFS-Technologie in Windows Server 2008 in praktischen Anwendungen eingesetzt wird.
[Seite ausschneiden]2) Weisen Sie das lokale Systemkonto der ADFSAppPool-Identität zu
Klicken Sie auf Start, doppelklicken Sie im Internetinformationsdienste-Manager (IIS) in den Verwaltungstools auf ADFSRESOURCE oder ADFSACCOUNT, wählen Sie Anwendungspools aus, klicken Sie im mittleren Bereich mit der rechten Maustaste auf ADFSAppPool, wählen Sie unter Identitätstyp die Option Anwendungspool-Standardwerte festlegen aus, klicken Sie dann auf Lokales System Wählen Sie OK.
3) Installieren Sie den AD FS-Webagenten
Klicken Sie im Server-Manager in den Verwaltungstools mit der rechten Maustaste auf „Rollen verwalten“, wählen Sie „Rollen hinzufügen“, wählen Sie „Active Directory-Verbunddienste“ auf der Seite „Serverrollen auswählen“ entsprechend dem Assistenten aus, klicken Sie auf „Weiter“ und aktivieren Sie das Kontrollkästchen „Anspruchsfähiger Agent“ im Fenster „Rollendienste auswählen“. . Wenn der Assistent den Benutzer auffordert, die Rollendienste Webserver (IIS) oder Windows-Aktivierungsdienst (WAS) zu installieren, klicken Sie auf Erforderliche Rollendienste hinzufügen, um die Installation abzuschließen. Aktivieren Sie nach Abschluss auf der Seite „Rollendienste auswählen“ das Kontrollkästchen „Client-Zertifikatzuordnungsauthentifizierung“. (Um diesen Schritt auszuführen, muss IIS eine selbstsignierte Dienstauthentifizierung erstellen.) Nachdem Sie die Informationen überprüft haben, können Sie mit der Installation beginnen.
Um einen Webserver und Allianzserver erfolgreich einzurichten, ist ein weiterer wichtiger Schritt die Erstellung, der Import und der Export von Zertifikaten. Wir haben zuvor den Assistenten zum Hinzufügen von Rollen verwendet, um Serverautorisierungszertifikate zwischen Allianzservern zu erstellen. Jetzt müssen nur noch die entsprechenden Autorisierungszertifikate für den adfsweb-Computer erstellt werden. Aus Platzgründen werde ich es hier nicht im Detail vorstellen. Für verwandte Inhalte können Sie die zertifikatsbezogenen Artikel in der Serie lesen.
Schritt 3: Webserver konfigurieren
In diesem Schritt geht es vor allem darum, wie man eine anspruchsfähige Anwendung auf einem Webserver (adfsweb) einrichtet.
Zuerst konfigurieren wir IIS. Alles, was wir tun müssen, ist, die SSL-Einstellungen der adfsweb-Standardwebsite zu aktivieren. Nach Abschluss doppelklicken wir auf Websites in ADFSWEB von IIS, klicken mit der rechten Maustaste auf „Standardwebsite“, wählen „Anwendung hinzufügen“ und geben „claimapp“ ein Klicken Sie im Dialogfeld „Anwendung hinzufügen“ auf die Schaltfläche „Alias“, erstellen Sie einen neuen Ordner mit dem Namen „claimapp“ und bestätigen Sie. Es ist zu beachten, dass Sie bei der Benennung eines neuen Ordners am besten keine Großbuchstaben verwenden, da Sie sonst bei der späteren Verwendung die entsprechenden Großbuchstaben verwenden müssen.
Schritt 4: Alliance-Server konfigurieren
Nachdem wir nun den ADFS-Dienst installiert und den Webserver für den Zugriff auf die anspruchsbewusste Anwendung konfiguriert haben, konfigurieren wir die Allianzdienste der beiden Unternehmen (Trey Research und A. Datum Corporation) in der Testumgebung.
Lassen Sie uns zunächst die Vertrauensrichtlinie konfigurieren. Klicken Sie in den Verwaltungstools auf „Active Directory-Verbunddienste“, doppelklicken Sie auf „Verbunddienst“, klicken Sie mit der rechten Maustaste, wählen Sie „Vertrauensrichtlinie“ und dann „Eigenschaften“. Geben Sie urn:federation:adatum in der Option „Verbunddienst-URI“ auf der Registerkarte „Allgemein“ ein. Überprüfen Sie dann, ob die folgende URL im Textfeld URL des Föderationsdienst-Endpunkts korrekt ist: https://adfsaccount.adatum.com/adfs/ls/. Geben Sie abschließend A. Datum in den Anzeigenamen für diese Vertrauensrichtlinie auf der Registerkarte Anzeigename ein Wählen Sie OK. Sicher. Nach Abschluss rufen wir die Active Directory-Verbunddienste erneut auf. Doppelklicken Sie auf „Verbunddienst“, „Vertrauensrichtlinie“, „Meine Organisation“, klicken Sie mit der rechten Maustaste auf „Organisationsansprüche“, klicken Sie auf „Neu“ und klicken Sie dann im Feld „Anspruch erstellen“ auf „Organisationsanspruch“. Dialogfeld „Neuer Organisationsanspruch“. Stellen Sie sicher, dass Gruppenanspruch ausgewählt ist, und klicken Sie auf OK. Die Konfiguration eines anderen Unternehmens ähnelt im Wesentlichen dem oben genannten Vorgang, daher werde ich nicht noch einmal auf Details eingehen.
Schritt 5: Greifen Sie über den Client-Computer auf die Pilotanwendung zu
Konfigurieren Sie die Browsereinstellungen für den adfsaccount-Verbunddienst
Melden Sie sich bei adfsclient als Benutzer alansh an, starten Sie IE, klicken Sie im Menü „Extras“ auf „Lokales Intranet“ und klicken Sie dann auf „Sites“. Geben Sie dann unter „Diese Website zur Zone hinzufügen“ ein .adatum.com, klicken Sie auf Hinzufügen. Geben Sie dann https://adfsweb.treyresearch.net/claimapp/ in den IE-Browser ein. Wenn Sie jedoch zur Eingabe des Home-Bereichs aufgefordert werden, klicken Sie auf „A. Datum“ und dann auf „Senden“. Auf diese Weise wird die anspruchsfähige Beispielanwendung im Browser angezeigt und der Benutzer kann die ausgewählten Ansprüche der Anwendung in der SingleSignOnIdentity.SecurityPropertyCollection sehen. Wenn beim Zugriff ein Problem auftritt, kann der Benutzer iisreset ausführen oder den adfsweb-Computer neu starten und dann erneut versuchen, darauf zuzugreifen.
Zu diesem Zeitpunkt wurde ein grundlegendes ADFS-Testmodell erstellt. Natürlich ist ADFS immer noch eine umfassende und komplexe neue Technologie. In einer realen Produktionsumgebung müssen wir jedoch noch viele Vorgänge und Konfigurationen durchführen. Wie oben erwähnt, wird ADFS die Funktionen von Webanwendungen erheblich erweitern und den Informatisierungsgrad des externen Geschäfts des Unternehmens erweitern. Lassen Sie uns abwarten, wie die ADFS-Technologie in Windows Server 2008 in praktischen Anwendungen eingesetzt wird.