宣告是針對使用者所做的相關陳述 (例如,名稱、身分識別、金鑰、群組、權限或功能),而且 Active Directory Federation Service (AD FS) 同盟中的兩個夥伴都暸解該陳述,此宣告是做為應用程式中的授權用途。
AD FS Federation Service 會製作許多不同實體之間的信任。它的設計允許在內含任意值的宣告之間進行信任交換。然後接收對象 (例如資源夥伴) 使用這些宣告來製作授權決策。
有三種方法可宣告來自 Federation Service 的流向:
-
從帳戶存放區到帳戶 Federation Service 到資源夥伴
-
從帳戶夥伴到資源 Federation Service 到資源應用程式
-
從帳戶存放區到 Federation Service 到資源應用程式
接下來可將 Federation Service 設定在這三種角色中運作。因此,單一 Federation Service 可能會使用所有的三個通訊流向。
Federation Service 支援三類宣告:識別宣告、群組宣告和自訂宣告。下表會進一步說明每一個宣告類型。
宣告類型 | 描述 |
---|---|
識別 |
AD FS 中的 UPN、電子郵件和一般名稱統稱為識別宣告類型:
|
群組 |
指示群組或角色中的成員資格。系統管理員可定義群組類型為「群組宣告」的個人宣告。例如,您可定義下列群組宣告集:[Developer, Tester, Program Manager]。每個群組宣告對宣告傳播和對應是一個不同的系統管理單元。將群組宣告值視為指示成員資格的布林值,是很好的做法。 |
自訂 |
指示內含使用者的自訂資訊之宣告,例如,員工識別碼。 |
若一個權杖出現三個識別宣告類型的其中兩個或三個,則會按下列順序排序識別宣告的優先順序:
-
UPN
-
電子郵件
-
一般名稱
至少必須出現其中一個識別宣告類型,才能發出權杖。
宣告對應
AD FS 可使用 WS-同盟被動式要求者通訊協定 (WS-F PRP),該通訊協定具有 Federation Service 所簽發的安全性權杖中的宣告。這些宣告最初是從帳戶存放區傳播而來的,即 Active Directory 網域服務 (AD DS) 帳戶存放區或 Active Directory 輕量型目錄服務 (AD LDS) 帳戶存放區。
當那些宣告送到同盟夥伴,或從同盟夥伴送入時,Federation Service 即可加以對應。所謂宣告對應,是指將輸入宣告對應、移除或篩選,或傳送到輸出宣告的動作。對每一個同盟夥伴而言,宣告對應可能有所不同。定義這些宣告的數量和對應,對同盟設定而言是很重要的。宣告對應會使用區分大小寫的字串進行比較。下圖顯示宣告對應處理程序。
組織宣告集
所有連入宣告都會對應到組織宣告中。組織宣告是組織命名空間中的中繼或正規化格式宣告。所有內部 Federation Service 動作皆執行於組織宣告集上。組織宣告由資源應用程式所使用。
利用組織宣告,就不必在需要通訊的任兩個組織之間個別管理對應。每一個組織皆會定義與其組織宣告之間的往返單一對應。如此可降低 AD FS 的系統管理複雜性。例如,如果同盟有
x 帳戶夥伴
y 資源應用程式
同盟有 x + y 宣告對應。
這是從可能的 x × y 宣告對應減去而得到的。底下是具體的例子,假設 Federation Service 有:
3 個帳戶夥伴
7 個資源應用程式
直接從連入宣告對應到連出宣告時,同盟只需要 10 個宣告對應,而不必潛在的 21 個宣告對應。
電子郵件
電子郵件宣告類型一律會對應到電子郵件宣告類型。做為此對應的一部分,在帳戶 Federation Service 上,網域尾碼可對應到常數值。對應網域尾碼至常數值可保護夥伴組織,防止不慎提供其內部樹系結構的資訊給另一個組織。在資源 Federation Service 中,可以針對常數值清單篩選網域尾碼。
下列範例說明兩個組織 (Tailspin Toys 和 Adventure Works) 之間的 AD FS 同盟。在這個範例中,Tailspin Toys 是帳戶夥伴,Adventure Works 則是資源夥伴。
-
Tailspin Toys 是帳戶 Federation Service,它會針對 Adventure Works,將電子郵件組織宣告對應到連出電子郵件宣告。在該對應過程中,它會將所有電子郵件尾碼對應到 tailspintoys.com。假設組織電子郵件宣告為 (e-mail=jsmith@sales.tailspintoys.com),連出電子郵件宣告為 (e-mail=jsmith@tailspintoys.com)。
-
做為資源 Federation Service 的 Adventure Works,會將連入 Tailspin Toys 電子郵件宣告對應到電子郵件組織宣告,而在對應的過程中,它會針對 tailspintoys.com 篩選尾碼清單。因此,會接受連入 Tailspin Toys 電子郵件宣告 (e-mail=jsmith@tailspintoys.com),但拒絕連入 Tailspin Toys 電子郵件宣告 (e-mail=jsmith@adventure-works.com)。
UPN
UPN 宣告類型一律對應到 UPN 宣告類型。它們執行尾碼對應和篩選的方式與電子郵件宣告相同。然而,由於 AD DS 允許不含 @ 符號的 UPN,因此如果定義了 UPN 尾碼對應,帳戶 Federation Service 將附加 @ 符號,後面接著尾碼。否則,如果傳遞任何尾碼,Federation Service 就會依原狀傳遞 UPN,而不加上 @ 符號。在資源端上,如果允許任何 UPN 尾碼,則接受不含 @ 符號的 UPN。否則,如果允許特定的 UPN 尾碼,則拒絕不含 @ 符號的 UPN。
一般名稱
一般名稱宣告類型一律對應到一般名稱宣告類型。它們不受限於其他規則。
自訂
自訂宣告類型一律對應到其他自訂宣告類型。例如,假設連入宣告集為 (UPN, Custom=[EmployeeNumber, TaxPayerID]),組織宣告集為 (UPN, Custom=[Employee, SSN]),則可建立 EmployeeNumber 到 Employee 的對應,與 TaxPayerID 到 SSN 的對應。
群組
群組宣告類型一律對應到其他群組宣告類型。例如,假設連入宣告集為 (UPN, Group=[One, Two, Three]),組織宣告集為 (UPN, Group=[X,Y,Z]),則可建立 One 到 Y、Two 到 X 和 Three 到 Z 的對應。
群組到 UPN 對應
除了先前的章節所說明的標準對應外,您也可以使用特殊的「群組到 UPN」宣告對應。當宣告是從帳戶夥伴連入時,則只能在資源 Federation Service 上進行「群組到 UPN」宣告對應。在這種情況下,UPN 宣告類型不會對應到 UPN 宣告類型。相反地,您會提供「群組到 UPN」宣告對應的排序清單。
例如,「群組到 UPN」清單可能是:
-
Dev to developers@internal.tailspintoys.com
-
Test to testers@internal.tailspintoys.com
-
PM to progmgrs@internal.tailspintoys.com
假設連入宣告集為 (Common name=John Smith, Group=[Dev]),組織宣告集包含 (Common name=John Smith, UPN=developers@internal.tailspintoys.com)。請記住這是排序的清單。因此,宣告集 (Common name=John Smith, Group=[Dev,PM]) 將導致 (Common name=John Smith, UPN=developers@internal.tailspintoys.com)。此外,如果連入宣告有 UPN,則會覆寫 UPN。此特殊對應規則特別支援存取傳統資源的群組型資源帳戶。Federation Service 的「群組到 UPN」對應順序指定於信任原則中。
稽核宣告
部分群組宣告和自訂宣告可指定為可稽核。啟用稽核後,該稽核就允許在安全性事件記錄檔中公開信任的名稱,但會省略宣告值。身分證字號就是一種可稽核宣告。會公開宣告名稱身分證字號,但不會公開宣告中儲存的實際數值。產生或對應宣告時不會稽核宣告值。
附註 | |
識別宣告類型一律可稽核。 |