理賠流程的角色

• 適用於:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Active Directory 同盟服務 （AD FS） 中的宣告管線代表宣告必須遵循同盟服務才能發出的路徑。 聯邦服務管理整個端對端流程，以促進宣告管道各階段的宣告流動，這也包括由宣告規則引擎進行的宣告規則處理。

如需了解有關宣告規則的更多資訊，請參閱 宣告規則的角色。 如需宣告規則引擎如何處理規則的詳細資訊，請參閱 宣告引擎的角色。

下一節將更詳細地討論聯盟服務所監督的過程。

理賠流程程序

理賠管線流程包含三個高階階段。 此程式中的每個階段都會初始化宣告規則引擎，以處理該階段專屬的宣告規則。 這些階段包括（依發生的順序）：

1. 接受傳入的宣告 — 宣告處理管線中的此階段用於從令牌中擷取傳入的宣告，並剔除那些不符合預期或不被信任的宣告。 擷取它們之後，系統會執行宣告供應者信任關係的接受轉換規則集中所包含的接受規則。 這些規則可用來通過或新增可在宣告處理流程後續階段中使用的新宣告。 這個階段的輸出會作為第二和第三階段的輸入。

2. 授權宣告要求者—宣告引擎會利用此階段，根據令牌要求者是否被允許為指定的信賴方取得令牌，來發出允許或拒絕宣告。 不過，在此之前，必須執行構成信賴方信任的發行授權規則集或委派授權規則集的授權規則。

3. 發佈外部宣告—此階段用於發佈外部宣告，並進行封裝處理以整合到安全性令牌中。 不過，在發生這種情況之前，會運行構成信賴方信任關係的發行轉換規則集的發行規則，這會決定將發出哪些宣告作為傳出宣告。

上述三個階段都會執行宣告規則處理，但使用不同的規則集。 如上所述，每個階段都有一組相關規則，這些規則基於傳入宣告的簽發者（接受宣告的規則），或者基於宣告發行所針對的目標服務（授權和發行的規則）。

宣告與令牌類型無關，但會透過封裝在安全性令牌中的方式在網路上傳輸。 不論進入或離開的安全性令牌格式為何，宣告規則都會影響宣告。

宣告規則包含由系統管理員預先定義的邏輯，透過這些邏輯，宣告引擎將接受來自外部的宣告，根據請求者的身份授權宣告，並發出信賴方所需的宣告。 最後，決定哪些宣告將納入發出的安全性令牌的是宣告引擎，當宣告流經宣告管線之後。

根據下圖所示，理賠流程負責整個端到端的過程，將理賠通過各個流程階段，最終發出要傳送至信賴憑證者信任的理賠結果。 圖示中的外流索賠代表已發出的索賠。

雖然此圖中並未顯示，但理賠引擎會在每個階段執行規範的實際處理。 如需進一步的資訊，請參閱 宣告引擎的角色。