Active Directory Federation Services (AD FS) 2.0 unterstützt anspruchsbasierte Identitätslösungen, die Windows Server- und Active Directory-Technologie einbeziehen. AD FS 2.0 unterstützt die Protokolle WS-Trust, WS-Federation und Security Assertion Markup Language (SAML).

In diesem Abschnitt erfahren Sie, wie Sie AD FS 2.0 als SAML-Server mit Hosted Email Security konfigurieren können. Stellen Sie sicher, dass Sie AD FS 2.0 erfolgreich installiert haben.

  1. Wählen Sie Start > Alle Programme > Verwaltung > Verwaltung von AD FS 2.0 aus.
  2. Wählen Sie in der AD FS-Management-Konsole AD FS 2.0 > Vertrauensstellungen aus, klicken Sie mit der rechten Maustaste auf Vertrauensstellungen der vertrauenden Seite und wählen Sie dann Vertrauensstellung der vertrauenden Seite hinzufügen aus.
  3. Nehmen Sie alle Einstellungen in jedem Fenster des Assistenten zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite vor.
    1. Klicken Sie auf der Willkommensseite auf Start.
    2. Wählen Sie im Fenster Datenquelle auswählen die Option Daten über die vertrauende Seite manuell eingeben aus und klicken Sie auf Weiter.
    3. Geben Sie im Fenster Anzeigename angeben einen Anzeigenamen an, z. B. Test, und klicken Sie auf Weiter.
    4. Wählen Sie im Fenster Profil auswählen die Option AD FS 2.0-Profil aus und klicken Sie auf Weiter.
    5. Klicken Sie im Fenster Zertifikat konfigurieren auf Weiter.
      Anmerkung:

      Es ist kein Verschlüsselungszertifikat erforderlich. Für die Kommunikation zwischen Hosted Email Security und den Verbundservern wird HTTPS verwendet.

    6. Wählen Sie im Fenster URL konfigurieren die Option Unterstützung für das SAML 2.0 WebSSO-Protokoll aktivieren aus, geben Sie die SAML 2.0 SSO-Service-URL der vertrauenden Seite ein und klicken Sie auf Weiter.
      Anmerkung:

      Geben Sie die SAML 2.0 SSO-Service-URL für Ihre Region wie folgt an:

      • Europa, Nahost und Afrika: https://euq.hes.trendmicro.eu/uiserver/euq/ssoAssert

      • Andere Regionen: https://euq.hes.trendmicro.com/uiserver/euq/ssoAssert

    7. Geben Sie den Bezeichner der Vertrauensstellung der vertrauenden Seite im Fenster Bezeichner konfigurieren ein und klicken Sie auf Hinzufügen und anschließend auf Weiter.
      Anmerkung:

      Geben Sie den Bezeichner der Vertrauensstellung der vertrauenden Seite für Ihre Region wie folgt an:

      • Europa, Nahost und Afrika: https://euq.hes.trendmicro.eu/uiserver/euq/ssoLogin

      • Andere Regionen: https://euq.hes.trendmicro.com/uiserver/euq/ssoLogin

    8. Klicken Sie im Assistenten weiterhin auf Weiter und klicken Sie zum Schluss auf Schließen.
  4. Klicken Sie im Dialogfeld Anspruchsregeln für Test bearbeiten auf der Registerkarte Ausstellungstransformationsregeln auf Regel hinzufügen.
  5. Nehmen Sie die Einstellungen in den einzelnen Fenstern des Assistenten zum Hinzufügen einer Transformationsanspruchsregel vor.
    1. Wählen Sie im Fenster Regelvorlage auswählen die Option LDAP-Attribute als Ansprüche senden als Anspruchsregelvorlage aus und klicken Sie auf Weiter.
    2. Geben Sie den Namen einer Anspruchsregel an und wählen Sie Active Directory als Attributspeicher aus.
    3. Wählen Sie LDAP-Attribute aus und geben Sie für jedes Attribut den Typ des ausgehenden Anspruchs an. Wählen Sie z. B. E-Mail-Adressen aus und geben Sie E-Mail an.
      Anmerkung:

      Stellen Sie beim Konfigurieren der Verbundservereinstellungen für Hosted Email Security sicher, dass Sie die Typen von Ansprüchen verwenden, die in der Spalte Typ des ausgehenden Anspruchs angegeben sind.

    4. Klicken Sie auf Fertig stellen.
    5. Klicken Sie auf OK, um den Assistenten zu schließen.
  6. Doppelklicken Sie unter AD FS 2.0 > Vertrauensstellungen > Vertrauensstellung der vertrauenden Seite auf die Datei der Vertrauensstellung der vertrauenden Seite, die Sie zuvor erstellt haben.
    1. Klicken Sie im Dialogfeld Testeigenschaften auf die Registerkarte Erweitert.
    2. Wählen Sie SHA1 in der Dropdown-Liste Sicherer Hashalgorithmus aus und klicken Sie auf Fertig stellen.
  7. Überprüfen Sie die Konfigurationen.
    1. Öffnen Sie einen Webbrowser (vorzugsweise Internet Explorer), geben Sie https://AD_FS_host_name/adfs/ls/IdpInitiatedSignon.aspx in die Adresszeile ein und drücken Sie die Eingabetaste.
      Anmerkung:

      Ersetzen Sie bei der Eingabe der URL ADFS_host_name mit dem Hostnamen oder der IP-Adresse des Servers, auf dem Sie AD FS konfiguriert haben.

    2. Klicken Sie auf der Anmeldeseite auf Bei dieser Website anmelden und dann auf Anmelden fortsetzen.

      Wenn die Nachricht 'Sie sind angemeldet.' angezeigt wird, sind Ihre Konfigurationseinstellungen korrekt und Sie werden auf den ADFS-Server weitergeleitet.

      Falls Sie sich nicht anmelden können, überprüfen Sie Ihre Konfigurationseinstellungen.

  8. Erfassen Sie die URL für die einmalige Anmeldung und ein Zertifikat für die Signaturüberprüfung von AD FS.
    1. Wählen Sie in der AD FS-Management-Konsole AD FS 2.0 > Service > Endpunkte aus.
    2. Suchen Sie nach dem Endpunkt vom Typ SAML 2.0/WS-Federation und erfassen Sie die URL aus dessen Eigenschaften.
    3. Wechseln Sie zu AD FS 2.0 > Service > Zertifikate.
    4. Suchen Sie nach dem Zertifikat für die Tokensignatur, klicken Sie mit der rechten Maustaste darauf und wählen Sie Zertifikat anzeigen aus.
    5. Klicken Sie auf die Registerkarte Details und anschließend auf In Datei kopieren.
    6. Wählen Sie mithilfe des Zertifikatexport-Assistenten Base-64-codiert X.509 (.CER) aus.
    7. Weisen Sie der Datei einen Namen zu, um den Export des Zertifikats in eine Datei abzuschließen.
Übergeordnetes Thema: Anmeldemethoden