Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
In Active Directory Federation Services (AD FS), il termine archivi attributi fa riferimento a directory o database usati da un'organizzazione per archiviare gli account utente e i relativi valori di attributo. Dopo essere stata configurata in un'organizzazione del provider di identità, AD FS recupera dall'archivio questi valori di attributo. Crea attestazioni basate su tali informazioni in modo che un'applicazione Web o un servizio ospitato in un'organizzazione relying party possa prendere le decisioni di autorizzazione appropriate quando un utente federato (un utente il cui account è archiviato nell'organizzazione del provider di identità) tenta di accedere all'applicazione o al servizio.
Per altre informazioni sulla modalità di generazione delle attestazioni, vedere Ruolo delle attestazioni.
Modalità di adattamento degli archivi di attributi agli obiettivi di distribuzione di AD FS
Il percorso dell'archivio attributi utente e il percorso da cui gli utenti eseguono l'autenticazione determinano come si progetta AD FS per supportare le identità utente. A seconda della posizione in cui si trova l'archivio attributi e in cui gli utenti accederanno all'applicazione (in una intranet o in Internet), è possibile avere uno degli obiettivi di distribuzione seguenti:
Consenti agli utenti di Active Directory l'accesso alle applicazioni e ai servizi che riconoscono le attestazioni. In questo scenario, gli utenti dell'organizzazione accedono a un'applicazione o a un servizio protetto da AD FS quando gli utenti hanno eseguito l'accesso ad Active Directory nella intranet aziendale. L'applicazione o il servizio può essere di proprietà o di un partner.
Concedere agli utenti di Active Directory l'accesso alle applicazioni e ai servizi di altre organizzazioni. In questo scenario, gli utenti dell'organizzazione accedono a un'applicazione o a un servizio protetto da AD FS quando gli utenti accedono a un archivio attributi nella Intranet aziendale e quando accedono in remoto da Internet. L'applicazione o il servizio può essere di proprietà o di un partner.
Concedere agli utenti di un'altra organizzazione l'accesso alle applicazioni e ai servizi in grado di riconoscere attestazioni. In questo scenario, gli account utente in un'altra organizzazione che si trovano in un archivio attributi sull'intranet aziendale di quell'organizzazione devono accedere a un'applicazione protetta da AD FS nella tua organizzazione. Questo scenario funziona anche quando è necessario concedere agli account utente basati su consumer, che si trovano in un archivio di attributi nella rete perimetrale dell'organizzazione, l'accesso a un'applicazione protetta da AD FS dell'organizzazione.
A seconda del posizionamento dell'archivio attributi e di altri requisiti dell'organizzazione, è possibile combinare diversi di questi obiettivi di distribuzione per completare la progettazione della distribuzione di AD FS.
I negozi di attributi supportati da AD FS
AD FS supporta un'ampia gamma di archivi di directory e database. È possibile usarli per estrarre i valori degli attributi definiti dall'amministratore e popolare le attestazioni con tali valori. AD FS supporta una di queste directory o database come archivi attributi:
Microsoft Entra Domain Services in Windows Server 2012 e 2012 R2 e in Windows Server 2016 e versioni successive
Tutte le edizioni di SQL Server 2012, SQL Server 2014 e SQL Server 2016 e versioni successive
Archiviazione di attributi personalizzati