Роль хранилищ атрибутов

  • Статья

В службы федерации Active Directory (AD FS) (AD FS) термин хранит каталоги или базы данных, которые организация использует для хранения учетных записей пользователей и их значений атрибутов. После настройки в организации поставщика удостоверений AD FS извлекает эти значения атрибутов из хранилища. Он создает утверждения на основе этой информации, чтобы веб-приложение или служба, размещенная в организации проверяющей стороны, могли принимать соответствующие решения о авторизации, когда федеративный пользователь (пользователь, учетная запись которого хранится в организации поставщика удостоверений) пытается получить доступ к приложению или службе.

Дополнительные сведения о создании утверждений см. в разделе "Роль утверждений".

Соответствие хранилищ атрибутов целям развертывания служб AD FS

Расположение хранилища атрибутов пользователя и расположения, из которого пользователи проходят проверку подлинности, определяют, как вы разрабатываете AD FS для поддержки удостоверений пользователей. В зависимости от того, где находится хранилище атрибутов и где пользователи будут получать доступ к приложению (в интрасети или в Интернете), у вас может быть одна из следующих целей развертывания:

  • Предоставьте пользователям Active Directory доступ к приложениям и службам с поддержкой утверждений. В этом сценарии пользователи в организации получают доступ к приложению или службе, защищенной AD FS, когда пользователи вошли в Active Directory в корпоративной интрасети. Приложение или служба могут быть собственными или партнером.

  • Предоставление пользователям Active Directory доступа к приложениям и службам других организаций. В этом сценарии пользователи в организации получают доступ к приложению или службе, защищенной AD FS, когда пользователи вошли в хранилище атрибутов в корпоративной интрасети и при удаленном входе из Интернета. Приложение или служба могут быть собственными или партнером.

  • Предоставление пользователям в другой организации доступа к приложениям и службам с поддержкой утверждений. В этом сценарии учетные записи пользователей в другой организации, расположенной в хранилище атрибутов в корпоративной интрасети организации, должны получить доступ к приложению, защищенному AD FS в вашей организации. Этот сценарий также подходит для предоставления учетных записей пользователей на основе потребителей, расположенных в хранилище атрибутов в сетевом доступе организации к приложению, защищенному AD FS в вашей организации.

В зависимости от размещения хранилища атрибутов и других требований организации можно объединить несколько из этих целей развертывания, чтобы завершить разработку развертывания AD FS.

Атрибуты хранят поддерживаемые AD FS

AD FS поддерживает широкий спектр хранилищ каталогов и баз данных. Их можно использовать для извлечения значений атрибутов, определенных администратором, и заполнения утверждений этими значениями. AD FS поддерживает любой из этих каталогов или баз данных в качестве хранилищ атрибутов:

  • Доменные службы Microsoft Entra в Windows Server 2012 и 2012 R2 и Windows Server 2016 и более поздних версий

  • Все выпуски SQL Server 2012, SQL Server 2014 и SQL Server 2016 и более поздних версий

  • Пользовательские хранилища атрибутов