屬性存放區的角色
在 Active Directory 同盟服務 (AD FS) 中,「屬性存放區」一詞來表示組織用來儲存其使用者帳戶及其屬性值的目錄或資料庫。 在識別提供者組織中設定之後,AD FS 會從存放區擷取這些屬性值。 其根據該資訊建立宣告,讓信賴組織主控的 Web 應用程式或服務可在同盟使用者 (其帳戶儲存在身分識別提供者組織的使用者) 試著存取應用程式或服務時,制定適當的授權決策。
如需有關如何產生宣告的詳細資訊,請參閱宣告的角色。
屬性存放區如何符合您的 AD FS 部署目標
使用者屬性存放區位置和從中驗證使用者的位置,會決定您如何設計 AD FS 來支援使用者身分識別。 根據屬性存放區的位置和使用者存取應用程式的位置 (在內部網路或網際網路上),您可有下列其中一個部署目標:
為 Active Directory 使用者提供宣告感知應用程式與服務的存取權。 在此案例中,當使用者登入公司內部網路的 Active Directory 時,組織中的使用者會存取 AD FS 所保護的應用程式或服務。 應用程式或服務可以是您自己的或合作夥伴的。
為 Active Directory 使用者提供其他組織的應用程式與服務的存取權。 在此案例中,當使用者登入公司內部網路的屬性存放區,以及從網際網路進行遠端登入時,組織中的使用者會存取 AD FS 所保護的應用程式或服務。 應用程式或服務可以是您自己的或合作夥伴的。
為其他組織的使用者提供您的宣告感知應用程式與服務的存取權。 在此案例中,另一個組織中的使用者帳戶 (位於該組織的公司內部網路上的屬性存放區) 必須存取您組織中 AD FS 保護的應用程式。 當您需要將您組織中 AD FS 保護的應用程式存取權提供給消費者型使用者帳戶 (位於您組織的周邊網路中的屬性存放區) 時,此案例也適用。
根據屬性存放區位置和其他組織需求,您可以結合其中數個部署目標來完成 AD FS 部署的設計。
AD FS 支援的屬性存放區
AD FS 支援各種不同的目錄和資料庫存放區。 您可以使用這些存放區來擷取系統管理員定義的屬性值,並以這些值填入宣告。 AD FS 支援下列任何目錄或資料庫做為屬性存放區:
Windows Server 2012 和 2012 R2 及 Windows Server 2016 和更新版本的 Microsoft Entra 網域服務
SQL Server 2012、SQL Server 2014 及 SQL Server 2016 和更新版本的所有版本
自訂屬性存放區