Wann sollte ein Verbundserverproxy erstellt werden?
Durch das Erstellen eines Verbundserverproxys in Ihrer Organisation werden Ihrer Active Directory-Verbunddienste (AD FS)-Bereitstellung zusätzliche Sicherheitsebenen hinzugefügt. Erwägen Sie die Bereitstellung eines Verbundserverproxys im Umkreisnetzwerk Ihrer Organisation, wenn Sie folgendes ausführen möchten:
Verhindern, dass externe Clientcomputer direkt auf Ihre Verbundserver zugreifen. Durch die Bereitstellung eines Verbundserverproxys in Ihrem Umkreisnetzwerk isolieren Sie Ihre Verbundserver effektiv, sodass nur von Clientcomputern zugegriffen werden kann, die über Verbundserverproxys beim Unternehmensnetzwerk angemeldet sind, die im Namen der externen Clientcomputer handeln. Verbundserverproxys haben keinen Zugriff auf die privaten Schlüssel, die zum Erstellen von Token verwendet werden. Weitere Informationen hierzu finden Sie unter Where to Place a Federation Server Proxy (Platzieren eines Verbundserverproxys).
Bieten Sie eine bequeme Möglichkeit, die Anmeldeerfahrung für Benutzer zu unterscheiden, die aus dem Internet stammen, im Gegensatz zu Benutzern, die aus Ihrem Unternehmensnetzwerk stammen, mithilfe der integrierten Windows-Authentifizierung. Ein Verbundserverproxy sammelt Anmeldeinformationen oder Details des Startbereichs von Internetclientcomputern mithilfe der Anmelde-, Abmelde- und Identitätsanbietererkennungsseiten (homerealmdiscovery.aspx), die auf dem Verbundserverproxy gespeichert sind.
Im Gegensatz dazu machen Clientcomputer, die aus dem Unternehmensnetzwerk kommen, basierend auf der Konfiguration des Verbundservers eine andere Erfahrung. Der Unternehmensnetzwerkverbundserver ist häufig für die integrierte Windows-Authentifizierung konfiguriert, die eine nahtlose Anmeldeumgebung für Benutzer im Unternehmensnetzwerk bietet.
Die Rolle, die ein Verbundserverproxy in Ihrer Organisation spielt, hängt davon ab, ob Sie den Verbundserverproxy in der Kontopartnerorganisation oder in der Ressourcenpartnerorganisation platzieren. Wenn beispielsweise ein Verbundserverproxy im Umkreisnetzwerk des Kontopartners platziert wird, besteht seine Rolle darin, die Benutzeranmeldeinformationen von Browserclients zu sammeln. Wenn ein Verbundserverproxy im Umkreisnetzwerk des Ressourcenpartners platziert wird, leitet er Sicherheitstokenanforderungen an einen Ressourcenverbundserver weiter und erzeugt Sicherheitstoken der Organisation als Reaktion auf die Sicherheitstoken, die von seinen Kontopartnern bereitgestellt werden.
Weitere Informationen finden Sie unter Überprüfen der Rolle des Verbundserverproxys im Kontopartner und Überprüfen der Rolle des Verbundserverproxys im Ressourcenpartner
Erstellen eines Verbundserverproxys
Sie können einen Verbundserverproxy entweder mit dem AD FS-Verbundserverproxykonfigurations-Assistenten oder dem Fsconfig.exe Befehlszeilentool erstellen. Anweisungen dazu finden Sie unter Konfigurieren eines Computers für die Verbundserverproxyrolle.
Allgemeine Informationen zum Einrichten aller erforderlichen Voraussetzungen für die Bereitstellung eines Verbundserverproxys finden Sie unter Checkliste: Einrichten eines Verbundserverproxys.