AD FS 中的客户端访问策略声明类型
为了提供更多请求上下文信息,客户端访问策略使用以下声明类型,AD FS 从请求标头信息生成这些声明类型进行处理。 有关详细信息,请参阅声明引擎的角色。
X-MS-Forwarded-Client-IP
声明类型:http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip
此 AD FS 声明表示确定发出请求的用户(例如 Outlook 客户端)的 IP 地址的“最佳尝试”。 此声明可以包含多个 IP 地址,包括转发了请求的每个代理的地址。 此声明是从当前仅由 Exchange Online 设置的 HTTP 标头填充的,在将身份验证请求传递给 AD FS 时填充标头。 声明的值可以是下列值之一:
单个 IP 地址 - 直接连接到 Exchange Online 的客户端的 IP 地址
注意
公司网络上客户端的 IP 地址将显示为组织的出站代理或网关的外部接口 IP 地址。
一个或多个 IP 地址
如果 Exchange Online 无法确定连接的客户端的 IP 地址,它将基于 x-forwarded-for 标头的值来设置值,该标头是一个非标准标头,可以包含在基于 HTTP 的请求中,受市场上许多客户端、负载均衡器和代理的支持。
多个 IP 地址(指示客户端 IP 地址和传递请求的每个代理的地址)将用逗号分隔。
注意
与 Exchange Online 基础结构相关的 IP 地址不会出现在列表中。
警告
Exchange Online 目前仅支持 IPv4 地址,不支持 IPv6 地址。
X-MS-Client-Application
声明类型:http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application
此 AD FS 声明表示最终客户端使用的协议,它松散地对应于正在使用的应用程序。 此声明是从当前仅由 Exchange Online 设置的 HTTP 标头填充的,在将身份验证请求传递给 AD FS 时填充标头。 根据应用程序,此声明的值将是以下值之一:
- 对于使用 Exchange Active Sync 的设备,值为 Microsoft.Exchange.ActiveSync。
- 使用 Microsoft Outlook 客户端可能会生成以下任何值:
- Microsoft.Exchange.Autodiscover
- Microsoft.Exchange.OfflineAddressBook
- Microsoft.Exchange.RPC
- Microsoft.Exchange.WebServices
- Microsoft.Exchange.Mapi
- 此标头的其他可能值包括:
- Microsoft.Exchange.Powershell
- Microsoft.Exchange.SMTP
- Microsoft.Exchange.PopImap
- Microsoft.Exchange.Pop
- Microsoft.Exchange.Imap
X-MS-Client-User-Agent
声明类型:http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-user-agent
此 AD FS 声明提供一个字符串,表示客户端用于访问服务的设备类型。 这可以在客户想要阻止某些设备(例如特定类型的智能手机)的访问时使用。 此声明是从当前仅由 Exchange Online 设置的 HTTP 标头填充的,在将身份验证请求传递给 AD FS 时填充标头。 此声明的示例值包括(但不限于)以下值。
注意
下面是 x-ms-user-agent 值可能包含的内容的示例,适用于其 x-ms-client-application 为“Microsoft.Exchange.ActiveSync”的客户端
- Vortex/1.0
- Apple-iPad1C1/812.1
- Apple-iPhone3C1/811.2
- Apple-iPhone/704.11
- Moto-DROID2/4.5.1
- SAMSUNGSPHD700/100.202
- Android/0.3
注意
此值也可能为空。
X-MS-Proxy
声明类型:http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy
此 AD FS 声明指示请求已通过联合服务器代理。 此声明由联合服务器代理填充,该代理在将身份验证请求传递到后端联合身份验证服务时填充标头。 然后,AD FS 将其转换为声明。
声明的值是传递了请求的联合服务器代理的 DNS 名称。
X-MS-Endpoint-Absolute-Path(主动与被动)
声明类型:http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path
此声明类型可用于确定源自“主动”(富)客户端与“被动”(基于 Web 浏览器的)客户端的请求。 这允许来自基于浏览器的应用程序(例如 Outlook Web Access、SharePoint Online 或 Office 365 门户)的外部请求,同时阻止来自富客户端(例如 Microsoft Outlook)的请求。
声明的值是接收了请求的 AD FS 服务的名称。