Роль хранилищ атрибутов

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

В службах федерации Active Directory (AD FS) термин атрибутные хранилища относится к каталогам или базам данных, которые организация использует для хранения учетных записей пользователей и их значений атрибутов. После настройки в организации поставщика удостоверений, AD FS затем извлекает эти значения атрибутов из хранилища. Он создает утверждения на основе этой информации, чтобы веб-приложение или служба, размещенная в организации проверяющей стороны, могли принимать соответствующие решения о авторизации, когда федеративный пользователь (пользователь, учетная запись которого хранится в организации поставщика удостоверений) пытается получить доступ к приложению или службе.

Дополнительные сведения о создании утверждений см. в разделе "Роль утверждений".

Как хранилища атрибутов соответствуют целям развертывания AD FS

Расположение хранилища атрибутов пользователя и местоположение, из которого пользователи проходят аутентификацию, определяют, как вы разрабатываете AD FS для поддержки удостоверений пользователей. В зависимости от того, где находится хранилище атрибутов и где пользователи будут получать доступ к приложению (в интрасети или в Интернете), у вас может быть одна из следующих целей развертывания:

• Предоставьте пользователям Active Directory доступ к приложениям и службам с поддержкой утверждений. В этом сценарии пользователи в организации получают доступ к приложению или службе, защищенной AD FS, когда пользователи вошли в Active Directory в корпоративной интрасети. Приложение или сервис могут быть вашими или партнера.

• Предоставление пользователям Active Directory доступа к приложениям и службам других организаций. В этом сценарии пользователи в организации получают доступ к приложению или службе, защищенной AD FS, когда пользователи вошли в хранилище атрибутов в корпоративной интрасети и при удаленном входе из Интернета. Приложение или служба могут быть собственными или партнерскими.

• Предоставьте пользователям другой организации доступ к приложениям и службам с поддержкой утверждений. В этом сценарии учетные записи пользователей в другой организации, расположенной в хранилище атрибутов в корпоративной интрасети организации, должны получить доступ к приложению, защищенному AD FS в вашей организации. Этот сценарий также подходит, когда вам необходимо предоставить учетным записям пользователей на основе потребителей, которые находятся в хранилище атрибутов в периметральной сети вашей организации, доступ к приложению, защищенному с помощью AD FS в вашей организации.

В зависимости от размещения хранилища атрибутов и других требований организации можно объединить несколько из этих целей развертывания, чтобы завершить разработку развертывания AD FS.

Атрибуты хранят поддерживаемые AD FS

AD FS поддерживает широкий спектр хранилищ каталогов и баз данных. Их можно использовать для извлечения значений атрибутов, определенных администратором, и заполнения утверждений этими значениями. AD FS поддерживает любой из этих каталогов или баз данных в качестве хранилищ атрибутов:

• Доменные службы Microsoft Entra в Windows Server 2012 и 2012 R2 и Windows Server 2016 и более поздних версий

• Все выпуски SQL Server 2012, SQL Server 2014 и всех более поздних версий SQL Server, начиная с 2016 года.

• Хранилища пользовательских атрибутов