Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Het is raadzaam om meer te weten te komen over de belangrijke concepten voor Active Directory Federation Services en vertrouwd te raken met de functieset.
Tip
U kunt extra AD FS-resourcelinks vinden bij Understanding Key AD FS Concepts.
AD FS-terminologie die in deze handleiding wordt gebruikt
| AD FS-term | Definition |
|---|---|
| Account partner organisatie | Een federatiepartnerorganisatie die wordt vertegenwoordigd door een vertrouwensrelatie van een claimprovider in de Federation Service. De organisatie van de accountpartner bevat de gebruikers die toegang hebben tot webtoepassingen in de resourcepartner. |
| Account-federatieserver | De federatieserver in de organisatie van de accountpartner. De accountfederatieserver geeft beveiligingstokens uit aan gebruikers op basis van gebruikersverificatie. De server verifieert de gebruiker, extraheert de relevante kenmerken en groepslidmaatschapsgegevens uit het kenmerkarchief, verpakt deze informatie in claims en genereert en ondertekent een beveiligingstoken (dat de claims bevat) om terug te keren naar de gebruiker, hetzij te gebruiken in een eigen organisatie of naar een partnerorganisatie te worden verzonden. |
| AD FS-configuratiedatabase | Een database die wordt gebruikt voor het opslaan van alle configuratiegegevens die één AD FS-exemplaar of Federation-service vertegenwoordigen. Deze configuratiegegevens kunnen worden opgeslagen in een SQL Server-database of met de functie Interne database van Windows Server 2016, Windows Server 2012 en 2012 R2 en Windows Server 2008 en 2008 R2.
U kunt de AD FS-configuratiedatabase voor SQL Server maken met behulp van het opdrachtregelprogramma Fsconfig.exe en voor Windows Interne database met behulp van de wizard AD FS-federatieserverconfiguratie. |
| Claimprovider | De organisatie die claims levert aan de gebruikers. Zie de organisatie van de accountpartner. |
| Vertrouwen in de claimprovider | In de AD FS-beheer module zijn vertrouwensrelaties voor claimsproviders vertrouwensobjecten die doorgaans worden aangemaakt door organisaties van resourcepartners om de organisatie te vertegenwoordigen ten behoeve van accounts die toegang hebben tot resources in de organisatie van de resourcepartner. Een claimprovidervertrouwensobject bestaat uit verschillende id's, namen en regels die deze partner identificeren voor de lokale Federation Service. |
| Lokale Claimprovider Trust | Een vertrouwensobject dat AD LDS of ldap-directory's van derden vertegenwoordigt in een AD FS-farm. Een lokaal claimprovidervertrouwensobject bestaat uit verschillende id's, namen en regels waarmee deze LDAP-adreslijst wordt geïdentificeerd voor de lokale Federation Service. |
| Federatiemetagegevens | De gegevensindeling voor het communiceren van configuratiegegevens tussen een claimprovider en een relying party om de juiste configuratie van vertrouwensrelaties van claimproviders en relying party-vertrouwensrelaties te vergemakkelijken. De gegevensindeling is gedefinieerd in Security Assertion Markup Language (SAML) 2.0 en wordt uitgebreid in WS-Federation. |
| Federatieserver | Een Windows-server die is geconfigureerd met behulp van de wizard AD FS-federatieserverconfiguratie om de rol van federatieserver te vervullen. Een federatieserver geeft tokens uit en fungeert als onderdeel van een Federation-service. |
| Federatieserverproxy | Een Windows-server die is geconfigureerd met behulp van de AD FS-wizard Federatieserverproxyconfiguratie om als intermediaire proxyservice te fungeren tussen een internetclient en een Federatieservice die zich achter een firewall op een bedrijfsnetwerk bevindt. |
| Primaire federatieserver | Een Windows-server die is geconfigureerd in de federatieserverfunctie met behulp van de wizard AD FS-federatieserverconfiguratie en een lees-/schrijfkopie van de AD FS-configuratiedatabase heeft.
De primaire federatieserver wordt gemaakt wanneer u de ad FS-configuratiewizard voor federatieservers gebruikt en selecteer de optie om een nieuwe Federation-service te maken en die computer de eerste federatieserver in de farm te maken. Alle andere federatieservers in deze farm moeten wijzigingen die op de primaire federatieserver zijn aangebracht, repliceren naar een alleen-lezen kopie van de AD FS-configuratiedatabase die lokaal is opgeslagen. De term 'primaire federatieserver' is niet van toepassing wanneer de AD FS-configuratiedatabase wordt opgeslagen in een SQL-database, omdat alle federatieservers even kunnen lezen en schrijven naar een configuratiedatabase die is opgeslagen op een SQL Server. |
| Relying party | De organisatie die claims ontvangt en verwerkt. Zie de organisatie van de resourcepartner. |
| Vertrouwensrelatie met afhankelijk partij | In de module AD FS-beheer zijn relying party-vertrouwensrelaties doorgaans vertrouwensobjecten die worden gemaakt in: - Accountpartnerorganisaties die de organisatie vertegenwoordigen in de vertrouwensrelatie waarvan de accounts toegang hebben tot resources in de resourcepartnerorganisatie. Een relying party-vertrouwensobject bestaat uit verschillende id's, namen en regels waarmee deze partner of webtoepassing wordt geïdentificeerd voor de lokale Federation Service. |
| Resourcefederatieserver | De federatieserver in de organisatie van de resourcepartner. De bronfederatieserver geeft doorgaans beveiligingstokens uit aan gebruikers op basis van een beveiligingstoken dat wordt uitgegeven door een accountfederatieserver. De server ontvangt het beveiligingstoken, verifieert de handtekening, past claimregellogica toe op de uitgepakte claims om de gewenste uitgaande claims te produceren, genereert een nieuw beveiligingstoken (met de uitgaande claims) op basis van informatie in het binnenkomende beveiligingstoken en ondertekent het nieuwe token om terug te keren naar de gebruiker en uiteindelijk naar de webtoepassing. |
| Organisatie van resourcepartner | Een federatiepartner die wordt vertegenwoordigd door een relying party-vertrouwensrelatie in de Federation-service. De bronpartner geeft beveiligingstokens op basis van claims uit die gepubliceerde webtoepassingen bevatten waartoe gebruikers in de accountpartner toegang hebben. |
Overzicht van AD FS
AD FS is een oplossing voor identiteitstoegang die clientcomputers (intern of extern voor uw netwerk) biedt met naadloze SSO-toegang tot beveiligde internettoepassingen of -services, zelfs wanneer de gebruikersaccounts en toepassingen zich in volledig verschillende netwerken of organisaties bevinden.
Wanneer een toepassing of service zich in het ene netwerk bevindt en een gebruikersaccount zich in een ander netwerk bevindt, wordt de gebruiker meestal om secundaire referenties gevraagd wanneer hij of zij toegang probeert te krijgen tot de toepassing of service. Deze secundaire referenties vertegenwoordigen de identiteit van de gebruiker in de realm waarin de toepassing of service zich bevindt. Ze zijn meestal vereist door de webserver die als host fungeert voor de toepassing of service, zodat deze de meest geschikte autorisatiebeslissing kan nemen.
Met AD FS kunnen organisaties aanvragen voor secundaire referenties omzeilen door vertrouwensrelaties (federatievertrouwensrelaties) te bieden die deze organisaties kunnen gebruiken om de digitale identiteit en toegangsrechten van een gebruiker te projecteren op vertrouwde partners. In deze federatieve omgeving blijft elke organisatie zijn eigen identiteiten beheren, maar elke organisatie kan ook veilig projecteren en identiteiten van andere organisaties accepteren.