識別您要以 AD DS 保護其安全的同盟應用程式的類型,是設計您的 Active Directory Federation Services (AD FS) 部署的部分程序。對於要同盟的應用程式,此應用程式至少必須是以下幾節所述的其中一種應用程式類型。

若要深入了解此 AD FS 版本中改進的應用程式支援,請參閱 Windows Server 2008 中的<AD FS 新功能>(https://go.microsoft.com/fwlink/?LinkId=85684 (可能為英文網頁))。

宣告感知 (Claims-Aware) 應用程式

宣告是針對使用者所作的相關陳述 (例如,名稱、識別、金鑰、群組、權限或功能) - AD FS 同盟中的兩個夥伴都了解 - 適用於應用程式中的授權用途。

宣告感知應用程式是指使用 AD FS 類別庫寫入的 Microsoft ASP.NET 應用程式。這種類型的應用程式具有完整的能力,可使用 AD FS 宣告直接做出授權決策。宣告感知應用程式可接受 Federation Service 以 AD FS 安全性權杖傳送的宣告。如需 Federation Service 如何使用安全性權杖與宣告的相關資訊,請參閱了解 Federation Service 角色服務

所謂宣告對應,是指將輸入宣告對應、移除或篩選,或傳送到輸出宣告的動作。當宣告傳送到應用程式時,並不會執行宣告對應。只有由資源夥伴中 Federation Service 系統管理員所指定的組織宣告,才會傳送到應用程式(組織宣告是指位於組織命名空間內的中繼或標準形式的宣告)。如需宣告及宣告對應的相關資訊,請參閱了解宣告

下列清單說明宣告感知應用程式可使用的組織宣告:

  • 識別宣告 (UPN、電子郵件、一般名稱)

    設定應用程式時,您可以指定在這些識別宣告中,有哪些識別宣告要傳送到應用程式上。不會執行對應或篩選。

  • 群組宣告

    設定應用程式時,您可以指定要傳送到應用程式的組織群組宣告。未指定要傳送到應用程式的組織群組宣告,將會遭到捨棄。

  • 自訂宣告

    設定應用程式時,您可以指定要傳送到應用程式的組織自訂宣告。未指定要傳送到應用程式的組織自訂宣告,將會遭到捨棄。

宣告感知授權

宣告感知授權由超文字傳輸通訊協定 (HTTP) 模組,以及查詢 AD FS 安全性權杖中所含宣告時所需的物件而組成。宣告感知授權僅支援 Microsoft ASP.NET 應用程式。

HTTP 模組會根據網頁應用程式的 Web.config 檔案中所做的組態設定,來處理 AD FS 通訊協定訊息。網頁會執行驗證與授權工作。HTTP 模組也會驗證 cookie 並取得 cookie 中的宣告。

Windows NT 權杖型應用程式

Windows NT 權杖型應用程式是一種網際網路資訊服務 (IIS) 應用程式,其用途在於使用傳統的 Windows 原始授權機制。這種類型的應用程式無法使用 AD FS 宣告。

本機領域或任何受本機領域信任之領域的 Windows 使用者,可以使用 Windows NT 權杖型應用程式,也就是說,只有能夠使用 Windows NT 權杖型驗證機制登入的使用者,才可使用該應用程式。

附註

在同盟設計中,這表示資源帳戶或資源群組可能需要 Windows NT 權杖型驗證。

傳送至 Windows NT 權杖型代理程式的 AD FS 安全性權杖,可包含下列任一種類型的宣告:

  • 使用者的使用者主要名稱 (UPN) 宣告

  • 使用者的電子郵件宣告

  • 群組宣告

  • 使用者的自訂宣告

  • UPN、電子郵件、群組或自訂宣告,其中包含使用者帳戶的安全性識別碼 (SID)。(這僅適用於啟用 [Windows 信任] 選項時。)

啟用 AD FS 的網頁伺服器會產生 Windows 模擬層級的存取權杖。模擬層級的存取權杖可擷取用戶端處理程序的安全性資訊,讓服務「模擬」安全性作業中的用戶端處理程序。

對於 Windows NT 權杖型應用程式,會使用下列處理順序來決定 Windows NT 權杖的建立方式:

  1. 若安全性聲明標記語言 (SAML) 權杖在 SAML advice 元素中含有 SID,則會使用 SID 來產生 Windows NT 權杖。

  2. 若 SAML 權杖不含 SID,而包含 UPN 識別宣告,則會使用 UPN 宣告來產生 Windows NT 權杖。

  3. 若 SAML 權杖不含 SID,而在電子郵件識別宣告中含有 UPN 識別宣告,則會將此宣告解譯為 UPN 並用來產生 Windows NT 權杖。

無論在 Federation Service 中建立網頁應用程式的信任原則項目時,是否將 UPN 或電子郵件識別宣告指定為用以產生 Windows NT 權杖的識別宣告,都會產生上述行為。

傳統的 Windows 型授權

若要將 AD FS 安全性權杖轉換為模擬層級的 Windows NT 存取權杖,必須使用多項元件:

  • 網際網路伺服器應用程式開發介面 (ISAPI) 擴充:此元件可檢查 AD FS cookie、檢查來自 Federation Service 的 AD FS 安全性權杖、執行適當的通訊協定重新導向,以及寫入 AD FS 運作所需的必要 cookie。

  • AD FS 驗證封裝:若提供網域帳戶的 UPN,AD FS 驗證封裝即會產生模擬層級的存取權杖。呼叫者必須具備信任的運算基礎 (TCB) 權限,才能使用此封裝。

  • IIS 管理員嵌入式管理單元中,[AD FS 網路代理程式][Federation Services URL] 內容頁:您可以使用這些內容頁管理原則與憑證,驗證 AD FS 安全性權杖與 cookie。

  • AD FS 網路代理程式驗證服務:AD FS 網路代理程式驗證服務會以本機系統的身分執行,使用 Service-for-User (S4U) 或 AD FS 驗證封裝產生權杖。但以本機系統的身分執行時,並不需要網際網路資訊服務 (IIS) 應用程式集區。AD FS 網路代理程式驗證服務具有僅能以本機遠端程序呼叫 (LRPC) 的介面,遠端程序呼叫 (RPC) 無法呼叫此介面。若將 AD FS 安全性權杖或 AD FS cookie 指定給此服務,則它會傳回模擬層級的 Windows NT 存取權杖。

  • AD FS 網路代理程式 ISAPI 篩選器:某些傳統的 IIS 網頁應用程式所使用的 ISAPI 篩選器會修改連入資料,如統一資源定位器 (URL)。若是如此,則必須啟用 AD FS 網路代理程式 ISAPI 篩選器,並將其設為優先順序最高的篩選器。預設不會啟用此篩選器。

目錄