Active Directory.pdf - Gattner

746 Kapitel 19: Active Directory-Verbunddienste
Die AD FS verwenden drei Cookietypen, die Authentifizierungs- und Autorisierungsaufgaben während
einer Sitzung unterstützen:
• Authentifizierungscookie Das Authentifizierungscookie ermöglicht die einmalige Anmeldung
(Single Sign-On, SSO) an Ressourcen, die sich beim Ressourcenpartner befinden. Sowohl der
Verbunddienst als auch der AD FS-Web-Agent können Authentifizierungscookies ausstellen. Werden
diese durch den Kontoverbunddienst ausgestellt, enthält das Sicherheitstoken eines Cookies
die Organisationsansprüche für den Client. Die Organisationsansprüche können ausgehenden
Ansprüchen für eine bestimmte Ressource zugeordnet werden.
Nachdem der Client einmal vom Ressourcenverbunddienst überprüft wurde, wird das Authentifizierungscookie
auf den Client geschrieben. Dieses Cookie wird dann für weitere Authentifizierungen
verwendet, sodass das erneute Sammeln von Clientanmeldeinformationen nicht mehr
erforderlich ist.
Vom Kontoverbundserver ausgestellte Cookies können vom AD FS-Web-Agent authentifiziert
und verwendet werden. Sobald der Client mit dem Webserver verbunden wird, empfängt der Webserver
ein Cookie. Anschließend kann der AD FS-Web-Agent dieses Cookie authentifizieren und
die darin enthaltenen Ansprüche verwenden. Das Authentifizierungscookie ist immer ein
signiertes, jedoch nicht verschlüsseltes Sitzungscookie. Daher ist die Verwendung von TLS
(Transport Layer Security) und SSL (Secure Sockets Layer) in AD FS obligatorisch.
• Kontopartnercookie Das Kontopartnercookie unterstützt SSO. Sobald der Ressourcenpartner die
Gültigkeit des vom Kontopartner bereitgestellten Authentifizierungscookies bestätigt, wird das
Kontopartnercookie auf den Client geschrieben. Die weitere Authentifizierung erfolgt nicht durch
wiederholte Erfassung der Mitgliedschaftsinformationen des Kontopartners, sondern anhand des
Cookies. Das Kontopartnercookie wird als Ergebnis der Kontopartnerermittlung gesetzt. Es handelt
sich hierbei um ein langlebiges dauerhaftes Cookie, das weder signiert noch verschlüsselt ist.
• Abmeldecookie Das Abmeldecookie ermöglicht die Abmeldung. Jedes Mal, wenn der Verbunddienst
ein Token ausstellt, wird der Ressourcenpartner oder Zielserver des Tokens dem Abmeldecookie
hinzugefügt. Bei Erhalt einer Abmeldeanforderung sendet der Verbundserver oder
Verbundserverproxy Anforderungen an jeden der Zielserver des Tokens, um sie aufzufordern,
Authentifizierungsartefakte wie z.B. vom Ressourcenpartner oder Webserver in den Client
geschriebene zwischengespeicherte Cookies zu bereinigen. Im Fall eines Ressourcenpartners wird
eine Bereinigungsanforderung an alle Anwendungswebserver gesendet, die der Client verwendet
hat. Das Abmeldecookie ist immer ein Sitzungscookie, das weder signiert noch verschlüsselt ist.
Kontospeicheranforderungen
Für die Benutzerauthentifizierung und das Extrahieren von Sicherheitsansprüchen für diese Benutzer
benötigen die AD FS mindestens einen Kontospeicher. AD FS unterstützen zwei Kontospeichertypen:
AD DS- und AD LDS-Kontospeicher.
AD DS AD DS-Kontospeicher können von Kontopartnerorganisationen verwendet werden, um lokal
gespeicherten Identitäten den Zugriff auf Verbundanwendungen (sowohl Ansprüche unterstützende
als auch Windows NT-Token-basierte Anwendungen) in einem Ressourcenpartner zu gewähren. Hingegen
nutzen Ressourcenpartnerorganisationen die AD DS, um Verbundbenutzern die Zugriffsberechtigungen
für Windows NT-Token-basierte Anwendungen zuzuweisen. In diesem Szenario muss jeder
Verbundbenutzer einem Ressourcenkonto oder einer Ressourcengruppe in der lokalen AD DS-Domäne
zugeordnet werden. Zu den Active Directory-Verbunddiensten kann nur ein AD DS-Kontospeicher
hinzugefügt werden.