宣告是針對使用者所做的相關陳述 (例如,名稱、身分識別、金鑰、群組、權限或功能),而且 Active Directory Federation Service (AD FS) 同盟中的兩個夥伴都暸解該陳述,此宣告是做為應用程式中的授權用途。宣告感知應用程式是指使用 AD FS 類別庫寫入的 Microsoft ASP.NET 應用程式。這種類型的應用程式具有完整的能力,可使用 AD FS 宣告直接做出授權決策。宣告感知應用程式可接受 Federation Service 以 AD FS 安全性權杖傳送的宣告。
若要完成此程序,至少需要 Administrators 本機群組的成員資格或同等權限。 請參閱有關使用適當帳戶與群組成員資格的詳細資料,網址位於:
您可以使用下列程序,將宣告感知應用程式新增到 Federation Service 信任原則中。
 | 新增宣告感知應用程式 |
按一下 [開始],指向 [系統管理工具],然後按一下 [Active Directory Federation Services]。
在主控台樹狀目錄中,依序按兩下 [Federation Service]、[信任原則] 與 [我的組織]。
在 [應用程式] 上按一下滑鼠右鍵,指向 [新增],然後按一下 [應用程式]。
在 [歡迎使用新增應用程式精靈] 頁上,按 [下一步]。
在 [應用程式類型] 頁上按一下 [宣告感知 (Claims-Aware) 應用程式],然後按 [下一步]。
在 [應用程式詳細資料] 頁面上執行下列作業,然後按 [下一步]:
-
在 [應用程式顯示名稱] 中,輸入應用程式的名稱。
-
在 [應用程式 URL] 中,輸入應用程式的統一資源定位器 (URL)。
重要 此 URL 必須相符於針對此應用程式在 AD FS 網路代理程式上設定之傳回的 URL。
-
在 [應用程式顯示名稱] 中,輸入應用程式的名稱。
在 [已接受的識別宣告] 頁上,選取應用程式用以進行授權決策的每種識別宣告類型,然後按 [下一步]:
-
若應用程式必須要有使用者主要名稱 (UPN) 識別宣告才能進行授權決策,請選取 [使用者主體名稱 (UPN)] 核取方塊。
-
若應用程式必須要有電子郵件識別宣告才能進行授權決策,請選取 [電子郵件] 核取方塊。
-
若應用程式必須要有一般名稱識別宣告才能進行授權決策,請選取 [一般名稱] 核取方塊。
-
若應用程式必須要有使用者主要名稱 (UPN) 識別宣告才能進行授權決策,請選取 [使用者主體名稱 (UPN)] 核取方塊。
若不立即啟用宣告感知應用程式,請在 [啟用這個應用程式] 頁上,清除 [啟用這個應用程式] 核取方塊,然後按 [下一步]。
若要新增新的宣告感知應用程式並關閉精靈,請按一下 [完成]。