当您为使用 Active Directory 联合身份验证服务 (AD FS) 的交叉组织型(基于联合身份验证)协作制定计划时,首先请确定您的组织是否将承载 Web 资源让其他组织通过 Internet 进行访问,或者相反,您的组织是否将通过 Internet 访问其他组织承载的 Web 资源。此结果会影响部署 AD FS 的方式,是计划 AD FS 结构中的基础。

对于联合 Web 单一登录 (SSO) 和具有林信任的联合 Web SSO 等联合身份验证设计(但不是 Web SSO 设计),AD FS 使用“帐户伙伴”和“资源伙伴”等术语有助于区分承载帐户的组织(帐户伙伴)和承载基于 Web 的资源的组织(资源伙伴)。在 AD FS 中,使用术语“联合身份验证信任”描述在帐户伙伴和资源伙伴之间建立的不可传递的单向关系。

有关 AD FS 设计的详细信息,请参阅了解联合身份验证设计

以下各个部分说明与帐户伙伴和资源伙伴有关的一些概念。

帐户伙伴

帐户伙伴代表联合身份验证信任关系中在 Active Directory 域服务 (AD DS) 存储或 Active Directory 轻型目录服务 (AD LDS) 存储中物理存储用户帐户的组织。帐户伙伴负责收集和验证用户凭据、累积该用户的声明并将声明封装到安全令牌中。然后,可以通过联合身份验证信任提供这些令牌,以便访问位于资源伙伴组织中的基于 Web 的资源。

也就是说,帐户伙伴代表帐户端联合身份验证服务为其用户颁发安全令牌的组织。帐户伙伴组织中的联合身份验证服务对本地用户进行身份验证并创建资源伙伴在做出授权决定时使用的安全令牌。

与 AD DS 相关,AD FS 中的帐户伙伴在概念上等同于其帐户需要访问物理上位于另一个林中的资源的单个 AD DS 林。只有在两个林之间存在外部信任或林信任关系,并且用户尝试访问的资源设置了相应的授权权限时,此示例林中的帐户才可以访问资源林中的资源。

注意

这一类比完全是为了强调 AD FS 中的帐户和伙伴组织之间的关系在概念上非常类似于 AD DS 中的帐户林和资源林之间的关系。不必存在外部信任和林信任即可使用 AD FS。

生成转到资源伙伴的声明

声明是服务器生成的与客户端有关的语句(例如名称、标识、密钥、组、权限或功能)。帐户伙伴生成资源伙伴联合身份验证服务所使用的声明。下表说明在资源联合服务器端可在帐户伙伴中配置的不同类型的声明:

  • UPN 声明

    在配置帐户伙伴时,可以指定可从帐户伙伴接受的用户主体名称 (UPN) 域和后缀的列表。如果接收的 UPN 标识的域部分不在列表中,将拒绝该请求。

  • 电子邮件声明

    在配置帐户伙伴时,可以指定可从帐户伙伴接受的电子邮件域和后缀的列表。与 UPN 声明相同,如果接收的电子邮件标识的域部分不在列表中,将拒绝该请求。

  • 公用名声明

    在配置帐户伙伴时,可以指定是否可以从帐户伙伴接收公用名声明。此类型的声明不可以映射;即使已启用,也只能简单地传递。

  • 组声明

    在配置帐户伙伴时,可以指定可从伙伴接受的一组传入组声明。然后,可以将每个可能的传入组与组织的组声明关联。请注意,这样将创建组映射。遇到没有映射的传入组将丢弃。

  • 自定义声明

    在配置帐户伙伴时,可以指定从伙伴接受的一组自定义声明的传入名称。然后,可以将每个可能的传入名称映射到组织的自定义声明。请注意,这样将创建名称映射。遇到没有映射的传入自定义声明将丢弃。

资源伙伴

资源伙伴是联合身份验证信任关系中的第二个组织伙伴。资源伙伴是承载一个或多个基于 Web 的应用程序(资源)的启用 AD FS 的 Web 服务器所驻留的组织。资源伙伴信任帐户伙伴对用户进行身份验证。因此,要做出授权决定,资源伙伴将使用封装在来自帐户伙伴中用户的安全令牌中的声明。

也就是说,资源伙伴代表其启用 AD FS 的 Web 服务器受到资源端联合身份验证服务所保护的组织。资源伙伴中的联合身份验证服务使用帐户伙伴生成的安全令牌来对位于资源伙伴中的启用 AD FS 的 Web 服务器做出授权决定。

若要充当 AD FS 资源,资源伙伴组织中启用 AD FS 的 Web 服务器必须已安装 AD FS 的 AD FS Web 代理组件。充当 AD FS 资源的 Web 服务器可以承载声明感知应用程序或基于 Windows NT 令牌的应用程序。

注意

如果启用 AD FS 的 Web 服务器上承载的应用程序是基于 Windows NT 令牌的应用程序,资源伙伴组织中的 AD DS 林可能需要资源帐户。

与 AD DS 相关,资源伙伴在概念上等同于其资源可以通过外部信任或林信任关系供物理存储在另一个林中的帐户使用的单个林。

注意

这一类比完全是为了强调 AD FS 中的帐户和伙伴组织之间的关系在概念上非常类似于 AD DS 中的帐户林和资源林之间的关系。不必存在外部信任和林信任即可使用 AD FS。

使用来自帐户伙伴的声明

资源伙伴使用帐户伙伴联合身份验证服务生成并封装在安全令牌中的声明。下表说明如何将声明发送给资源伙伴:

  • UPN 声明

    在配置资源伙伴时,可以指定是否将 UPN 声明发送给资源伙伴。还可以指定后缀映射,以便将任何后缀映射到指定的传出后缀。例如,julianp@sales.tailspintoys.com 可以映射到 julianp@tailspintoys.com。请注意,只能指定一个传出后缀。

  • 电子邮件声明

    在配置资源伙伴时,可以指定是否将电子邮件声明发送给资源伙伴。还可以指定后缀映射,以便将任何后缀映射到指定的后缀。例如,vernettep@sales.tailspintoys.com 可以映射到 vernettep@tailspintoys.com。请注意,只能指定一个传出后缀。

  • 公用名声明

    在配置资源伙伴时,可以指定是否可以将公用名声明发送给资源伙伴。此类型的声明不可以映射;即使已启用,也只能简单地传递给资源伙伴。

  • 组声明

    在配置资源伙伴时,可以指定资源伙伴将接受的一组传出组声明。然后,可以将每个可能的传出组声明与组织的组声明关联。请注意,这样将创建一组组映射。不会创建与传出组声明不匹配的组织组声明。

  • 自定义声明

    在配置资源伙伴时,可以指定资源伙伴接受的一组传出自定义声明。可以将每个可能的传出自定义声明映射到组织自定义声明。请注意,这样将创建一组名称映射。不会创建与传出自定义声明不匹配的组织自定义声明。

增强的标识隐私

“增强的标识隐私”是可以在信任策略中为资源伙伴配置的可选设置。如果启用了“增强的标识隐私”选项,此设置将对传出 UPN 声明和电子邮件声明的用户名部分运行哈希算法。此设置将使用随机值替换公用名。

此功能的目的是避免下列情况:

  • 资源伙伴将标识声明与个人标识用户信息关联。

  • 将标识声明与个人标识用户信息关联时伙伴之间的冲突。此设置为每个伙伴创建唯一的哈希值,以便不同信任领域伙伴之间的标识声明值有所不同,但是在单个伙伴的会话之间保持一致。

  • 对哈希值进行简单的字典攻击,方法是使用信任策略中的数据对用户值进行“盐处理”,因为这些数据对资源伙伴来说是未知的。

目录