關於主領域探索(Home Realm Discovery)

在 ADFS中主領域探索(Home Realm Discovery, HRD)是一個用於識別並確定用戶的身份提供者的機制, 當用戶試圖訪問受保護的資源時, HRD的主要任務是確定用戶應該通過哪個宣告提供者進行身份驗證

主領域探索的功能

1. 識別用戶的宣告提供者: 當用戶試圖存取受保護的應用程式或資源時, HRD根據用戶的屬性(例如用戶名、電子郵件域名等)來確定用戶應該使用哪個宣告提供者進行身份驗證

2. 重導向到正確的宣告提供者: 一旦確定了適當的宣告提供者, HRD將用戶重導向到該宣告提供者的登錄頁面以進行身份驗證

3. 支持多租戶和跨組織同盟: 在多租戶環境中, HRD能夠根據用戶所屬的組織或域名來動態決定適當的宣告提供者, 支援不同組織之間的身份同盟

主領域探索的工作流程

1. 用戶存取受保護資源: 用戶嘗試存取一個受 ADFS保護的應用程式或服務

2. 發送身份驗證請求: 該請求被轉發到 ADFS伺服器, 伺服器需要確定用戶的宣告提供者

3. 啟動主領域探索: ADFS啟動 HRD過程, 根據請求中的信息(如電子郵件地址、用戶名或其他屬性)來識別用戶的主領域, 例如用戶的電子郵件地址是 user@wey.com時, HRD將識別出 "wey.com" 並查找與該域名關聯的宣告提供者w-studio.idv.tw

4. 選擇身份提供者: 根據 HRD的結果, ADFS決定將用戶重定向到特定的宣告提供者進行身份驗證

5. 重導向和身份驗證: 用戶被重導向到相應的宣告提供者完成身份驗證過程, 一旦身份驗證成功, 宣告提供者生成一個安全權杖, 並將其傳回給 ADFS

6. 授權存取: ADFS接收並驗證權杖, 然後根據設定的授權規則決定是否授予用戶對資源的存取權限

w-studio.idv.tw

設定主領域探索

在 ADFS中設定主領域探索通常涉及以下步驟:

1. 設定信賴憑證者信任(Relying Party Trust): 為受保護的應用程式設定信賴憑證者信任

2. 設定宣告提供者信任(Claims Provider Trust): 新增和設定不同的宣告提供者信任

3. 定義主領域探索原則: 設定 HRD原則, 定義如何根據用戶屬性來選擇宣告提供者

4. 用戶體驗優化: 可以設計一個 HRD頁面, 允許用戶手動選擇他們的宣告提供者或根據過去的選擇自動記住用戶的偏好