屬性存放區的角色

在 Active Directory 同盟服務 (AD FS) 中，「屬性存放區」一詞來表示組織用來儲存其使用者帳戶及其屬性值的目錄或資料庫。 在識別提供者組織中設定之後，AD FS 會從存放區擷取這些屬性值。 其根據該資訊建立宣告，讓信賴組織主控的 Web 應用程式或服務可在同盟使用者 (其帳戶儲存在身分識別提供者組織的使用者) 試著存取應用程式或服務時，制定適當的授權決策。

如需有關如何產生宣告的詳細資訊，請參閱宣告的角色。

屬性存放區如何符合您的 AD FS 部署目標

使用者屬性存放區位置和從中驗證使用者的位置，會決定您如何設計 AD FS 來支援使用者身分識別。 根據屬性存放區的位置和使用者存取應用程式的位置 (在內部網路或網際網路上)，您可有下列其中一個部署目標：

• 為 Active Directory 使用者提供宣告感知應用程式與服務的存取權。 在此案例中，當使用者登入公司內部網路的 Active Directory 時，組織中的使用者會存取 AD FS 所保護的應用程式或服務。 應用程式或服務可以是您自己的或合作夥伴的。

• 為 Active Directory 使用者提供其他組織的應用程式與服務的存取權。 在此案例中，當使用者登入公司內部網路的屬性存放區，以及從網際網路進行遠端登入時，組織中的使用者會存取 AD FS 所保護的應用程式或服務。 應用程式或服務可以是您自己的或合作夥伴的。

• 為其他組織的使用者提供您的宣告感知應用程式與服務的存取權。 在此案例中，另一個組織中的使用者帳戶 (位於該組織的公司內部網路上的屬性存放區) 必須存取您組織中 AD FS 保護的應用程式。 當您需要將您組織中 AD FS 保護的應用程式存取權提供給消費者型使用者帳戶 (位於您組織的周邊網路中的屬性存放區) 時，此案例也適用。

根據屬性存放區位置和其他組織需求，您可以結合其中數個部署目標來完成 AD FS 部署的設計。

AD FS 支援的屬性存放區

AD FS 支援各種不同的目錄和資料庫存放區。 您可以使用這些存放區來擷取系統管理員定義的屬性值，並以這些值填入宣告。 AD FS 支援下列任何目錄或資料庫做為屬性存放區：

• Windows Server 2012 和 2012 R2 及 Windows Server 2016 和更新版本的 Microsoft Entra 網域服務

• SQL Server 2012、SQL Server 2014 及 SQL Server 2016 和更新版本的所有版本

• 自訂屬性存放區