Rola magazynów atrybutów
W usługach Active Directory Federation Services (AD FS) termin oznacza, że atrybut odnosi się do katalogów lub baz danych, które organizacja wykorzystuje do przechowywania kont użytkowników i ich wartości atrybutów. Po skonfigurowaniu w organizacji dostawcy tożsamości usługi AD FS pobiera te wartości atrybutów z magazynu. Tworzy oświadczenia na podstawie tych informacji, aby aplikacja internetowa lub usługa hostowana w organizacji jednostki uzależnionej mogła podejmować odpowiednie decyzje dotyczące autoryzacji, gdy użytkownik federacyjny (użytkownik, którego konto jest przechowywane w organizacji dostawcy tożsamości) próbuje uzyskać dostęp do aplikacji lub usługi.
Aby uzyskać więcej informacji na temat sposobu generowania oświadczeń, zobacz Rola oświadczeń.
Jak magazyny atrybutów pasują do celów wdrażania usług AD FS
Lokalizacja magazynu atrybutów użytkownika i lokalizacja, z której użytkownicy uwierzytelniają się, określają sposób projektowania usług AD FS do obsługi tożsamości użytkowników. W zależności od tego, gdzie znajduje się magazyn atrybutów i gdzie użytkownicy będą uzyskiwać dostęp do aplikacji (w intranecie lub w Internecie), może istnieć jeden z następujących celów wdrażania:
Przyznaj użytkownikom usługi Active Directory dostęp do aplikacji i usług obsługujących oświadczenia. W tym scenariuszu użytkownicy w organizacji uzyskują dostęp do aplikacji lub usługi zabezpieczonej przez usługi AD FS, gdy użytkownicy są zalogowani do usługi Active Directory w firmowym intranecie. Aplikacja lub usługa może być własna lub partnera.
Przyznaj użytkownikom usługi Active Directory dostęp do aplikacji i usług innych organizacji. W tym scenariuszu użytkownicy w organizacji uzyskują dostęp do aplikacji lub usługi zabezpieczonej przez AD FS, gdy użytkownicy są zalogowani w magazynie atrybutów w firmowym intranecie oraz gdy logują się zdalnie przez Internet. Aplikacja lub usługa może być własna lub należąca do partnera.
Przyznaj użytkownikom w innej organizacji dostęp do aplikacji i usług obsługujących oświadczenia. W tym scenariuszu konta użytkowników w innej organizacji, które znajdują się w składowaniu atrybutów na firmowym intranecie tej organizacji, muszą uzyskiwać dostęp do aplikacji zabezpieczonej przez AD FS w twojej organizacji. Ten scenariusz działa również wtedy, gdy konieczne jest nadanie kont użytkowników zorientowanych na konsumenta, które znajdują się w magazynie atrybutów w sieci obwodowej organizacji, dostępu do aplikacji zabezpieczonej przez usługi AD FS w organizacji.
W zależności od lokalizacji magazynu atrybutów i innych wymagań organizacyjnych, możesz połączyć kilka z tych celów wdrożeniowych, aby ukończyć projekt wdrożenia AD FS.
Magazyny atrybutów obsługiwane przez usługi AD FS
Usługi AD FS obsługują szeroką gamę magazynów katalogowych i baz danych. Można ich używać do wyodrębniania wartości atrybutów zdefiniowanych przez administratora i wypełniania oświadczeń tymi wartościami. Usługi AD FS obsługują dowolny z tych katalogów lub baz danych jako magazyny atrybutów:
Microsoft Entra Domain Services w systemach Windows Server 2012 i 2012 R2 oraz w systemie Windows Server 2016 i nowszych
Wszystkie wersje programów SQL Server 2012, SQL Server 2014 i SQL Server 2016 i nowszych
Sklepy atrybutów niestandardowych