Das Web-SSO-Szenario

Federation Services

Weiter geht es mit der Einrichtung des Federation Service auf dem Service Provider. Hier muss die Option Verbunddienst beim Hinzufügen des ADFS ausgewählt werden. Es wird eine Warnung angezeigt, weil das Microsoft .NET Framework 2.0 installiert werden muss. Nach der Auswahl des Dienstes wird zu Beginn der Installation ein Dialogfeld angezeigt, in dem man festlegt, mit welcher Form eines Tokensignaturzertifikats gearbeitet und ob eine neue Vertrauensrichtlinie erstellt werden soll. In beiden Fällen müssen die Standardoptionen gewählt bleiben (Bild 7).

Bild 7: Die Festlegungen zum Zertifikat und zur Vertrauensrichtlinie.
Bild 7: Die Festlegungen zum Zertifikat und zur Vertrauensrichtlinie.

Da nicht mit Zertifikatsdiensten gearbeitet wird, muss ein selbstsignierendes Tokenzertifikat verwendet werden. Die Vertrauensrichtlinie kann nur übernommen werden, wenn nicht der erste Federation Server eingerichtet wird. Nach dem Kopieren der Dateien ist auch dieser Server vorbereitet.

Nun muss noch eine Zuordnung des lokalen Systemkontos auf den Federation-Servern zur Identität ADFSAppPool erfolgen, falls die Systeme auch als Domänencontroller konfiguriert sind. Da im Beispiel getrennte Systeme zum Einsatz kommen, ist das aber nicht erforderlich.

Konfiguration des Federation-Servers

Der nächste Schritt ist die Konfiguration des Federation-Servers. Dazu wird die Anwendung Active Directory-Verbunddienste im Menü Verwaltung auf dem Federation-Server verwendet. Hier ein erster Überblick, den wir im zweiten Teil der Serie vertiefen. Zu der Konfiguration gehören mehrere Schritte:

  • Die Konfiguration einer Richtlinie für die Vertrauensstellung. Damit werden letztlich die Einstellungen für WS-Trust gesetzt.

  • Die Festlegung der Claims, die für das Zusammenspiel von Systemen verwendet werden. In der deutschen Verwaltungsanwendung werden sie als Ansprüche bezeichnet, was in der Übersetzung zwar korrekt, für die Nutzung aber wenig hilfreich ist.

  • Die Festlegung der Identitätsspeicher, gegen die die Authentifizierung erfolgt.

  • Die Konfiguration der Anwendungen.

  • Die Festlegung der eigentlichen Beziehung zwischen den beiden Parteien.

Alle diese Festlegungen lassen sich über die Anwendung Active Directory-Verbunddienste vornehmen.

Der erste Schritt ist die Konfiguration der Vertrauensrichtlinie oder Trust Policy. Die Vertrauensrichtlinie wird unterhalb von Verbunddienst angezeigt. Bei den Eigenschaften können die Festlegungen gesetzt werden. Der erste Schritt ist die Konfiguration der Verbunddienst-URI und des URLs für die Federation. Die URI sollte den Namen der Domäne enthalten, in der sich die Ressourcen befinden. Der URL sollte den vollständigen Servernamen enthalten (Bild 8).

Bild 8: Die Konfiguration der Vertrauensrichtlinie (WS-Trust) erfolgt über die Anwendung Active Directory-Verbunddienste.
Bild 8: Die Konfiguration der Vertrauensrichtlinie (WS-Trust) erfolgt über die Anwendung Active Directory-Verbunddienste.

Im Register Anzeigenamen sollte der Anzeigename auf den Namen der Domäne geändert werden. Weitere Einstellungen betreffen unter anderem die Zertifikate. In diesem Schritt sind noch keine Anpassungen erforderlich.

Der nächste Schritt ist die Konfiguration der Claims oder Ansprüche. Dazu wird im Bereich Organisationsansprüche ein neuer Claim erstellt. Geben Sie diesem einen eindeutigen, leicht nachvollziehbaren Namen. Der Anspruch wird in der Regel als Gruppenanspruch definiert, der die Zuordnung einer Gruppe steuert. Diese Zuordnung kann zu einer Gruppe erfolgen, die aus dem Active Directory ausgewählt wird.

Ein weiterer wichtiger Schritt ist die Festlegung des Kontospeichers. Das ist der Verzeichnisdienst, der für die Authentifizierung verwendet wird. Hier haben Sie die Wahl zwischen dem Active Directory und ADAM (Bild 9).

Bild 9: Bei der Konfiguration des Kontospeichertyps wird zwischen dem Active Directory und ADAM unterschieden.
Bild 9: Bei der Konfiguration des Kontospeichertyps wird zwischen dem Active Directory und ADAM unterschieden.

Ein weiterer Schritt ist die Festlegung der Anwendungen, die bei der Federation verwendet werden. Hier müssen alle Anwendungen angegeben werden, auf die zugegriffen wird und für die Zugriffe verwaltet werden. Für die Anwendung wird ein Name und ein URL festgelegt. Der URL muss bekannt sein, weshalb in der Regel vorher die Anwendungen auf den Webservern eingerichtet werden.

An dieser Stelle wird das Konzept noch einmal deutlich, weil die beiden unterstützten Arten von Anwendungen Webanwendungen sind, die über den Browser genutzt werden können. Da die ADFS derzeit nur das passive Requestor-Profile unterstützen, ist diese Einschränkung auch logisch.

An diesen verschiedenen Komponenten wird außerdem deutlich, dass das Konzept der Federation nicht trivial ist – man muss vorher genau planen, welche Systeme und Anwendungen in welcher Form zusammenarbeiten sollen.

Wie geht es weiter?

Im zweiten Teil der Serie wird die Konfiguration der Federation Services fortgesetzt. Dabei geht es darum, einerseits den Federation-Server und andererseits die Webanwendungen zu konfigurieren. Außerdem wird auf die Nutzung der Federation-Funktionalität eingegangen.