瞭解重要的 AD FS 概念
建議您瞭解 Active Directory 同盟服務的重要概念,並熟悉其功能集。
小提示
您可以在 瞭解主要 AD FS 概念中找到其他 AD FS 資源連結。
本指南中使用的AD FS術語
| AD FS 術語 | 定義 |
|---|---|
| 帳戶合作夥伴組織 | 在聯合服務中,由宣告提供者信任代表的聯盟夥伴組織。 帳戶夥伴組織包含將存取資源夥伴中 Web 應用程式的使用者。 |
| 帳戶同盟伺服器 | 帳戶夥伴組織中的同盟伺服器。 帳戶同盟伺服器會根據用戶驗證,對使用者發出安全性令牌。 伺服器會驗證使用者、從屬性存放區中擷取相關的屬性和群組成員資格資訊、將這項資訊封裝到宣告中,併產生並簽署安全性令牌(其中包含宣告),以返回使用者,無論是用於自己的組織,還是要傳送給合作夥伴組織。 |
| AD FS 組態資料庫 | 資料庫,用來儲存代表單一 AD FS 實例或同盟服務的所有組態數據。 此設定數據可以儲存在 SQL Server 資料庫中,或使用 Windows Server 2016、Windows Server 2012 和 2012 R2 隨附的 Windows 內部資料庫功能,以及 Windows Server 2008 和 2008 R2。
您可以使用 Fsconfig.exe 命令行工具為 SQL Server 建立 AD FS 組態資料庫,並使用 AD FS 同盟伺服器設定精靈來為 Windows 內部資料庫建立資料庫。 |
| 理賠提供者 | 提供使用者主張的組織。 請參閱帳戶合作夥伴組織。 |
| 理賠提供者的信任 | 在 AD FS 管理嵌入式管理單元中,宣告提供者信任物件通常是在資源夥伴組織中建立的,以代表在信任關係中將存取資源夥伴組織資源的組織。 宣告提供人信任物件由各種標識碼、名稱和規則組成,使本機同盟服務能夠識別這個合作夥伴。 |
| 本地索賠提供者信任 | 信任物件,表示 AD FS 伺服器陣列中的 AD LDS 或第三方 LDAP 型目錄。 本地宣告提供者信任對象由各種識別碼、名稱和規則組成,這些識別碼、名稱和規則用於將此 LDAP 型目錄識別至本地同盟服務。 |
| 聯邦元資料 | 在宣告提供者與信賴方之間,用於傳遞組態資訊的數據格式,以協助正確設定宣告提供者信任和信賴方信任。 數據格式定義於安全性判斷提示標記語言 (SAML) 2.0 中,並在 WS-Federation 中擴充。 |
| 同盟伺服器 | 已使用AD FS 同盟伺服器設定精靈設定的 Windows Server,以在同盟伺服器角色中運作。 同盟伺服器會發出令牌,並做為同盟服務的一部分。 |
| 聯邦伺服器代理 | 已使用AD FS同盟伺服器 Proxy 設定精靈設定的 Windows Server,以作為因特網用戶端與位於公司網路上防火牆後方同盟服務的中繼 Proxy 服務。 |
| 主要同盟伺服器 | 使用 AD FS 同盟伺服器組態精靈在同盟伺服器角色中設定的 Windows Server,並擁有 AD FS 組態資料庫的讀寫複本。
當您使用AD FS同盟伺服器組態精靈時,會建立主要同盟伺服器,然後選取選項來建立新的同盟服務,並將該電腦設為伺服器數位中的第一部同盟伺服器。 此伺服器陣列中的所有其他同盟伺服器都必須將主要同盟伺服器上所做的變更複寫到儲存在本機之 AD FS 組態資料庫的唯讀複本。 當 AD FS 組態資料庫儲存在 SQL 資料庫中時,「主要同盟伺服器」一詞不適用,因為所有同盟伺服器可以同樣讀取和寫入儲存在 SQL Server 上的設定資料庫。 |
| 依賴方 | 接收和處理宣告的組織。 請參閱資源夥伴組織。 |
| 信賴方信任 | 在 AD FS 管理嵌入式管理單元中,信賴夥伴信任通常會在以下專案中建立的信任物件: - 帳戶夥伴組織,代表信任關係中的組織,其帳戶將存取資源夥伴組織中的資源。 信賴方信任物件包含各種標識碼、名稱和規則,可識別此夥伴或 Web 應用程式給本機同盟服務。 |
| 資源同盟伺服器 | 資源夥伴組織中的同盟伺服器。 資源同盟伺服器通常會根據帳戶同盟伺服器所簽發的安全性令牌,向使用者發出安全性令牌。 伺服器會接收安全性令牌、驗證簽章、將宣告規則邏輯套用至未封裝的宣告,以產生所需的傳出宣告、根據傳入安全性令牌中的資訊產生新的安全性令牌(含傳出宣告),並簽署新的令牌以返回使用者,最終傳回 Web 應用程式。 |
| 資源夥伴組織 | 聯邦夥伴,由聯邦服務中的信賴方信任關係所代表。 資源夥伴會發出宣告式安全性令牌,其中包含帳戶夥伴中使用者可以存取的已發佈 Web 應用程式。 |
AD FS 概觀
AD FS 是一種身分識別存取解決方案,可提供用戶端電腦(內部或外部網路)與受保護因特網面向應用程式或服務的無縫 SSO 存取,即使使用者帳戶和應用程式位於完全不同的網路或組織中也一樣。
當應用程式或服務位於一個網路,而使用者帳戶位於另一個網路中時,通常會在使用者嘗試存取應用程式或服務時,提示使用者輸入次要認證。 這些次要認證代表應用程式或服務所在領域的使用者身分識別。 裝載應用程式或服務的 Web 伺服器通常需要它們,才能做出最適當的授權決策。
透過 AD FS,組織可以藉由建立信任關係(聯邦信任)來略過次要認證的要求,這些信任關係讓組織能向信任的合作夥伴展示用戶的數位身分識別和訪問權限。 在此同盟環境中,每個組織都會繼續管理自己的身分識別,但每個組織也可以安全地投影並接受來自其他組織的身分識別。