属性存储的角色

在 Active Directory 联合身份验证服务 (AD FS) 中,术语“属性存储”是指组织用来存储其用户帐户及其属性值的目录或数据库。 在标识提供者组织中进行配置后,AD FS 会从存储中检索这些属性值。 它会基于该信息创建声明,以便在信赖方组织中承载的 Web 应用程序或服务可以在联合用户(其帐户存储在标识提供者组织中的用户)尝试访问该应用程序或服务时进行适当的授权决策。

若要详细了解如何生成声明,请参阅声明的角色

属性存储如何符合 AD FS 部署目标

用户属性存储的位置以及用户从中进行身份验证的位置决定了如何设计 AD FS 以支持用户标识。 根据属性存储所在的位置和用户访问应用程序的位置(在 Intranet 中或 Internet 上),可以使用以下部署目标之一:

  • 让 Active Directory 用户访问声明感知应用程序和服务。 在此方案中,当用户登录到公司 Intranet 中的 Active Directory 时,组织中的用户会访问受 AD FS 保护的应用程序或服务。 应用程序或服务可以是你自己的,也可以是合作伙伴的。

  • 让 Active Directory 用户访问其他组织的应用程序和服务。 在此方案中,当用户登录到公司 Intranet 中的属性存储以及从 Internet 进行远程登录时,你组织中的用户会访问受 AD FS 保护的应用程序或服务。 应用程序或服务可以是你自己的,也可以是合作伙伴的。

  • 授予其他组织中的用户访问声明感知应用程序和服务的权限。 在此方案中,另一组织中位于该组织的公司 Intranet 上的属性存储中的用户帐户必须访问你组织中受 AD FS 保护的应用程序。 当你需要为位于组织外围网络中的属性存储中的基于使用者的用户帐户提供对组织中受 AD FS 保护的应用程序的访问权限时,此方案也适用。

根据属性存储放置和组织的其他要求,你可以组合使用这些部署目标中的若干个目标,以完成 AD FS 部署的设计。

AD FS 支持的属性存储

AD FS 支持各种目录和数据库存储。 可以使用它们提取管理员定义的属性值,并使用这些值填充声明。 AD FS 支持使用任何下述目录或数据库作为属性存储:

  • Windows Server 2012 和 2012 R2 以及 Windows Server 2016 和更高版本中的 Microsoft Entra 域服务

  • SQL Server 2012、SQL Server 2014 和 SQL Server 2016 及更高版本的所有版本

  • 自定义属性存储