AD FS 中的客户端访问策略声明类型

  • 项目

为了提供更多请求上下文信息,客户端访问策略使用以下声明类型,AD FS 从请求标头信息生成这些声明类型进行处理。 有关详细信息,请参阅声明引擎的角色

X-MS-Forwarded-Client-IP

声明类型:http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip

此 AD FS 声明表示确定发出请求的用户(例如 Outlook 客户端)的 IP 地址的“最佳尝试”。 此声明可以包含多个 IP 地址,包括转发了请求的每个代理的地址。  此声明是从当前仅由 Exchange Online 设置的 HTTP 标头填充的,在将身份验证请求传递给 AD FS 时填充标头。 声明的值可以是下列值之一:

  • 单个 IP 地址 - 直接连接到 Exchange Online 的客户端的 IP 地址

    注意

    公司网络上客户端的 IP 地址将显示为组织的出站代理或网关的外部接口 IP 地址。

  • 一个或多个 IP 地址

    • 如果 Exchange Online 无法确定连接的客户端的 IP 地址,它将基于 x-forwarded-for 标头的值来设置值,该标头是一个非标准标头,可以包含在基于 HTTP 的请求中,受市场上许多客户端、负载均衡器和代理的支持。

    • 多个 IP 地址(指示客户端 IP 地址和传递请求的每个代理的地址)将用逗号分隔。

      注意

      与 Exchange Online 基础结构相关的 IP 地址不会出现在列表中。

警告

Exchange Online 目前仅支持 IPv4 地址,不支持 IPv6 地址。

X-MS-Client-Application

声明类型:http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application

此 AD FS 声明表示最终客户端使用的协议,它松散地对应于正在使用的应用程序。  此声明是从当前仅由 Exchange Online 设置的 HTTP 标头填充的,在将身份验证请求传递给 AD FS 时填充标头。 根据应用程序,此声明的值将是以下值之一:

  • 对于使用 Exchange Active Sync 的设备,值为 Microsoft.Exchange.ActiveSync。
  • 使用 Microsoft Outlook 客户端可能会生成以下任何值:
    • Microsoft.Exchange.Autodiscover
    • Microsoft.Exchange.OfflineAddressBook
    • Microsoft.Exchange.RPC
    • Microsoft.Exchange.WebServices
    • Microsoft.Exchange.Mapi
  • 此标头的其他可能值包括:
    • Microsoft.Exchange.Powershell
    • Microsoft.Exchange.SMTP
    • Microsoft.Exchange.PopImap
    • Microsoft.Exchange.Pop
    • Microsoft.Exchange.Imap

X-MS-Client-User-Agent

声明类型:http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-user-agent

此 AD FS 声明提供一个字符串,表示客户端用于访问服务的设备类型。 这可以在客户想要阻止某些设备(例如特定类型的智能手机)的访问时使用。  此声明是从当前仅由 Exchange Online 设置的 HTTP 标头填充的,在将身份验证请求传递给 AD FS 时填充标头。 此声明的示例值包括(但不限于)以下值。

注意

下面是 x-ms-user-agent 值可能包含的内容的示例,适用于其 x-ms-client-application 为“Microsoft.Exchange.ActiveSync”的客户端

  • Vortex/1.0
  • Apple-iPad1C1/812.1
  • Apple-iPhone3C1/811.2
  • Apple-iPhone/704.11
  • Moto-DROID2/4.5.1
  • SAMSUNGSPHD700/100.202
  • Android/0.3

注意

此值也可能为空。

X-MS-Proxy

声明类型:http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy

此 AD FS 声明指示请求已通过联合服务器代理。  此声明由联合服务器代理填充,该代理在将身份验证请求传递到后端联合身份验证服务时填充标头。 然后,AD FS 将其转换为声明。

声明的值是传递了请求的联合服务器代理的 DNS 名称。

X-MS-Endpoint-Absolute-Path(主动与被动)

声明类型:http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path

此声明类型可用于确定源自“主动”(富)客户端与“被动”(基于 Web 浏览器的)客户端的请求。 这允许来自基于浏览器的应用程序(例如 Outlook Web Access、SharePoint Online 或 Office 365 门户)的外部请求,同时阻止来自富客户端(例如 Microsoft Outlook)的请求。

声明的值是接收了请求的 AD FS 服务的名称。