當您使用 Active Directory Federation Services (AD FS) 來規劃跨組織 (同盟型) 共同作業時,必須先決定是要由您的組織透過網際網路裝載其他組織所存取的網頁資源,還是由其他組織裝載您的組織所存取的網頁資源。這個決定會影響 AD FS 的部署方式,並且是規劃 AD FS 基礎結構的基礎。
若為同盟設計,例如同盟網頁單一登入 (SSO) 和含樹系信任的同盟網頁 SSO (但不適用於網頁 SSO 設計),AD FS 會使用如「帳戶夥伴」和「資源夥伴」等詞,以利區分裝載帳戶的組織 (帳戶夥伴) 與裝載網頁型資源的組織 (資源夥伴)。「同盟信任」一詞用於 AD FS 中,可描述帳戶夥伴與資源夥伴之間建立的單向、無法轉移的關係。
如需 AD FS 設計的相關資訊,請參閱了解同盟設計。
以下幾節將說明與帳戶夥伴和資源夥伴相關的部分概念。
帳戶夥伴
帳戶夥伴代表同盟信任關係中的組織,該組織可在 Active Directory 網域服務 (AD DS) 存放區或 Active Directory 輕量型目錄服務 (AD LDS) 中實體儲存使用者帳戶。帳戶夥伴負責收集與驗證使用者認證、建立該使用者的宣告,以及將宣告封裝到安全性權杖中。接著可跨同盟信任呈現這些權杖,以存取資源夥伴組織中的網頁型資源。
換句話說,帳戶夥伴代表將接收帳戶端 Federation Service 所發行之安全性權杖的使用者所屬的組織。帳戶夥伴組織中的 Federation Service 會驗證本機使用者並建立安全性權杖,供製作授權決策的資源夥伴使用。
與 AD DS 關聯時,AD FS 中的帳戶夥伴在概念上等同於帳戶需要存取實體上位於其他樹系之資源的單一 AD DS 樹系。只有當兩個樹系之間存在外部信任或樹系信任關係,而且已對使用者嘗試存取的資源設定適當的授權權限時,此樹系範例中的帳戶才能存取資源樹系的資源。
附註 | |
此類似性是用來嚴謹地強調 AD FS 中的帳戶與夥伴組織之間的關係,與 AD DS 中的帳戶樹系與資源樹系之間的關係,在概念上是類似的。AD FS 不需外部信任和樹系信任即可運作。 |
產生前往資源夥伴的宣告
宣告是伺服器對用戶端所作的相關陳述 (例如,名稱、識別、金鑰、群組、權限或功能)。帳戶夥伴可產生資源夥伴 Federation Service 所使用的宣告。下列清單說明可在資源同盟伺服器端的帳戶夥伴中設定的不同宣告類型:
-
UPN 宣告
當您設定帳戶夥伴時,可以指定要從帳戶夥伴接受的使用者主要名稱 (UPN) 網域和尾碼的清單。如果接收的 UPN 識別之網域部分不在清單中,則會拒絕要求。
-
電子郵件宣告
當您設定帳戶夥伴時,可以指定要從帳戶夥伴接受的電子郵件網域和尾碼的清單。與 UPN 宣告搭配使用時,如果接收的電子郵件識別之網域部分不在清單中,則會拒絕要求。
-
一般名稱宣告
設定帳戶夥伴時,可指定是否從帳戶夥伴中接收一般名稱宣告。此類宣告無法對應;如果啟用該宣告,只會加以傳遞。
-
群組宣告
當您設定帳戶夥伴時,可指定要從夥伴接受的一組連入群組宣告。接下來您可將每一個可能的連入群組與組織群組宣告產生關聯。請注意,這會建立群組對應。若遇到沒有對應的連入群組,則會加以捨棄。
-
自訂宣告
當您設定帳戶夥伴時,可指定要從夥伴接受自訂宣告的一組連入名稱。接下來您可將每一個可能的連入名稱對應到組織自訂宣告。請注意,這會建立名稱對應。若遇到沒有對應的連入自訂宣告,則會加以捨棄。
資源夥伴
資源夥伴是同盟信任關係中的第二個組織夥伴。資源夥伴是裝載一或多個網頁應用程式 (資源) 的啟用 AD FS 的網頁伺服器所在的組織。資源夥伴可信任帳戶夥伴來驗證使用者。因此,為了製作授權決策,資源夥伴所使用的宣告,必須位於帳戶夥伴中的使用者所封裝的安全性權杖中。
換句話說,資源夥伴代表資源端 Federation Service 所保護的啟用 AD FS 的網頁伺服器所屬的組織。資源夥伴上的 Federation Service 會使用帳戶夥伴所產生的安全性權杖,為資源夥伴中的啟用 AD FS 的網頁伺服器製作授權決策。
若要做為 AD FS 資源運作,資源夥伴組織中的啟用 AD FS 的網頁伺服器必須已安裝 AD FS 的 AD FS 網路代理程式元件。做為 AD FS 資源的網頁伺服器,可裝載宣告感知應用程式或 Windows NT 權杖型應用程式。
附註 | |
若啟用 AD FS 的網頁伺服器上裝載的應用程式是 Windows NT 權杖型應用程式,則資源夥伴組織中的 AD DS 樹系可能需要資源帳戶。 |
與 AD DS 關聯時,資源夥伴在概念上等同於單一樹系,該樹系的資源則可在另一個樹系所實體存放的帳戶之外部信任或樹系信任關係上使用。
附註 | |
此類似性是用來嚴謹地強調 AD FS 中的帳戶與夥伴組織之間的關係,與 AD DS 中的帳戶樹系與資源樹系之間的關係,在概念上是類似的。AD FS 不需外部信任和樹系信任即可運作。 |
使用來自帳戶夥伴的宣告
資源夥伴可使用帳戶夥伴 Federation Service 在安全性權杖中產生和封裝的宣告。下列清單說明如何將宣告傳送到資源夥伴:
-
UPN 宣告
設定資源夥伴時,可指定是否將 UPN 宣告傳送到資源夥伴。您也可以指定尾碼對應,以便將任何尾碼對應到指定的連出尾碼。例如,julianp@sales.tailspintoys.com 可對應到 julianp@tailspintoys.com。請注意,您只能指定一個連出尾碼。
-
電子郵件宣告
設定資源夥伴時,可指定是否將電子郵件宣告傳送到資源夥伴。您也可以指定尾碼對應,以便將任何尾碼對應到指定的尾碼。例如,vernettep@sales.tailspintoys.com 可對應到 vernettep@tailspintoys.com。請注意,您只能指定一個連出尾碼。
-
一般名稱宣告
設定資源夥伴時,可指定是否將一般名稱宣告傳送到資源夥伴。此類宣告無法對應;如果啟用該宣告,只會將它傳遞到資源夥伴。
-
群組宣告
設定資源夥伴時,可指定資源夥伴要接受的一組連出群組宣告。接下來您可將每一個可能的連出群組宣告與組織群組宣告產生關聯。請注意,這會建立一組群組對應。不會建立不符合連出群組宣告的組織群組宣告。
-
自訂宣告
設定資源夥伴時,可指定資源夥伴要接受的一組連出自訂宣告。接下來您可將每一個可能的連出自訂宣告對應到組織自訂宣告。請注意,這會建立一組名稱對應。不會建立不符合連出自訂宣告的組織自訂宣告。
增強型識別隱私權
[增強型識別隱私權] 為選用性的設定,可在信任原則的資源夥伴上設定。如果啟用 [增強型識別隱私權] 選項,這個設定就會雜湊連出 UPN 宣告和電子郵件宣告的使用者名稱部分。它會以隨機值替代一般名稱。
此功能的目的是為了防止:
-
資源夥伴將識別宣告與個人的可識別使用者資訊產生關聯。
-
夥伴之間藉由將識別宣告與個人的可識別使用者資訊產生關聯而結合。這個設定會為每個夥伴建立唯一的雜湊,讓不同的信任領域夥伴有不同的識別宣告值,但單一夥伴的各個工作階段則有一致的識別宣告值。
-
以信任原則中的資料 (資源夥伴未識別的資料) 分解使用者的值,對雜湊進行簡單的字典攻擊。