运行 Windows Server® 2012 的 Active Directory 联合身份验证服务(AD FS)联合服务器可以与 AD FS 1.0(随 Windows Server 2003 R2 一起安装)联合身份验证服务和 AD FS 1.1(随 Windows Server 2008 或 Windows Server 2008 R2)联合身份验证服务一起进行互作。 支持以下任何互作性组合:
任何 AD FS 1.x 联合身份验证服务都可以发送可供 Windows Server 2012 中的 AD FS 联合身份验证服务使用的声明。 有关详细信息,请参阅 清单:将 AD FS 配置为接受来自 AD FS 1.x 的声明。
Windows Server 2012 中的任何 AD FS 联合身份验证服务都可以发送与 AD FS 1.x 兼容的声明,并且该声明可以被 AD FS 1.x 联合身份验证服务获取。 有关详细信息,请参阅清单:将 AD FS 配置为将声明发送到 AD FS 1.x 联合身份验证服务。
Windows Server 2012 中的任何 AD FS 联合身份验证服务都可以发送与 AD FS 1.x 兼容的声明,该声明可供运行 AD FS 1.x 声明感知 Web 代理的一台或多台 Web 服务器使用。 有关详细信息,请参阅 清单:将 AD FS 配置为将声明发送到 AD FS 1.x 声明感知 Web 代理。
注释
AD FS 不支持或与 AD FS 1.x 基于 Windows NT 令牌的 Web 代理进行互操作。
AD FS 1.x 兼容的声明是指可以由 Windows Server 2012 中的 AD FS 联合身份验证服务发送,并且能够被 AD FS 1.x 联合身份验证服务理解的声明。 这样 AD FS 1.x 联合身份验证服务便可以使用 AD FS 联合身份验证服务发送的声明,必须发送名称标识符 (ID) 声明类型。
了解名称 ID 声明类型
名称 ID 声明类型等同于 AD FS 1.x 使用的标识声明类型。 每当要与 AD FS 1 互作时,都必须使用它。x. 名称 ID 声明类型使 AD FS 1.x 联合服务或者 AD FS 1.x 声明感知的 Web 代理能够使用由 Windows Server 2012 中的 AD FS 发送的声明,只要这些声明是以下表中的某种名称 ID 格式。
| 名称 ID 格式 | 对应 URI |
|---|---|
| AD FS 1.x 电子邮件地址 | http://schemas.xmlsoap.org/claims/EmailAddress |
| AD FS 1.x 电子邮件 UPN | http://schemas.xmlsoap.org/claims/UPN |
| 通用名 | http://schemas.xmlsoap.org/claims/CommonName |
| 组 | http://schemas.xmlsoap.org/claims/Group |
必须仅发送一个采用合适格式的名称 ID 声明。 满足该条件时,可能还会发送许多其他声明,前提是它们符合表中所述的限制。
注释
AD FS 1.x 联合服务只能解释以统一资源标识符(URI)http://schemas.xmlsoap.org/claims/ 开头的传入的声明类型。