Ruolo degli archivi attributi

  • Articolo

In Active Directory Federation Services (AD FS), il termine archivi attributi fa riferimento a directory o database usati da un'organizzazione per archiviare gli account utente e i loro valori di attributo. Dopo la configurazione in un'organizzazione del provider di identità, AD FS recupera questi valori di attributo dall'archivio. Crea attestazioni basate su tali informazioni in modo che un'applicazione web o un servizio ospitato in un'organizzazione relying party possa prendere le decisioni di autorizzazione appropriate quando un utente federato (un utente il cui account è archiviato nell'organizzazione del provider di identità) tenta di accedere all'applicazione o al servizio.

Per altre informazioni su come vengono generate le attestazioni, vedere Ruolo delle attestazioni.

Come gli archivi attributi rispondono agli obiettivi di distribuzione di AD FS

La posizione dell'archivio attributi utente e quella da cui gli utenti si autenticano determinano come progettare AD FS per supportare le identità utente. In base a dove si trova l'archivio attributi e da dove gli utenti accedono all'applicazione (una Intranet o Internet), si potrebbe disporre di uno di questi obiettivi di distribuzione:

  • Fornire agli utenti di Active Directory l'accesso ai servizi e alle applicazioni in grado di riconoscere attestazioni. In questo scenario, gli utenti dell'organizzazione accedono a un'applicazione o a un servizio protetto da AD FS quando gli utenti hanno eseguito l'accesso ad Active Directory nella intranet aziendale. L'applicazione o il servizio può essere di proprietà oppure di un partner.

  • Fornire agli utenti di Active Directory l'accesso ai servizi e alle applicazioni di altre organizzazioni. In questo scenario, gli utenti dell'organizzazione accedono a un'applicazione o a un servizio protetto da AD FS quando gli utenti accedono a un archivio attributi nella Intranet aziendale e quando accedono in remoto da Internet. L'applicazione o il servizio può essere di proprietà oppure di un partner.

  • Fornire agli utenti di un'altra organizzazione l'accesso ai propri servizi e alle applicazioni in grado di riconoscere attestazioni. In questo scenario, gli account utente che si trovano in un archivio attributi nella Intranet aziendale di un'altra organizzazione devono accedere a un'applicazione protetta da AD FS nella propria organizzazione. Questo scenario funziona anche quando è necessario concedere agli account utente basati su consumer che si trovano in un archivio attributi nell'accesso di rete perimetrale dell'organizzazione a un'applicazione protetta da AD FS nell'organizzazione.

In base alla posizione dell'archivio attributi e agli altri requisiti dell'organizzazione, è possibile combinare più obiettivi di distribuzione per completare la progettazione della distribuzione di AD FS.

Archivi di attributi supportati da AD FS

AD FS supporta un'ampia gamma di archivi di directory e database. È possibile usarli per estrarre i valori degli attributi definiti dall'amministratore e popolare le attestazioni con tali valori. AD FS supporta queste directory o database come archivi attributi:

  • Microsoft Entra Domain Services in Windows Server 2012 e 2012 R2 e in Windows Server 2016 e versioni successive

  • Tutte le edizioni di SQL Server 2012, SQL Server 2014 e SQL Server 2016 e versioni successive

  • Archivi attributi personalizzati