Freigeben über


Die Rolle von Ansprüchen

Im anspruchsbasierten Identitätsmodell spielen Ansprüche eine zentrale Rolle im Verbundprozess. Sie sind die Schlüsselkomponente, mit der das Ergebnis aller webbasierten Authentifizierungs- und Autorisierungsanforderungen bestimmt wird. This model enables organizations to securely project digital identity and entitlement rights, or claims, across security and enterprise boundaries in a standardized way.

Was sind Ansprüche?

In its simplest form, claims are simply statements (for example, name, identity, group), made about users, that are used primarily for authorizing access to claims-based applications located anywhere on the Internet. Each statement corresponds to a value that is stored in the claim.

Belegen von Ansprüchen

Der Verbunddienst in Active Directory-Verbunddienste (AD FS) definiert, welche Ansprüche zwischen Verbundpartnern ausgetauscht werden. Dazu muss der Anspruch zunächst mit einem abgerufenen oder berechneten Wert ausgefüllt oder belegt werden. Jeder Anspruchswert stellt einen Wert eines Benutzers, einer Gruppe oder einer Entität dar und wird auf eine von zwei Arten erstellt:

  1. Wenn der Wert, aus dem der Anspruch besteht, aus einem Attributspeicher abgerufen wird, z. B. wenn ein Attributwert der Vertriebsabteilung aus den Eigenschaften eines Active Directory-Benutzerkontos abgerufen wird. Weitere Informationen finden Sie unter "Rolle von Attributspeichern".

  2. Wenn der Wert eines eingehenden Anspruchs basierend auf der in einer Regel ausgedrückten Logik in einen anderen Wert umgewandelt wird. Wenn z. B. ein eingehender Anspruch mit dem Wert "Domänenadministratoren" in den neuen Wert "Administratoren" transformiert wird, bevor dieser als ausgehender Anspruch gesendet wird. Weitere Informationen finden Sie unter The Role of Claim Rules.

Ansprüche können Werte wie eine E-Mail-Adresse, einen Benutzerprinzipalnamen (USER Principal Name, UPN), Gruppenmitgliedschaften und andere Kontoattribute enthalten.

Ablauf von Ansprüchen

Andere Parteien verlassen sich auf die Werte der Ansprüche, um Autorisierungsaufgaben für webbasierte Anwendungen auszuführen, die sie hosten. These parties are referred to as relying parties in the AD FS Management snap-in. Der Verbunddienst ist für die Vermittlung von Vertrauensstellungen zwischen vielen unterschiedlichen Parteien verantwortlich. It is designed to process and flow the trusted exchange of claims from an organization that initially sources the claims, also referred to as claims providers in the AD FS Management snap-in, to a relying party. Anschließend verwendet eine vertrauende Seite diese Ansprüche, um Autorisierungsentscheidungen zu treffen.

The flow of claims using this process is known as the claims pipeline. Es gibt drei Schritte im Ablauf von Ansprüchen über die Anspruchspipeline:

  1. Die vom Anspruchsanbieter empfangenen Ansprüche werden mit Akzeptanztransformationsregeln der Vertrauensstellung des Anspruchsanbieters verarbeitet. Diese Regeln bestimmen, welche Ansprüche vom Anspruchsanbieter akzeptiert werden.

  2. Die Ausgabe der Akzeptanztransformationsregeln wird als Eingabe für die Ausstellungsautorisierungsregeln verwendet. Diese Regeln bestimmen, ob der Benutzer auf die vertrauende Seite zugreifen darf.

  3. Die Ausgabe der Akzeptanztransformationsregeln wird als Eingabe für die Ausstellungstransformationsregeln verwendet. Diese Regeln bestimmen die Ansprüche, die an die vertrauende Seite gesendet werden.

Weitere Informationen finden Sie unter The Role of the Claims Pipeline

Wie Ansprüche ausgegeben werden

Beim Erstellen von Anspruchsregeln hängt die Quelle der eingehenden Ansprüche für die Anspruchsregeln davon ab, ob Sie die Regeln für die Vertrauensstellung eines Anspruchsanbieters oder einer vertrauenden Seite erstellen. Wenn Sie Anspruchsregeln für eine Anspruchsanbieter-Vertrauensstellung erstellen, sind die eingehenden Ansprüche diejenigen, die vom vertrauenswürdigen Anspruchsanbieter an den Verbunddienst gesendet werden. Wenn Sie Regeln für die Vertrauensstellung der vertrauenden Seite erstellen, entsprechen die eingehenden Ansprüche den Ansprüchen, die von den Anspruchsregeln der maßgeblichen Anspruchsanbieter-Vertrauensstellung ausgegeben werden. Weitere Informationen zu eingehenden Ansprüchen und ausgehenden Ansprüchen finden Sie unter The Role of the Claims Pipeline and The Role of the Claims Engine.

Was sind Anspruchstypen?

Ein Anspruchstyp stellt kontext für den Anspruchswert bereit. Sie wird in der Regel als Uniform Resource Identifier (URI) ausgedrückt. AD FS kann jeden Anspruchstyp unterstützen und ist standardmäßig mit den Anspruchstypen in der folgenden Tabelle konfiguriert.

Name Description URI
E-Mail Address Die E-Mail-Adresse des Benutzers http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
Given Name Der Angegebene Name des Benutzers http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
Name Der eindeutige Name des Benutzers http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
UPN Der Benutzerprinzipalname (UPN) des Benutzers http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
Common Name Der allgemeine Name des Benutzers http://schemas.xmlsoap.org/claims/CommonName
AD FS 1.x-E-Mail-Adresse Die E-Mail-Adresse des Benutzers bei der Zusammenarbeit mit AD FS 1.1 oder AD FS 1.0 http://schemas.xmlsoap.org/claims/EmailAddress
Group Eine Gruppe, bei der der Benutzer Mitglied ist http://schemas.xmlsoap.org/claims/Group
AD FS 1.x UPN UPN des Benutzers bei Interaktion mit AD FS 1.1 oder AD FS 1.0 http://schemas.xmlsoap.org/claims/UPN
Role Eine Rolle, die der Benutzer hat http://schemas.microsoft.com/ws/2008/06/identity/claims/role
Surname Der Nachname des Benutzers http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
PPID Der private Bezeichner des Benutzers http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier
Name Identifier Der SAML-Namensbezeichner des Benutzers http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
Authentication Method Die Zum Authentifizieren des Benutzers verwendete Methode http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
Nur Gruppen-SID verweigern Die Gruppen-SID "Nur verweigern" des Benutzers http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid
Nur primäre SID verweigern Die primäre SID "Nur verweigern" des Benutzers http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid
Nur primäre Gruppen-SID verweigern Die primäre Gruppen-SID "Nur verweigern" des Benutzers http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid
Group SID Die Gruppen-SID des Benutzers http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid
Primäre Gruppen-SID Die primäre Gruppen-SID des Benutzers http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid
Primary SID Die primäre SID des Benutzers http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
Windows-Kontoname Der Domänenkontoname des Benutzers in Form von <Domäne>\<Benutzer> http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname

Was sind Anspruchsbeschreibungen?

Anspruchsbeschreibungen stellen eine Liste von Anspruchstypen dar, die AD FS unterstützt und die in Verbundmetadaten veröffentlicht werden können. Die in der vorherigen Tabelle erwähnten Anspruchstypen werden als Anspruchsbeschreibungen im AD FS-Verwaltungs-Snap-In konfiguriert.

Die Sammlung von Anspruchsbeschreibungen, die in Verbundmetadaten veröffentlicht werden, wird in der AD FS-Konfigurationsdatenbank gespeichert. Diese Anspruchsbeschreibungen werden von verschiedenen Komponenten des Verbunddiensts verwendet.

Jede Anspruchsbeschreibung enthält einen Anspruchstyp-URI, Namen, Veröffentlichungsstatus und Beschreibung. You can manage the claim description collection by using the Claim Descriptions node in the AD FS Management snap-in. Sie können den Veröffentlichungsstatus einer Anspruchsbeschreibung mithilfe des Snap-Ins ändern. Die folgenden Einstellungen sind verfügbar:

  • Veröffentlichen Sie diesen Anspruch in Verbundmetadaten als Anspruchstyp, den dieser Verbunddienst akzeptieren kann (Als akzeptiert veröffentlichen) – Gibt die Anspruchstypen an, die von anderen Anspruchsanbietern von diesem Verbunddienst akzeptiert werden.

  • Veröffentlichen Sie diesen Anspruch in Verbundmetadaten als Anspruchstyp, den dieser Verbunddienst senden kann (als gesendet veröffentlichen) – Gibt die Anspruchstypen an, die von diesem Verbunddienst angeboten werden. Dies sind die Anspruchstypen, die vom Verbunddienst für andere veröffentlicht werden, da er bereit ist, diese zu senden. Die tatsächlich vom Anspruchsanbieter gesendeten Anspruchstypen sind häufig eine Teilmenge dieser Liste.

Weitere Informationen zum Festlegen des Veröffentlichungsstatus eines Anspruchstyps finden Sie unter Hinzufügen einer Anspruchsbeschreibung im AD FS-Bereitstellungshandbuch.

Beim Generieren von Verbundmetadaten

Verbundmetadaten enthalten alle Anspruchsbeschreibungen, die für die Veröffentlichung markiert sind.

Beim Verarbeiten von Anspruchsregeln

Wenn Sie Konfigurationsinformationen zu Anspruchsbeschreibungen beibehalten, ist es einfacher, Regeln zu Ansprüchen zu konfigurieren. Weitere Informationen zu den Anspruchsregeln, die in der Organisation des Anspruchsanbieters verwendet werden können, finden Sie unter "Rolle der Anspruchsregeln".