Active Directory Federation Services

Die Idee dahinter

Orientierung an zwei Hauptkonzepten:

  • Claims-based Authorization (Anspruchsbasierte Zugriffskontrolle) basierend auf Anmelde-Token
  • Single-Sign On (SSO) für Web-Applikationen

Authentifizierung durch ein Benutzerkonto, über Domänengrenzen hinweg, ohne Vertrauensstellung des Active Directory.

Vorteil:

Keine übertragung von Daten übers Netzwerk:
Anmeldung über AD-Anmeldedaten an einem internen Domänencontroller, die ADFS erzeugen dann ein Security Token für den Application Provider, das aussagt: Diesen Benutzer haben wir überprüft. Das Token enthält dann nicht das Kennwort des Benutzers und auch keine weiteren Daten, die intern bleiben müssen.

SSO für Web-Applikationen:
Einmalige Authentifizierung an einen Webservice → für alle weiteren Services keine Authentifizierung mehr nötig.

Funktionweise und Begriff Erläuterung

  • Federation → Zwei Parteien → Identity Provider (üblicherweise der Kunde, der die Benutzerkonten verwaltet)und Applikation Provider (der die Anmeldungen aus dem Netzwerk des Kunden akzeptiert.)
  • Austausch von “Security Tokens” für den Anmeldeprozess
  • Die Informationen, die in dem Token stehen, bezeichnet man als “Claims”
  • „Outgoing Claims” durch Identity Provider
  • „Incoming Claims“ durch Applikation Provider
  • Identity Provider und Applikation Provider befinden sich in einer „Trust Relationship“

Schaubilder zum Anmeldeprozess




 
 adfs_active_directory_federation_services.txt · Zuletzt geändert: 2015/02/12 13:59 von 213.144.28.227
[unknown button type]
 
Recent changes RSS feed Driven by DokuWiki