宣告的角色
在宣告式身分識別模型中,宣告扮演同盟程序中的關鍵角色。它們是決定網頁式驗證與授權要求結果的重要元件。 此模型可讓組織以標準化方式跨安全性與企業界限安全地投射數位身分識別與權限或「宣告」7。
什麼是宣告?
宣告的最簡單形式是有關使用者的「聲明」(例如名稱、身分識別、群組),主要用來將存取權授與位於網際網路上任何位置的宣告式應用程式。 每個聲明都對應到宣告中儲存的「值」。
如何為宣告進行溯源
Active Directory 同盟服務中的同盟服務 (AD FS) 會定義在同盟夥伴之間交換的宣告。 不過,在可以這樣做之前,它必須使用抓取的值或計算的值來填入宣告或為宣告進行溯源。 每個宣告值都代表使用者、群組或實體的值,而且能讓您以下列兩種方式之一進行溯源:
當構成宣告的值是從屬性存放區中擷取時 (例如當「銷售部門」的屬性值是從 Active Directory 使用者帳戶的屬性擷取)。 如需詳細資訊,請參閱屬性存放區的角色。
當連入宣告的值根據規則中表示的邏輯轉換到另一個值時。 例如,當具有 Domain Admins 值的連入宣告在以連出宣告形式傳送之前被轉換到新值 Administrators。 如需詳細資訊,請參閱宣告規則的角色。
宣告可以包含諸如電子郵件地址、使用者主體名稱 (UPN)、群組成員資格與其他帳戶屬性的值。
宣告的流程
其他實體依賴宣告的值為其裝載的 Web 應用程式執行授權工作。 這些合作物件稱為 AD FS 管理嵌入式管理單元中的信賴憑證者。 同盟服務負責代理許多不同物件之間的信任。 它的設計目的是在 [AD FS 管理] 嵌入式管理單元中處理來自最初發出宣告之組織 (亦稱為「宣告提供者」) 的信任宣告交換,並將其傳遞到信賴憑證者。 接著,信賴憑證者會使用這些宣告來做出授權決策。
使用此程序的宣告傳遞流程稱為「宣告管線」。 宣告在宣告管線中的傳遞流程有三個步驟:
從宣告提供者接收的宣告會由宣告提供者信任上的接受轉換規則處理。 這些規則決定會接受來自宣告提供者的哪些宣告。
接受轉換規則的輸出會用來做為發佈授權規則的輸入。 這些規則決定是否允許使用者存取信賴憑證者。
接受轉換規則的輸出會用來做為發佈轉換規則的輸入。 這些規則決定將傳送到信賴憑證者的宣告。
如需詳細資訊,請參閱宣告管線的角色
宣告的發佈方式
當您撰寫宣告規則時,宣告規則的連入宣告來源是根據您正在撰寫宣告提供者信任規則或信賴憑證者信任規則而定。 當您撰寫宣告提供者信任的宣告規則時,連入宣告是從信任的宣告提供者傳送到 Federation Service 的宣告。 當您撰寫信賴憑證者信任的規則時,連入宣告是適用之宣告提供者信任之宣告規則所輸出的宣告。 如需有關連入宣告與連出宣告的詳細資訊,請參閱宣告管線的角色與宣告引擎的角色。
什麼是宣告類型?
宣告類型提供宣告值的上下文資訊。 它通常是以統一資源識別項 (URI) 的形式表示。 AD FS 支援任何宣告類型,而且預設是設定為可搭配下表的宣告類型使用。
名稱 | 描述 | URI |
---|---|---|
電子郵件地址 | 使用者的電子郵件地址 | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
名字 | 使用者的名字 | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname |
名稱 | 使用者的唯一名稱 | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
UPN | 使用者的使用者主要名稱 (UPN) | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn |
一般名稱 | 使用者的一般名稱。 | http://schemas.xmlsoap.org/claims/CommonName |
AD FS 1.x 電子郵件地址 | 與 AD FS 1.1 或 ADFS 1.0 搭配使用時的使用者電子郵件地址 | http://schemas.xmlsoap.org/claims/EmailAddress |
群組 | 使用者所屬的群組 | http://schemas.xmlsoap.org/claims/Group |
AD FS 1.x UPN | 與 AD FS 1.1 或 AD FS 1.0 交互作業時的使用者 UPN | http://schemas.xmlsoap.org/claims/UPN |
角色 | 使用者擁有的角色 | http://schemas.microsoft.com/ws/2008/06/identity/claims/role |
Surname | 使用者的姓氏 | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname |
PPID | 使用者的私人識別碼 | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier |
名稱識別碼 | 使用者的 SAML 名稱識別碼 | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
驗證方法 | 用來驗證使用者的方法 | http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod |
僅拒絕群組 SID | 使用者的僅拒絕群組 SID | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid |
僅拒絕主要 SID | 使用者的僅拒絕主要 SID | http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid |
僅拒絕主要群組 SID | 使用者的僅拒絕主要群組 SID | http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid |
群組 SID | 使用者的群組 SID | http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid |
主要群組 SID | 使用者的主要群組 SID | http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid |
主要 SID | 使用者的主要 SID | http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid |
Windows 帳戶名稱 | 使用者的網域帳戶名稱,形式為<網域>\<使用者> | http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname |
什麼是宣告描述?
宣告描述代表 AD FS 所支援且可在同盟中繼資料中發行的宣告類型清單。 上表中所述的宣告類型是設定為 [AD FS 管理] 嵌入式管理單元中的宣告描述。
將發行到同盟中繼資料的宣告描述集合是儲存在 AD FS 設定資料庫中。 這些宣告描述會由 Federation Service 的各元件使用。
每個宣告描述都包含宣告類型 URI、名稱、發行狀態與描述。 您可以使用 AD FS 管理嵌入式管理單元中的宣告描述節點來管理宣告描述集合。 您可以使用嵌入式管理單元來修改宣告描述的發佈狀態。 以下是可用的設定:
在同盟中繼資料中以此 Federation Service 可接受之宣告類型的形式發行此宣告 (發行為已接受)—表示此 Federation Service 將接受的其他宣告提供者宣告類型。
在同盟中繼資料中以此 Federation Service 可傳送之宣告類型的形式發行此宣告 (發行為已傳送)—表示由此 Federation Service 提供的宣告類型。 這些是 Federation Service 發行至其他宣告提供者且其他宣告提供者願意傳送的宣告類型。 此宣告提供者傳送的實際宣告類型通常是此清單的子集。
如需有關如何設定宣告類型之發行狀態的詳細資訊,請參閱 AD FS 部署指南中的新增宣告描述。
同盟中繼資料產生時機
同盟中繼資料包含標示為待發行的所有宣告描述。
宣告規則處理時機
當您保留宣告描述的相關設定資訊時,設定宣告相關規則將會比較簡單。 如需有關可在宣告提供者組織中使用之宣告規則的詳細資訊,請參閱宣告規則的角色。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應