宣告管線的角色

• 適用於:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Active Directory 同盟服務 (AD FS) 中的宣告管線代表宣告必須遵循同盟服務才能發出的路徑。 同盟服務會管理宣告行經宣告管線各個階段的整個端對端程序，其中也包括處理宣告規則引擎的宣告規則。

如需宣告規則的詳細資訊，請參閱宣告規則的角色。 如需宣告規則引擎如何處理規則的詳細資訊，請參閱 The Role of the Claims Engine。

下列章節會更詳細地討論同盟服務監視的程序。

宣告管線處理程序

宣告管線處理程序包含三個高階的階段。 此程序的每個階段會初始化宣告規則引擎來處理該階段的特定宣告規則。 這些階段包含 (依它們出現的順序)：

1. 接受連入宣告 - 宣告管線中的這個階段用來從權杖擷取連入宣告，並排除未預期或未受信任的宣告。 在擷取之後，組成宣告提供者信任的接受轉換規則集的接受規則即會執行。 這些規則可以用來傳遞或加入之後可以在宣告管線的後續階段中使用的新宣告。 這個階段的輸出可做為第二個和第三個階段的輸入。

2. 授權宣告要求者 - 宣告引擎會使用這個階段依據權杖要求者是否被允許取得指定信賴憑證者的權杖，來發出允許或拒絕宣告。 不過，在發生此情況之前，會執行構成發行授權規則集或信賴憑證者信任的委派授權規則集的授權規則。

3. 發出連出宣告 - 這個階段是用來發出連出宣告並將它們沿著將被封裝為安全性權杖的管線傳送。 不過，在發生此情況之前，會執行組成信賴憑證者信任的發行轉換規則集，這將會決定哪些宣告會發出為連出宣告。

上述所有三個階段會執行宣告規則處理，但使用不同的規則集。 如上所述，每個階段都有一組相關聯的規則，根據傳入宣告的簽發者 (接受規則) 或宣告包含的目標服務 (授權和發行規則)。

宣告與權杖無關，但是會透過封裝在安全性權杖的網路傳輸。 宣告規則會對宣告運作，而不論傳入或傳出的安全性權杖的格式為何。

宣告規則包含系統管理員定義的邏輯，宣告引擎將據此接受連入宣告、根據要求者的識別授權宣告，並發出信賴憑證者所需的宣告。 最後，在宣告行經宣告管線之後，宣告引擎會決定將移到將發出的安全性權杖的宣告。

如下圖所示，宣告管線負責讓宣告行經各個管線階段，以最終獲得將透過信賴憑證者信任傳送的發出宣告的整個端對端程序。 圖中的連出宣告表示發出的宣告。

雖然未在圖例中顯示，它是在每個階段執行規則的實際處理的宣告引擎。 如需詳細資訊，請參閱 The Role of the Claims Engine。