Das Web-SSO-Szenario

Zertifikate

In der Testinfrastruktur kommen selbst-signierte Zertifikate zum Einsatz. Dadurch ist es nicht erforderlich, die Zertifikatsdienste zu konfigurieren. Auf deren Einsatz im Zusammenspiel mit den ADFS werden wir in einer späteren Ausgabe von Expert’s inside Windows NT/2000 eingehen.

Die vorbereitenden Schritte

Neben der Konfiguration der Rechner, die sich für den Test in einem Subnetz befinden können, muss das Resource Kit für die IIS 6.0 heruntergeladen und auf allen Server mit den ADFS sowie auf dem Webserver installiert werden. Das Resource Kit enthält die Anwendung SelfSSL.exe, mit der selbstsignierte Zertifikate für den Test der ADFS erstellt werden können.

Außerdem müssen Benutzer und Gruppen eingerichtet werden. Da im beschriebenen Beispiel nur ein Forest und eine Domäne verwendet wird, die sowohl die Überprüfung der Identitäten als auch die Zugriffe auf die Ressourcen übernimmt, müssen alle Benutzer und Ressourcen in dieser Domäne erstellt werden. Minimal sind folgende Benutzer, Gruppen und Strukturen erforderlich:

  • Zwei Benutzer, die für den Test einerseits von Claims- und andererseits Token-basierenden Anwendungen eingesetzt werden.

  • Zwei globale Sicherheitsgruppen in der Identity Provider-Domäne (Account-Domäne), ebenfalls für die beiden Szenarien.

  • Eine Organisationseinheit für die Benutzung der Federation-Funktionen in der Ressourcen-Domäne.

  • Eine globale Sicherheitsgruppe in dieser Organisationseinheit. In dieser Gruppe werden allerdings noch keine Benutzer angelegt, sondern nur die Gruppe, die für die Steuerung von Berechtigungen erforderlich ist.

Die Verwendung einer eigenen OU ist natürlich keineswegs zwingend, schafft aber Klarheit in der Struktur. Der Webserver muss außerdem zu der Ressourcendomäne zugeordnet werden. In späteren Federation-Szenarien muss außerdem der Client der Domäne des Identity Provider zugewiesen werden.

Bild 2: Für den Test werden mehrere Benutzer und Benutzergruppen benötigt.
Bild 2: Für den Test werden mehrere Benutzer und Benutzergruppen benötigt.