Die Active Directory Federation Services (AD FS) sind Microsofts Implementierung einer Single-Sign-on-Lösung für Web-Applikationen. Eine Kernfunktion besteht in der Unterstützung des SAML-Protokolls (Security Assertion Markup Language), das einen wichtigen Industriestandard für Produkte dieser Art bildet. Microsoft selbst war an der Entwicklung dieses Standards beteiligt. Trotzdem hat man sich in Redmond dazu entschieden, für die wesentlichen Teile der Infrastruktur eine eigene Namensgebung zu verwenden, die teils deutlich von den üblichen Bezeichnungen in SAML abweicht. Leider erschwert dies in SAML-Projekten die Umsetzung, weil man oft erst herausfinden muss, was denn nun wo eigentlich gemeint ist.
Die folgende Tabelle stellt einige der in SAML üblichen Begriffe denen der Microsoft-Welt gegenüber und ordnet sie funktional zu.
SAML | ADFS | Bedeutung |
Identity Provider (IdP) | Claims Provider Anspruchsanbieter |
Der Partner in der Federation-Beziehung, der die Anmeldekonten verwaltet. Meist handelt es sich hier um den “Kunden”, der eine Web-Applikation nutzt. |
Service Provider (SP) | Relying Party Vertrauende Seite |
Der Anbieter der Web-Applikation, auf die ein Kunde zugreifen möchte. |
Assertion | Security Token Sicherheitstoken |
Das XML-Dokument, in dem die Informationen über einen Benutzer zusammengefasst sind, der sich anmelden möchte. Dieses Dokument wird nur dann erzeugt, wenn der Anwender sich bei seinem eigenen System bereits erfolgreich angemeldet hat. Es dient daher als Nachweis der erfolgreichen Authentifizierung, auf die die Web-Applikation sich verlassen soll. Der Identity Provider (bzw. Claims Provider) stellt dieses Dokument für den Anwender aus, damit dieser es an den Service Provider (bzw. die Relying Party) senden kann. |
Assertion statement | Claim Anspruch |
Eine einzelne Information über den Benutzer innerhalb der Assertion (bzw. des Security Tokens). Dies kann z.B. eine User-ID sein, ein Name, eine Rollenzugehörigkeit oder eine andere Information, die die Web-Applikation für die Anmeldung benötigt. |
URL | Endpoint Endpunkt |
Für bestimmte Aktionen im SAML-Ablauf gibt es spezielle URLs in den Systemen der beteiligten Parteien. In der ADFS-Terminologie heißen diese “Endpunkte”. |
Audience ID | SAML Assertion Consumer Endpoint Endpunkt für SAML-Assertionsconsumer |
Der URL bzw. Endpunkt bei dem Service Provider, mit dem ein bestimmter Kunde sich verbindet, um sich an die Web-Applikation anzumelden und diese zu nutzen. In vielen Implementierungen stellt der Service Provider (bzw. die Relying Party) für jeden Kunden einen speziellen URL bereit und gibt so die “Intended Audience” (also den konkreten Kunden, für den der Dienst läuft) an. |
Issuer ID | Federation Service Identifier Bezeichner des Verbunddienstes |
Die eindeutige Bezeichnung des Identity Providers (bzw. des Claims Providers), normalerweise in Form eines URLs angegeben. Manchmal wird dieses Attribut auch als “Entity ID” angegeben. |
NameIdentifier | Name ID Namens-ID |
Dieses optionale Attribut bildet den “Titel” der Assertion (des Security Tokens). Manchmal bezeichnet man es daher auch als “Subject”. Hinweis: Manchmal gibt es in der Ersteinrichtung Probleme mit diesem Attribut, meist ist dann eine (ebenfalls optionale) Angabe zur Syntax nicht passend zum Datenformat. Zudem darf der Wert dieses Attribut nicht mit einer Ziffer beginnen, was manche Implementierungen nicht berücksichtigen. |
Bei Bedarf füge ich weitere Zuordnungen hinzu.
http://faq-o-matic.net/?p=5873