ADFS宣告(Claims)提供 ADFS部署中宣告提供者和信賴憑證者角色之間的連結, ADFS宣告是受信任實體(例如宣告提供者)對特定主體(例如使用者)所做的宣告, 宣告提供者建立宣告, 信賴憑證者使用宣告, ADFS宣告為宣告提供者提供了一種標準來提供有關其組織中使用者的特定資訊, ADFS宣告還為信賴憑證者提供了一種方法來定義他們提供應用程式存取所需的資訊, 宣告是以安全權杖(Security Token)的形式傳輸, 並且這些權杖是用於身份驗證和授權過程中的關鍵組成部分w-studio.idv.tw
。身份宣告(Identity Claims): 例如用戶的唯一識別(如UPN)、電子郵件地址及姓名
。屬性宣告(Attribute Claims): 例如用戶的角色(Role)、部門(Department)或群組(Group Membership)
。自定義宣告(Custom Claims): 企業可以定義特定的宣告來滿足特定應用程式或業務需求
宣告規則(Claims Rules)是在 ADFS中定義的規則, 用於處理和轉換宣告, 這些規則決定了如何從屬性存放區(如Active Directory)中獲取宣告, 如何修改這些宣告, 並最終如何將這些宣告發送給信賴憑證者(Relying Party)
兩種宣告規則:
。宣告提供者信任是在 ADFS伺服器和宣告提供者之間設定的 ADFS信任關係, 設定宣告規則來定義宣告提供者如何處理和發出宣告
。信賴憑證者信任是在 ADFS伺服器和信賴憑證者之間設定的 ADFS信任關係, 設定宣告規則來定義信賴憑證者如何接受來自宣告提供者的宣告
宣告規則的功能
。提取(Issuance): 從屬性存放區中提取宣告, 例如從 Active Directory中獲取用戶的電子郵件
。轉換(Transformation): 修改或映射宣告的值, 例如將 Active Directory中的部門名稱映射到不同的值, 根據應用程式的需求進行格式轉換w-studio.idv.tw
。篩選(Filtering): 根據特定條件篩選出需要的宣告, 例如只允許特定角色的用戶獲得存取權限
。發布(Issuance): 將處理後的宣告發送給信賴憑證者
信賴憑證者信任有三種類型的宣告規則:
。發布轉換規則: 定義發送給在信賴憑證者信任中的信賴憑證者的宣告
。發布授權規則: 允許或拒絕哪些使用者存取定義的信賴憑證者
。委派授權規則: 定義指定哪些使用者在存取信賴憑證者時可以代表其他使用者執行操作
沒有留言:
張貼留言