Federatieservers implementeren

• Van toepassing op:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Als u federatieservers wilt implementeren in Active Directory Federation Services (AD FS), voltooit u elk van de taken in Controlelijst: Een federatieserver instellen.

Notitie

Wanneer u deze controlelijst gebruikt, raden we u aan eerst de verwijzingen te lezen naar de federatieserverplanning in de AD FS-ontwerphandleiding in Windows Server 2012 voordat u begint met de procedures voor het configureren van de servers. Het volgen van de controlelijst op deze manier biedt een beter inzicht in het ontwerp- en implementatieproces voor federatieservers.

Over federatieservers

Federatieservers zijn computers met Windows Server 2008 waarop de AD FS-software is geïnstalleerd die zijn geconfigureerd om te handelen in de federatieserverfunctie. Federatieservers verifiëren of routeren aanvragen van gebruikersaccounts in andere organisaties en vanaf clientcomputers die zich overal op internet kunnen bevinden.

De handeling van het installeren van de AD FS-software op een computer en het gebruik van de AD FS-configuratiewizard voor de federatieserverfunctie maakt die computer een federatieserver. Het maakt ook de AD FS-beheermodule beschikbaar op die computer in het menu Start\Systeembeheer\, zodat u het volgende kunt opgeven:

• De AD FS-hostnaam waar partnerorganisaties en toepassingen tokenaanvragen en antwoorden verzenden

• De AD FS-id die partnerorganisaties en toepassingen gebruiken om de unieke naam of locatie van uw organisatie te identificeren

• Het tokenondertekeningscertificaat dat alle federatieservers in een serverfarm gebruiken om tokens uit te geven en te ondertekenen

• De locatie van aangepaste ASP.NET webpagina's voor clientaanmelding, afmelding en accountpartnerdetectie waarmee de clientervaring wordt verbeterd

  Notitie

  De meeste van deze gebruikersinterface-instellingen (Core User Interface) bevinden zich in het web.config-bestand op elke federatieserver. De AD FS-hostnaam en AD FS-id-waarden worden niet opgegeven in het bestand web.config.

Federatieservers hosten een claimuitgifte-engine die tokens uitgeeft op basis van de referenties (bijvoorbeeld gebruikersnaam en wachtwoord) die eraan worden gepresenteerd. Een beveiligingstoken is een cryptografisch ondertekende gegevenseenheid die een of meer claims uitdrukt. Een claim is een verklaring die een server afgeeft (bijvoorbeeld naam, identiteit, sleutel, groep, bevoegdheid of mogelijkheid) over een cliënt. Nadat de inloggegevens zijn geverifieerd op de federatieserver (via het aanmeldingsproces van de gebruiker), worden claims voor de gebruiker verzameld door onderzoek van de gebruikersattributen die zijn opgeslagen in de opgegeven attributenopslag.

In Federated Web Single-Sign-On (SSO) ontwerpen (AD FS-ontwerpen waarin twee of meer organisaties betrokken zijn), kunnen claims worden gewijzigd door claim-regels voor een specifieke vertrouwende partij. De claims zijn ingebouwd in een token dat wordt verzonden naar een federatieserver in de resourcepartnerorganisatie. Nadat een federatieserver in de resourcepartner de claims ontvangt als binnenkomende claims, wordt de claimuitgifte-engine uitgevoerd om een set claimregels uit te voeren om deze claims te filteren, door te geven of te transformeren. De claims worden vervolgens ingebouwd in een nieuw token dat wordt verzonden naar de webserver in de resourcepartner.

In het web-SSO-ontwerp (een AD FS-ontwerp waarin slechts één organisatie betrokken is), kan één federatieserver worden gebruikt, zodat werknemers zich eenmaal kunnen aanmelden en nog steeds toegang hebben tot meerdere toepassingen.