統一資源識別碼 (URI) 是作為唯一標識子的字元字串。 在AD FS中,URI 可用來識別合作夥伴網路位址和設定物件。 用來識別合作夥伴網路位址時,URI 一律為URL。 用來識別組態物件時,URI 可能是 URN 或 URL。 如需 URI 的詳細資訊,請參閱 RFC 2396 和 RFC 3986。
URI 作為合作夥伴網路位址
以下是AD FS 中系統管理員最常處理的網路位址URL。
同盟服務的 URL,包括 WS-Federation、SAML、WS-Trust、同盟服務元數據、WS-MetadataExchange,以及隱私權部分與組織部分的 URL。
信賴方信任的 URL,包括 WS-Federation、SAML 和聯合元數據 URL
宣告提供者信任的 URL,包括 WS-Federation URL、SAML URL 和同盟元數據 URL
URI 作為對象識別碼
下表描述 AD FS 中系統管理員最常處理的識別碼。
| 標識碼名稱 | 說明 | 比較 |
|---|---|---|
| 同盟服務標識碼 | 此標識碼是用來識別同盟服務。 由依賴此同盟服務宣告的憑證單位和向此同盟服務發出宣告的宣告提供者使用。 | 當使用者向這個同盟服務的宣告提供者要求宣告時,會使用同盟服務標識符來識別宣告的目標。 當此同盟服務收到來自宣告提供者的宣告時,它會檢查這些宣告是否專用于此同盟服務,方法是尋找其同盟服務標識碼。 當信賴憑證者從這個同盟服務接收宣告時,信賴憑證者會檢查宣告的簽發者是否符合同盟服務標識符。 |
| 依賴方標識碼 | 此標識碼是用來識別此同盟服務的信賴方。 它會在向受託方發出聲明時使用。 | 當使用者向這個聯盟服務請求信賴方的宣告時,將使用信賴方識別符以識別應該作為宣告目標的信賴方。 這項比較是使用前置詞比對完成的(請參閱下文)。 當信賴方收到宣告時,它會檢查安全性令牌中的標識碼,以確保宣告是針對它的。 |
| 理賠提供者標識碼 | 此標識碼是用來識別此同盟服務的宣告提供者。 從索賠提供者接收聲明時會使用它。 | 當此同盟服務從宣告提供者接收宣告時,此同盟服務會檢查宣告的簽發者是否符合宣告提供者標識符。 |
| 索賠類型 | 此標識碼是用來定義宣告的類型。 此聯盟服務、宣告提供者和信賴方會在傳送和接收宣告時使用。 | 當同盟服務收到來自宣告提供者的宣告時,與對應宣告提供者信任相關聯的宣告規則可讓系統管理員比較宣告類型和處理宣告。 與信賴方信任相關聯的宣告規則也允許系統管理員比較從宣告提供者信任規則衍生的宣告類型,並決定要發布的宣告。 |
信賴方識別碼的 URI 前綴比對
URI 的路徑語法會以階層方式組織,並以所有 “/” 字元或所有 “:” 字元分隔。 因此,路徑可能會根據分隔字元分割成路徑區段。 在進行前綴比對時,每個區段必須根據比對規則完整匹配(這些規則控管相符項目的大小寫)。 如需比對規則的詳細資訊,請參閱上述 RFC。
當在對聯合服務的請求中識別信賴方時,AD FS 會使用前綴比對邏輯來判斷 AD FS 組態資料庫中是否有相符的信賴方信任。
例如,如果 AD FS 組態資料庫中的信賴方識別碼 (URI1) 是傳入請求中信賴方識別碼的前綴,則下列內容必須為 true:
路徑區段或網址中「權威」部分的尾端區隔符號(斜線和冒號)必須忽略
URI1 和 URI2 的方案和權限部分必須是不區分大小寫的完全相符。
URI1 的每個路徑區段都必須與 URI2 的對應路徑區段完全相符,並根據所選的大小寫敏感性進行匹配。
URI2 的路徑區段可能比 URI1 多,但 URI1 不能有比 URI2 更多的路徑區段
URI1 不能有比 URI2 更多的路徑區段
如果 URI1 有片段,它必須完全符合 URI2 片段
備註
在信賴方識別碼中,查詢字串參數不受支援,且會被忽略。
下表提供其他範例。
| AD FS 組態資料庫中的信賴方識別碼 | 要求訊息中的受信方識別碼 | 要求識別碼符合配置識別碼? | 原因 |
|---|---|---|---|
| http://contoso.com | http://contoso.com | 是真的 | 完全相符 |
| http://contoso.com/ | http://contoso.com | 是真的 | 尾端的斜線將被忽略 |
| http://contoso.com | http://contoso.com/ | 是真的 | 尾端的斜線將被忽略 |
| http://contoso.com | http://contoso.com/hr | 是真的 | URI1 沒有路徑,並且其方案和權限與 URI2 相符。 |
| http://contoso.com/hr | http://contoso.com/hr/web | 是真的 | 第一個路徑區段相符,URI1 沒有第二個路徑區段 |
| http://contoso.com/hr/ | http://contoso.com/hrw/main | 錯誤 | URI1 路徑區段 1 不符合 URI2 路徑區段 1 |
| http://contoso.com/hr | http://contoso.com | 錯誤 | URI1 的路徑區段比 URI2 多 |
| http://contoso.com/hr | http://contoso.com/hrweb | 錯誤 | 第一個路徑區段不相符 |
| https://contoso.com | http://contoso.com | 錯誤 | 協議部分不符 |
| http://sts.contoso.com | http://contoso.com | 錯誤 | 權限部件不匹配 |
| http://contoso.com | http://sts.contoso.com | 錯誤 | 權限部件不匹配 |