了解重要的 AD FS 概念
建議您了解 Active Directory 同盟服務的重要概念,並熟悉其功能集。
提示
您可以在了解主要 AD FS 概念中找到其他 AD FS 資源連結。
此指南中使用的 AD FS 詞彙
| AD FS 詞彙 | 定義 |
|---|---|
| 帳戶夥伴組織 | 由 Federation Service 中之宣告提供者信任代表的同盟夥伴組織。 帳戶夥伴組織包含將存取資源夥伴之 Web 應用程式的使用者。 |
| 帳戶同盟伺服器 | 帳戶夥伴組織中的同盟伺服器。 帳戶同盟伺服器會根據使用者驗證簽發安全性權杖。 伺服器會驗證使用者、從屬性存放區擷取相關屬性與群組成員資格資訊、將此資訊封裝到宣告中,並產生及簽署要傳回給使用者的安全性權杖 (其中包含宣告),以便在本身的組織中使用或傳送到夥伴組織。 |
| AD FS 設定資料庫 | 用來儲存代表單一 AD FS 執行個體或 Federation Service 之所有設定資料的資料庫。 此設定資料可以儲存在 SQL Server 資料庫中,或使用 Windows Server 2016、Windows Server 2012 和 2012 R2 隨附的 Windows 內部資料庫功能,以及 Windows Server 2008 和 2008 R2。 您可以使用 Fsconfig.exe 命令列工具來建立適用於 SQL Server 的 AD FS 設定資料庫,或使用 [AD FS 同盟伺服器設定精靈] 來建立適用於「Windows 內部資料庫」的 AD FS 設定資料庫。 |
| 宣告提供者 | 提供宣告給其使用者的組織。 請參閱<帳戶夥伴組織>。 |
| 宣告提供者信任 | 在 AD FS 管理嵌入式管理單元中,宣告提供者信任是通常在資源夥伴組織中的信任物件,這些物件代表信任關係中的組織,而這些組織中的帳戶將用來存取資源夥伴組織中的資源。 宣告提供者信任物件由各種識別碼、名稱與規則組成,可讓本機 Federation Service 識別此夥伴。 |
| 本機宣告提供者信任 | 一個信任物件,代表 AD LDS 或 AD FS 伺服器陣列中的第三方 LDAP 型目錄。 本機宣告提供者信任物件由各種識別碼、名稱與規則組成,可讓本機同盟服務識別此 LDAP 型目錄。 |
| 同盟中繼資料 | 一種資料格式,此資料格式用於在宣告提供者與信賴憑證者之間溝通設定資訊,以進行適當的宣告提供者信任與信賴憑證者信任設定。 此資料格式是在安全性聲明標記語言 (SAML) 2.0 中定義,並在 WS-Federation 中擴充。 |
| 同盟伺服器 | 已使用 AD FS 同盟伺服器設定精靈設定的 Windows Server,以在同盟伺服器角色中運作。 同盟伺服器會簽發權杖並做為 Federation Service 的一部分。 |
| 同盟伺服器 Proxy | 已使用 AD FS 同盟伺服器 Proxy 設定精靈設定的 Windows Server,以作為網際網路用戶端與位於公司網路上防火牆後方同盟服務的中繼 Proxy 服務。 |
| 主要同盟伺服器 | 使用 AD FS 同盟伺服器組態精靈在同盟伺服器角色中設定的 Windows Server,並且具有 AD FS 組態資料庫的讀取/寫入複本。 主要同盟伺服器是當您使用 [AD FS 同盟伺服器設定精靈] 並選取建立新同盟服務選項並將該電腦設定為陣列中第一部同盟伺服器時所建立。 此陣列中的所有其他同盟伺服器都必須將主要同盟伺服器上所做的所有變更複寫到其本機儲存的 AD FS 設定資料庫的唯讀複本。 當 AD FS 設定資料庫是儲存在 SQL 資料庫中時,「主要同盟伺服器」一詞不適用,因為在此情況下,所有同盟伺服器都能讀取及寫入儲存在 SQL Server 上的設定資料庫。 |
| 信賴憑證者 | 接收並處理宣告的組織。 請參閱<資源夥伴組織>。 |
| 信賴憑證者信任 | 在 AD FS 管理嵌入式管理單元中,信賴憑證者信任是通常在下列位置中建立的信任物件: - 在帳戶夥伴組織中建立,用來代表信任關係中之組織的物件,此組織中的帳戶將用來存取資源夥伴組織中的資源。 信賴憑證者信任物件由各種識別碼、名稱與規則組成,可讓本機 Federation Service 識別此夥伴或 Web 應用程式。 |
| 資源同盟伺服器 | 資源夥伴組織中的同盟伺服器。 資源同盟伺服器通常會根據帳戶同盟伺服器簽發的安全性權杖來簽發安全性權杖給使用者。 伺服器會接收安全性權杖、驗證簽章、套用宣告規則邏輯至解除封裝的宣告以產生所需的連出宣告、根據連入安全性權杖中的資訊產生新的安全性權杖 (使用連出宣告),並簽署將傳回給使用者且最終會傳回至 Web 應用程式的新安全性權杖。 |
| 資源夥伴組織 | 由 Federation Service 中之信賴憑證者信任所代表的同盟夥伴。 資源夥伴會簽發宣告式安全性權杖,其中包含帳戶夥伴中的使用者可存取的已發佈 Web 應用程式。 |
AD FS 概觀
AD FS 是一種身分識別存取解決方案,它為用戶端電腦 (不論位於您的網路內部或外部) 提供無縫式 SSO 存取,讓其可以存取受保護的網際網路對向應用程式或服務 (即使使用者帳戶與應用程式不是位於相同網路或相同組織中)。
當應用程式或服務位於某個網路,而使用者帳戶位於另一個網路,一般而言,當使用者嘗試存取應用程式或服務時,系統會提示使用者提供第二個認證。 這些第二個認證代表應用程式或服務所在網路的使用者身分識別。 裝載應用程式或服務的網頁伺服器通常會要求使用者提供第二個認證,以便進行最適當的授權決策。
使用 AD FS 時,組織可以透過提供信任關係 (同盟信任) 讓參與同盟的組織將使用者的數位身分識別與存取權限投射到信任的夥伴,以免除要求第二個認證的情況。 在此同盟環境中,每個組織會繼續管理其自己的身分識別,但每個組織也都可以安全地投射並接受來自其他組織的身分識別。