什麼是宣告提供者信任(Claims Provider Trust)？

在 ADFS中宣告提供者信任(Claims Provider Trust)是指 ADFS與另一個身份提供者(通常是另一個 ADFS伺服器或其他身份提供系統)之間建立的信任關係, 這種信任關係允許 ADFS從該身份提供者接收並接受用戶身份宣告, 進而用於進一步的身份驗證和授權w-studio.idv.tw

宣告提供者信任的作用:

。身份同盟(Federation): 宣告提供者信任使得不同組織之間可以互相信任對方的身份提供者, 實現跨組織的身份同盟和單點登入(SSO)

。接受外部宣告: ADFS可以從信任的宣告提供者接收用戶的身份宣告, 這些宣告可以包括用戶的身份信息、屬性和角色等w-studio.idv.tw

。轉換和發行宣告: 接收到宣告後, ADFS可以根據定義的規則對宣告進行轉換, 並將轉換後的宣告發送給信賴憑證者(Relying Party)

宣告提供者信任的設定:

1. 新增宣告提供者信任: 在 ADFS控制台中, 新增宣告提供者信任, 指定身份提供者的元數據metadata(通常是URL格式的元數據檔案)w-studio.idv.tw

2. 設定信任關係: 設定與宣告提供者之間的信任關係, 這包括憑證驗證、宣告規則和轉換規則等

3. 憑證驗證: 確認並設定用於簽署和加密宣告的憑證以確保宣告的安全性和完整性

宣告提供者信任的流程:

1. 用戶從信任的宣告提供者(如另一個 ADFS伺服器)請求身份驗證

2. 宣告提供者對用戶進行身份驗證, 並生成包含用戶身份信息的安全宣告

3. ADFS從宣告提供者接收安全宣告, 並根據設定的宣告規則進行處理和轉換

4. ADFS將處理後的宣告發送給信賴憑證者, 信賴憑證者根據這些宣告進行授權決策