Logo faq-o-matic.net
Logo faq-o-matic.net

Namensverwirrung: ADFS und SAML

von veröffentlicht am14. Mai 2014, 06:04 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: ADFS und SAML   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

imageDie Active Directory Federation Services (AD FS) sind Microsofts Implementierung einer Single-Sign-on-Lösung für Web-Applikationen. Eine Kernfunktion besteht in der Unterstützung des SAML-Protokolls (Security Assertion Markup Language), das einen wichtigen Industriestandard für Produkte dieser Art bildet. Microsoft selbst war an der Entwicklung dieses Standards beteiligt. Trotzdem hat man sich in Redmond dazu entschieden, für die wesentlichen Teile der Infrastruktur eine eigene Namensgebung zu verwenden, die teils deutlich von den üblichen Bezeichnungen in SAML abweicht. Leider erschwert dies in SAML-Projekten die Umsetzung, weil man oft erst herausfinden muss, was denn nun wo eigentlich gemeint ist.

Die folgende Tabelle stellt einige der in SAML üblichen Begriffe denen der Microsoft-Welt gegenüber und ordnet sie funktional zu.

SAML ADFS Bedeutung
Identity Provider (IdP) Claims Provider
Anspruchsanbieter
Der Partner in der Federation-Beziehung, der die Anmeldekonten verwaltet. Meist handelt es sich hier um den “Kunden”, der eine Web-Applikation nutzt.
Service Provider (SP) Relying Party
Vertrauende Seite
Der Anbieter der Web-Applikation, auf die ein Kunde zugreifen möchte.
Assertion Security Token
Sicherheitstoken
Das XML-Dokument, in dem die Informationen über einen Benutzer zusammengefasst sind, der sich anmelden möchte. Dieses Dokument wird nur dann erzeugt, wenn der Anwender sich bei seinem eigenen System bereits erfolgreich angemeldet hat. Es dient daher als Nachweis der erfolgreichen Authentifizierung, auf die die Web-Applikation sich verlassen soll. Der Identity Provider (bzw. Claims Provider) stellt dieses Dokument für den Anwender aus, damit dieser es an den Service Provider (bzw. die Relying Party) senden kann.
Assertion statement Claim
Anspruch
Eine einzelne Information über den Benutzer innerhalb der Assertion (bzw. des Security Tokens). Dies kann z.B. eine User-ID sein, ein Name, eine Rollenzugehörigkeit oder eine andere Information, die die Web-Applikation für die Anmeldung benötigt.
URL Endpoint
Endpunkt
Für bestimmte Aktionen im SAML-Ablauf gibt es spezielle URLs in den Systemen der beteiligten Parteien. In der ADFS-Terminologie heißen diese “Endpunkte”.
Audience ID SAML Assertion Consumer Endpoint
Endpunkt für SAML-Assertionsconsumer
Der URL bzw. Endpunkt bei dem Service Provider, mit dem ein bestimmter Kunde sich verbindet, um sich an die Web-Applikation anzumelden und diese zu nutzen. In vielen Implementierungen stellt der Service Provider (bzw. die Relying Party) für jeden Kunden einen speziellen URL bereit und gibt so die “Intended Audience” (also den konkreten Kunden, für den der Dienst läuft) an.
Issuer ID Federation Service Identifier
Bezeichner des Verbunddienstes
Die eindeutige Bezeichnung des Identity Providers (bzw. des Claims Providers), normalerweise in Form eines URLs angegeben. Manchmal wird dieses Attribut auch als “Entity ID” angegeben.
NameIdentifier Name ID
Namens-ID
Dieses optionale Attribut bildet den “Titel” der Assertion (des Security Tokens). Manchmal bezeichnet man es daher auch als “Subject”.
Hinweis: Manchmal gibt es in der Ersteinrichtung Probleme mit diesem Attribut, meist ist dann eine (ebenfalls optionale) Angabe zur Syntax nicht passend zum Datenformat. Zudem darf der Wert dieses Attribut nicht mit einer Ziffer beginnen, was manche Implementierungen nicht berücksichtigen.

Bei Bedarf füge ich weitere Zuordnungen hinzu.

© 2005-2017 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!