Active Directory 联合身份验证服务 ((AD FS) 使用下列三种类型的 Cookie:

  • 身份验证 Cookie

  • 帐户伙伴 Cookie

  • 注销 Cookie

身份验证 Cookie

联合身份验证服务和 AD FS Web 代理都可以颁发身份验证 Cookie。AD FS Web 代理接受其接收到的 AD FS 安全令牌,并使用该令牌作为 Cookie 值。启用 AD FS 的 Web 服务器的益处是它不必使用可以签署和验证其自身 Cookie 的公钥/私钥对进行配置。联合身份验证服务发布验证令牌时所需的所有信息。

在联合身份验证服务端,Cookie 中的安全令牌包含客户端的组织声明。组织声明可以映射到特定资源的传出声明。AD FS Web 代理还可以验证和使用联合身份验证服务颁发的 Cookie。启用 AD FS 的 Web 服务器在客户端访问启用 AD FS 的 Web 服务器时接收 Cookie。然后,AD FS Web 代理可以对此 Cookie 进行身份验证,并使用其包含的声明。有关联合身份验证服务如何使用令牌、声明和身份验证 Cookie 的详细信息,请参阅了解联合身份验证服务角色服务

身份验证 Cookie 便于进行单一登录 (SSO)。联合身份验证服务对客户端进行一次验证之后,将身份验证 Cookie 写入客户端。联合身份验证服务生成并使用身份验证 Cookie 的内容,并且联合服务器代理不会读取这些内容。通过 Cookie 进行进一步的身份验证,而不是通过重复地收集客户端凭据。有关联合服务器代理的详细信息,请参阅了解联合身份验证服务代理角色服务

下图显示身份验证 Cookie 的内容以及使用身份验证 Cookie 的 AD FS 角色服务。AD FS Web 代理由 AD FS Web 代理身份验证服务和 AD FS 基于 Windows 令牌的代理扩展组成。

身份验证 cookie 的内容

身份验证 Cookie 始终是会话 Cookie。身份验证 Cookie 已签名但未经加密,这是在 AD FS 中必须使用传输层安全性和安全套接字层 (TLS/SSL) 的一个原因。

帐户伙伴 Cookie

帐户伙伴 Cookie 便于 SSO。进行交互式帐户伙伴成员身份发现之后,如果帐户伙伴 Cookie 包含有效的令牌,将该 Cookie 写入客户端。进一步的交互将使用此 Cookie 中的信息,而不是提示客户端重新输入帐户伙伴成员身份信息。设置帐户伙伴 Cookie 是帐户伙伴发现过程的结果。有关帐户伙伴发现的详细信息,请参阅了解联合身份验证服务角色服务

帐户伙伴 Cookie 是长效的永久性 Cookie。既不签名也不加密。

注销 Cookie

注销 Cookie 便于注销。只要联合身份验证服务颁发令牌,令牌的资源伙伴或目标服务器就会添加到注销 Cookie。接收到注销请求时,联合身份验证服务或联合身份验证服务代理会将请求发送给每个令牌目标服务器,要求这些服务器清理资源伙伴或启用 AD FS 的 Web 服务器可能已写入客户端的任何身份验证信息(例如缓存 Cookie)。如果是资源伙伴,则向客户端已使用的任何启用 AD FS 的 Web 服务器发送清理请求。

注销 Cookie 始终是会话 Cookie。既不签名也不加密。


目录