11.3 Die Kernidee
Die Kernidee der Active Directory-Verbunddienste ist, dass ein Unternehmen einen Anwender eines Partnerunternehmens auf eine Ressource zugreifen lässt, ohne dass eine separate Authentifizierung notwendig ist. Da es keine klassische Vertrauensstellung auf Active Directory-Ebene gibt, wird dies durch sogenannte Claim-Mappings (»Organisationsansprüche«) realisiert.
Sehr stark vereinfacht funktioniert dies bei einer Applikation wie SharePoint wie folgt:
- Auf der Kontenseite, also bei der Organisation, deren Benutzer zugreifen wollen, wird definiert, dass für Anwender, die Mitglied einer bestimmten AD-Gruppe (der eigenen Organisation!) sind, ein bestimmter Gruppenanspruch zugeordnet und übertragen wird.
- Auf der Ressourcenseite wird dieser Gruppenanspruch einer Active Directory-Gruppe zugewiesen. Dieser AD-Gruppe werden dann Rechte zugewiesen, beispielsweise der Zugriff auf eine SharePoint-Teamsite.
In Abbildung 11.3 sind diese Schritte grafisch dargestellt. Sie sehen, dass das Bindeglied zwischen den Organisationen der Gruppenanspruch ist, der jeweils einer AD-Gruppe zugeordnet ist. Das Verfahren ist in Wahrheit deutlich komplizierter als hier dargestellt, weil AD-Gruppen nicht direkt Gruppenansprüchen zugeordnet werden, sondern zusätzlich mit Organisationsansprüchen gearbeitet wird. Für den ersten Überblick genügt es aber zu wissen, dass ein Mapping der gewährten und zu gewährenden Zugriffsrechte erfolgt.
In der Konsequenz bedeutet dies übrigens, dass der Administrator der Firma BETA durch Zuweisen von Gruppenmitgliedschaften beeinflussen kann, wer auf den Webserver der Firma ALPHA zugreifen kann. Beispiel: Ein neuer Projektmitarbeiter kommt zur Firma BETA hinzu. Aufgrund der Mitgliedschaft in einer AD-Gruppe kann er auf die Extranet-Anwendung der Partnerfirma zugreifen, ohne dass der dortige Benutzer ihn anlegen und berechtigen muss.
Abbildung 11.3 Die Funktionsweise der Active Directory-Verbunddienste am Beispiel der Federated SharePoint Services
Hinweis
Die Active Directory-Verbunddienste sind leider nicht ganz trivial einzurichten. Die Einrichtung ist kein unüberwindliches Problem, aber wenn beispielsweise die Zertifikate nicht exakt zu den Servern (bzw. deren Namen) passen, funktioniert es nicht – das ist ja auch ein korrektes Verhalten.
Ich gehe davon aus, dass es zwar für alle Leser interessant zu wissen ist, wozu die Verbunddienste verwendet werden können, dass aber die Anzahl derjenigen, die sie tatsächlich direkt einführen, eher niedrig ist. Aus diesem Grunde verzichte ich auf eine mehrere Seiten lange Darstellung der Einrichtung.
Ihre Meinung
Wie hat Ihnen das Openbook gefallen? Wir freuen uns immer über Ihre Rückmeldung. Schreiben Sie uns gerne Ihr Feedback als E-Mail an kommunikation@rheinwerk-verlag.de.