建立信賴憑證者信任
下列文件提供手動和使用同盟中繼資料建立信賴憑證者信任的資訊。
手動建立宣告感知信賴憑證者信任
若要使用 AD FS 管理嵌入式管理單元新增信賴憑證者信任,並手動設定設定,請在同盟伺服器上執行下列程序。
若要完成此程序,至少需要本機電腦之 Administrators 群組的成員資格或同等權限。 請參閱本機與網域的預設群組中關於使用適當帳戶和群組成員資格的詳細資料。
在 [伺服器管理員] 中,按一下 [工具],然後選取 [AD FS 管理]。
在 [動作] 底下 ,按一下 [新增信賴憑證者信任]。
在 [歡迎使用] 頁面上,選擇 [宣告感知],然後按一下 [啟動]。
在 [選取資料來源] 頁面上,按一下 [手動輸入信賴憑證者相關資料],然後按一下 [下一步]。
在 [指定顯示名稱] 頁面上,在 [顯示名稱] 中輸入此信賴憑證者信任的名稱,在 [附註] 下輸入描述,然後按一下 [下一步]。
在 [設定憑證] 頁面上,如果您有選擇性的權杖加密憑證,請按一下 [瀏覽] 以尋找憑證檔案,然後按 [下一步]。
在 [設定 URL] 頁面上執行下列其中一項或兩項,按 [下一步],然後執行步驟 8:
選取 [啟用 WS-同盟被動式通訊協定的支援] 核取方塊。 在 [信賴憑證者 WS-同盟被動式通訊協定 URL] 下,輸入此信賴憑證者信任的 UR,然後按一下 [下一步]。
選取 [啟用 SAML 2.0 WebSSO 通訊協定的支援] 核取方塊。 在 [信賴憑證者 SAML 2.0 SSO 服務 URL] 下,輸入此信賴憑證者信任的安全性聲明標記語言 (SAML) 服務端點 URL,然後按一下 [下一步]。
在 [設定識別碼] 頁面上,指定此信賴憑證者的一或多個識別碼,按一下 [新增] 以將它們新增到清單中,然後按一下 [下一步]。
在 [選擇存取控制原則] 上,選取原則然後按 [下一步]。 如需存取控制原則的詳細資訊,請參閱 AD FS 中的存取控制原則。
在 [準備新增信任] 頁面上,檢閱設定,然後按一下 [下一步] 以儲存您的信賴憑證者信任資訊。
在 [完成] 頁面上,按一下 [關閉] 。 此動作會自動顯示 [編輯宣告規則] 對話方塊。
使用同盟中繼資料建立宣告感知信賴憑證者信任
若要使用 [AD FS 管理] 嵌入式管理單元 (透過自動從夥伴發佈到區域網路或網際網路的同盟中繼資料匯入有關夥伴的設定資料) 新增信賴憑證者信任,請在帳戶夥伴組織中的同盟伺服器上執行下列程序。
注意
雖然使用憑證搭配非完整主機名稱 (例如 https://myserver) 是長久以來的常見實務做法,但這些憑證沒有安全性價值,而且會讓攻擊者能夠模擬發佈同盟中繼資料的 Federation Service。 因此,查詢同盟中繼資料時,您只應該使用完整網域名稱 (例如 https://myserver.contoso.com)。
若要完成此程序,至少需要本機電腦之 Administrators 群組的成員資格或同等權限。 請參閱本機與網域的預設群組中關於使用適當帳戶和群組成員資格的詳細資料。
在 [伺服器管理員] 中,按一下 [工具],然後選取 [AD FS 管理]。
在 [動作] 底下 ,按一下 [新增信賴憑證者信任]。
在 [歡迎使用] 頁面上,選擇 [宣告感知],然後按一下 [啟動]。
在 [選取資料來源] 頁面上,按一下 [匯入發佈到線上或區域網路的信賴憑證者相關資料]。 在 [同盟中繼資料位址 (主機名稱或 URL)] 中,輸入夥伴的同盟中繼資料 URL 或主機名稱,然後按 [下一步]。
在 [指定顯示名稱] 頁面上,在 [顯示名稱] 中輸入此信賴憑證者信任的名稱,在 [附註] 下輸入描述,然後按一下 [下一步]。
在 [選擇發行授權規則] 頁面上,選取 [允許所有使用者存取此信賴憑證者] 或 [拒絕所有使用者存取此信賴憑證者],然後按一下 [下一步]。
在 [準備新增信任] 頁面上,檢閱設定,然後按一下 [下一步] 以儲存您的信賴憑證者信任資訊。
在 [完成] 頁面上,按一下 [關閉]。 此動作會自動顯示 [編輯宣告規則] 對話方塊。 如需有關如何繼續為此信賴憑證者信任新增宣告規則的詳細資訊,請參閱<其他參考資料>。
另請參閱
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應