Table of contents
TOC
Fechar a tabela de conteúdos
Expandir a tabela de conteúdos
Bill Mathers|Última Atualização: 10/03/2017
|
1 Contribuinte

Aplica-se a: Windows Server de 2016, Windows Server 2012 R2

Como URIs são utilizadas no AD FS

Um identificador de recurso uniforme (URI) é uma cadeia de carateres que é usada como um identificador exclusivo. No AD FS, URIs são utilizados para identificar os endereços de rede de parceiros e objetos de configuração. Quando utilizado para identificar os endereços de rede de parceiros, o URI é sempre um URL. Quando utilizada para identificar os objetos de configuração, o URI pode ser um URL ou um URN. Para obter informações mais genéricas sobre URIs, consulte RFC 2396 e RFC 3986.

URIs como endereços de rede de parceiros

Seguem-se a rede endereço URLs que mais frequentemente são tratados pelo administradores do AD FS.

  • Os URLs do serviço de federação, incluindo WS-federação, SAML, WS-confiança, metadados de federação, WS-MetadataExchange, privacidade e URLs de organização

  • Os URLs de uma terceira confiança de terceiros, incluindo WS-federação, SAML e URLs de metadados de Federação

  • Os URLs de um fornecedor de reclamações confiança, incluindo WS-federação, SAML e URLs de metadados de Federação

URIs como os identificadores de objeto

A tabela seguinte descreve os identificadores de que mais frequentemente são tratados pelo administradores do AD FS.

Nome do identificadorDescriçãoComparações
Identificador de serviços de FederaçãoEste identificador é utilizado para identificar o serviço de Federação. É utilizado por partes confiantes que utilizam reclamações deste serviço de federação, bem como fornecedores de reclamações que problema alega este serviço de Federação.Quando um utilizador solicita a reclamações de um fornecedor de reclamações por este serviço de federação, o identificador de serviços de Federação será utilizado para identificar o destino para as ações.

Quando este serviço de Federação receber as declarações de um fornecedor de reclamações, ela irá verificar para garantir que as reclamações passam para a mesma olhando para o seu identificador de serviços de Federação.

Quando uma terceira parte recebeu reclamações por este serviço de federação, a terceira parte irá verificar que o emissor das declarações corresponde o identificador de serviços de Federação.
Contar com o identificador de terceirosEste identificador é utilizado para identificar a terceira parte para esse serviço de Federação. É utilizado quando emitir declarações para a terceira parte.Quando um utilizador solicita reclamações por este serviço de federação para a terceira parte, o identificador de terceiros confiante será utilizado para identificar a terceira parte para o qual devem ser direcionadas para as reclamações. Terminar esta comparação usando o prefixo correspondência (ver abaixo).

Quando a terceira parte recebe as reclamações, este irá verificar para o seu identificador do token de segurança para garantir que as declarações de destinam-se para a mesma.
Identificador de fornecedor de reclamaçõesEste identificador é utilizado para identificar o fornecedor de reclamações para esse serviço de Federação. É utilizado quando receber reclamações de fornecedor de reclamações.Quando este serviço de Federação está a receber reclamações de fornecedor de reclamações, este serviço de Federação irá verificar que o emissor das declarações corresponde o identificador do fornecedor de reclamações.
Tipo de declaraçãoEste identificador é utilizado para definir o tipo de reclamação. É utilizado por este serviço de federação, fornecedores de reclamações e confiantes partes ao enviar e receber reclamações.Quando o serviço de Federação receber reclamações de um fornecedor de reclamações, as regras de reclamação associadas a confiança de fornecedor de reclamações correspondente permitem que o administrador compare os tipos de declaração e processar ações judiciais. As regras de reclamação associadas a uma relação de confiança parte confiante também permitem que o administrador comparar reclamação tipos das queixas a chegar fora das regras de confiança do fornecedor de reclamações e decidir que alega emitir.

Prefixo URI conciliação de terceira identificadores de terceiros

A sintaxe do caminho de um URI organizada hierarquia e é delimitada por todos os "\/"carateres ou todos os":" carateres. Assim, o caminho pode ser dividido em secções caminho com base no caráter delimitação. Quando prefixo correspondente, cada secção tem de ser uma correspondência completa de acordo com as regras de correspondência (estas regras regem a estrutura de correspondências). Para mais informações sobre a correspondência de regras, consulte o RFC mencionado acima.

Quando uma terceira parte é identificada um pedido para o serviço de federação, AD FS usa o prefixo correspondência de lógica para determinar se existe uma confiança parte confiante correspondente na Base de dados de configuração do AD FS.

Por exemplo, se o identificador de terceiros confiar na Base de dados de configuração do AD FS (URI1) é um prefixo para o identificador de terceiros confiar na solicitação de entrada (URI2), em seguida, a seguir deve ser verdadeira:

  • À direita delimitadores (barras e vírgulas) do caminho secções ou autoridades devem ser ignoradas

  • As partes esquema e a autoridade de URI1 e URI2 tem de ser uma correspondência exata entre maiusculas e minúsculas

  • Cada secção do caminho de URI1 tem de ser uma correspondência exata (com base na maiusculas e minúsculas escolhidas) à secção caminho correspondente do URI2

  • URI2 podem ter as secções caminho mais do que URI1, mas URI1 não tem de ter as secções caminho mais do que URI2

  • URI1 não podem ter as secções caminho mais do que URI2

  • Se URI1 tem uma cadeia de consulta, deve corresponder exatamente como uma cadeia de consulta URI2

  • Se URI1 tem um fragmento, deve corresponder exatamente a um fragmento de URI2

A tabela seguinte fornece exemplos adicionais.

Contar com o identificador de terceiros na Base de dados de configuração do AD FSContar com o identificador de terceiros na mensagem do pedidoIdentificador correspondências solicitar o identificador de configuração?Motivo
http:\/\/contoso.comhttp:\/\/contoso.comTRUECorrespondência exata
http:\/\/contoso.com\/http:\/\/contoso.comTRUESão ignoradas barras à direita
http:\/\/contoso.comhttp:\/\/contoso.com\/TRUESão ignoradas barras à direita
http:\/\/contoso.comhttp:\/\/contoso.com\/hTRUEURI1 não tem nenhum esquema caminho e correspondências e autorização para URI2
http:\/\/contoso.com\/hhttp:\/\/contoso.com\/h\/webTRUEAs secções primeiras caminho correspondem, URI1 não tem nenhuma segunda secção caminho
http:\/\/contoso.com\/hhttp:\/\/contoso.com\/h\/web\/? m=tTRUEMesmas razões indicadas acima, cadeia de consulta não altera qualquer item
http:\/\/contoso.com\/h\/http:\/\/contoso.com\/hrw\/principalFALSECaminho URI1 secção 1 não corresponder secção do caminho de URI2 1
http:\/\/contoso.com\/hhttp:\/\/contoso.comFALSEURI1 tem as secções caminho mais do que URI2
http:\/\/contoso.com\/hhttp:\/\/contoso.com\/hrwebFALSEAs secções primeiras caminho não são iguais
http:\/\/contoso.com\/? m=thttp:\/\/contoso.com\/? m=fFALSEConsultar a cadeia de carateres não correspondem às partes
https:\/\/contoso.comhttp:\/\/contoso.comFALSENão correspondem às partes de esquema
http:\/\/sts.contoso.comhttp:\/\/contoso.comFALSEPartes autoridade não são iguais
http:\/\/contoso.comhttp:\/\/sts.contoso.comFALSEPartes autoridade não são iguais
© 2017 Microsoft