Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Un URI (Uniform Resource Identifier) est une chaîne de caractères qui est utilisée comme identificateur unique. Dans AD FS, les URI sont utilisés pour identifier les adresses réseau partenaires et les objets de configuration. Lorsqu’il est utilisé pour identifier les adresses réseau partenaires, l’URI est toujours une URL. Lorsqu’il est utilisé pour identifier les objets de configuration, l’URI peut être un URN ou une URL. Pour plus d’informations générales sur les URI, consultez RFC 2396 et RFC 3986.
Les URI comme adresses réseau de partenaires
Voici les URL d’adresse réseau qui sont les plus souvent gérées par les administrateurs dans AD FS.
URL du service de fédération, notamment WS-Federation, SAML, WS-Trust, Federation Metadata, WS-MetadataExchange, Privacy and Organization URLs
Les URL d’une approbation de la partie de confiance, notamment WS-Federation, SAML et les URL des métadonnées de fédération
Les URL d’un fournisseur de revendications, notamment WS-Federation, SAML et les URL des métadonnées de fédération
URI en tant qu’identificateurs d’objet
Le tableau suivant décrit les identificateurs les plus souvent gérés par les administrateurs dans AD FS.
| Nom de l’identificateur | Descriptif | Comparaisons |
|---|---|---|
| Identificateur du service de fédération | Cet identificateur est utilisé pour identifier le service de fédération. Il est utilisé par des parties de confiance qui utilisent des déclarations de ce service de fédération, ainsi que des fournisseurs de déclarations qui émettent des déclarations à ce service de fédération. | Lorsqu’un utilisateur demande des revendications auprès d’un fournisseur de revendications pour ce service de fédération, l’identificateur du service de fédération est utilisé pour identifier la cible des revendications. Lorsque ce Service de Fédération reçoit les déclarations d’un fournisseur de revendications, il vérifie que les déclarations lui sont destinées en recherchant son propre identificateur de Service de Fédération. Lorsqu’une partie de confiance reçoit des revendications de ce service de fédération, la partie de confiance vérifie que l’émetteur des revendications correspond à l’identificateur du service de fédération. |
| Identificateur de partie de confiance | Cet identificateur est utilisé pour identifier la partie prenante de ce service de fédération. Il est utilisé lors de l’émission de revendications destinées à la partie de confiance. | Lorsqu’un utilisateur demande des revendications de ce service de fédération pour la partie de confiance, l’identificateur de partie de confiance est utilisé pour identifier la partie de confiance pour laquelle les revendications doivent être ciblées. Cette comparaison est effectuée à l’aide de la correspondance de préfixe (voir ci-dessous). Lorsque la partie de confiance reçoit les assertions, elle vérifiera son identifiant dans le jeton de sécurité pour s’assurer que les assertions lui sont destinées. |
| Identificateur du fournisseur de réclamations | Cet identificateur est utilisé pour identifier le fournisseur de revendications à ce service de fédération. Il est utilisé lors de la réception de revendications du fournisseur de revendications. | Lorsque ce service de fédération reçoit des revendications du fournisseur de revendications, ce service de fédération vérifie que l’émetteur des revendications correspond à l’identificateur du fournisseur de revendications. |
| Type de revendication | Cet identificateur est utilisé pour définir le type de revendication. Il est utilisé par ce service de fédération, les fournisseurs de revendications et les parties de confiance lors de l’envoi et de la réception de revendications. | Lorsque le service de fédération reçoit des revendications d’un fournisseur de revendications, les règles de revendication associées à l’approbation du fournisseur de revendications correspondante permettent à l’administrateur de comparer les types de revendications et de traiter les revendications. Les règles de droit associées à une relation de confiance avec la partie utilisatrice permettent également à l'administrateur de comparer les types de droits provenant des règles de confiance du fournisseur de droits et de décider quels droits émettre. |
Correspondance du préfixe URI pour les identificateurs de parties de confiance
La syntaxe de chemin d’accès d’un URI est organisée hiérarchiquement et est délimitée par tous les caractères « / » ou tous les caractères « : ». Par conséquent, le chemin d’accès peut être divisé en sections de chemin en fonction du caractère délimiteur. Lors de la mise en correspondance du préfixe URI, chaque section doit complètement correspondre aux règles de correspondance (ces règles régissent la casse des résultats correspondants). Pour plus d’informations sur les règles de correspondance, consultez le RFC mentionné ci-dessus.
Lorsqu’une partie de confiance est identifiée dans une demande faite au service de fédération, AD FS utilise une logique de correspondance de préfixe pour déterminer s’il existe une approbation de partie de confiance correspondante dans la base de données de configuration AD FS.
Par exemple, si l’identificateur de partie de confiance dans la base de données de configuration AD FS (URI1) est un préfixe de l’identificateur de partie de confiance dans la requête entrante (URI2), les éléments suivants doivent être vrais :
Les délimiteurs de fin (barres obliques et deux-points) de sections de chemin d’accès ou d’autorités doivent être ignorés.
Les parties relatives à l’autorité et au schéma d’URI1 et URI2 doivent être une correspondance exacte qui n’est pas sensible à la casse.
Chaque section de chemin d’accès de URI1 doit correspondre exactement (en fonction du respect de la casse choisi) à la section de chemin d’accès de URI2 correspondante.
URI2 peut avoir plus de sections de chemin d’accès que URI1, mais URI1 ne doit pas avoir plus de sections de chemin d’accès que URI2
URI1 ne peut pas avoir plus de sections de chemin d’accès que URI2
Si URI1 a un fragment, il doit correspondre exactement à un fragment URI2
Remarque
Les paramètres de chaîne de requête ne sont pas pris en charge et seront ignorés dans les identificateurs d'entités de confiance.
Le tableau suivant fournit des exemples supplémentaires.
| Identificateur de partie de confiance de la base de données de configuration AD FS | Identificateur de partie de confiance du message de demande | L’identificateur de demande correspond à l’identificateur de configuration ? | Motif |
|---|---|---|---|
| http://contoso.com | http://contoso.com | VRAI | Correspondance exacte |
| http://contoso.com/ | http://contoso.com | VRAI | Les barres obliques finales sont ignorées. |
| http://contoso.com | http://contoso.com/ | VRAI | Les barres obliques finales sont ignorées. |
| http://contoso.com | http://contoso.com/hr | VRAI | URI1 n’a pas de chemin d’accès et correspond au schéma et à l’autorité d’URI2 |
| http://contoso.com/hr | http://contoso.com/hr/web | VRAI | Les premières sections de chemin d’accès correspondent, URI1 ne comporte pas de deuxième section de chemin d’accès |
| http://contoso.com/hr/ | http://contoso.com/hrw/main | FAUX | La section 1 du chemin d’accès URI1 ne correspond pas à la section 1 du chemin d’accès URI2 |
| http://contoso.com/hr | http://contoso.com | FAUX | URI1 comporte plus de sections de chemin d’accès que URI2 |
| http://contoso.com/hr | http://contoso.com/hrweb | FAUX | Les premières sections de chemin d’accès ne correspondent pas |
| https://contoso.com | http://contoso.com | FAUX | Les parties de schéma ne correspondent pas |
| http://sts.contoso.com | http://contoso.com | FAUX | Certaines parties d’autorité ne correspondent pas |
| http://contoso.com | http://sts.contoso.com | FAUX | Certaines parties d’autorité ne correspondent pas |