规划与 AD FS 1.x 的互操作性
运行 Windows Server® 2012 的 Active Directory 联合身份验证服务 (AD FS) 联合服务器可以与 AD FS 1.0(随 Windows Server 2003 R2 一起安装)联合身份验证服务和 AD FS 1.1(随 Windows Server 2008 或 Windows Server 2008 R2 一起安装)联合身份验证服务进行互操作。 支持以下任何互操作性组合:
任何 AD FS 1.x 联合身份验证服务都可以发送可供 Windows Server 2012 中的 AD FS 联合身份验证服务使用的声明。 有关详细信息,请参阅清单:配置 AD FS 以来自使用 AD FS 1.x 的声明。
Windows Server 2012 中的任何 AD FS 联合身份验证服务都可以发送可供 AD FS 1.x 联合身份验证服务使用的与 AD FS 1.x 兼容的声明。 有关详细信息,请参阅 Checklist: Configuring AD FS to Send Claims to an AD FS 1.x Federation Service。
Windows Server 2012 中的任何 AD FS 联合身份验证服务都可以发送与 AD FS 1.x 兼容的声明,该声明可供运行 AD FS 1.x 声明感知 Web 代理的一台或多台 Web 服务器使用。 有关详细信息,请参阅 Checklist: Configuring AD FS to Send Claims to an AD FS 1.x Claims-Aware Web Agent。
注意
AD FS 不支持 AD FS 1.x 基于 Windows NT 令牌的 Web 代理或与之进行互操作。
与 AD FS 1.x 兼容的声明是可以由 Windows Server 2012 中的 AD FS 联合身份验证服务发送并且由 AD FS 1.x 联合身份验证服务理解的声明。 这样 AD FS 1.x 联合身份验证服务便可以使用 AD FS 联合身份验证服务发送的声明,必须发送名称标识符 (ID) 声明类型。
了解名称 ID 声明类型
名称 ID 声明类型等效于 AD FS 1.x 使用的标识声明类型。 每当要与 AD FS 1.x 进行互操作时,都必须使用该类型。 名称 ID 声明类型使 AD FS 1.x 联合身份验证服务或 AD FS 1.x 声明感知 Web 代理可以使用 Windows Server 2012 中的 AD FS 发送的声明(只要这些声明采用下表中的名称 ID 格式之一发送)。
| 名称 ID 格式 | 对应 URI |
|---|---|
| AD FS 1.x 电子邮件地址 | http://schemas.xmlsoap.org/claims/EmailAddress |
| AD FS 1.x 电子邮件 UPN | http://schemas.xmlsoap.org/claims/UPN |
| 公用名 | http://schemas.xmlsoap.org/claims/CommonName |
| 组 | http://schemas.xmlsoap.org/claims/Group |
必须仅发送一个采用合适格式的名称 ID 声明。 满足该条件时,还可能会发送许多其他声明(假设它们符合表中描述的限制)。
注意
AD FS 1.x 联合身份验证服务只能解释以 http://schemas.xmlsoap.org/claims/ 统一资源标识符 (URI) 开头的传入声明类型。