Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Dans le modèle d’identité basée sur les revendications, les revendications jouent un rôle essentiel dans le processus de fédération. Il s’agit du composant clé par lequel le résultat de toutes les demandes d’authentification et d’autorisation basées sur le web est déterminé. This model enables organizations to securely project digital identity and entitlement rights, or claims, across security and enterprise boundaries in a standardized way.
Qu’est-ce que les revendications ?
In its simplest form, claims are simply statements (for example, name, identity, group), made about users, that are used primarily for authorizing access to claims-based applications located anywhere on the Internet. Each statement corresponds to a value that is stored in the claim.
Comment les réclamations sont obtenues
Le service de fédération dans les services de fédération Active Directory (AD FS) définit les revendications qui sont échangées entre les partenaires fédérés. Toutefois, avant de pouvoir le faire, il doit d’abord remplir ou sourcer la revendication avec une valeur récupérée ou une valeur calculée. Chaque valeur de revendication représente une valeur d’utilisateur, de groupe ou d’entité et est source d’une des deux manières suivantes :
Lorsque la valeur qui compose la revendication est récupérée à partir d’un magasin d’attributs, par exemple, lorsqu’une valeur d’attribut du service des ventes est récupérée à partir des propriétés d’un compte d’utilisateur Active Directory. Pour plus d'informations, consultez Rôle des magasins d'attributs.
Lorsque la valeur d’une revendication entrante est transformée en une autre valeur basée sur la logique exprimée dans une règle. Par exemple, lorsqu’une revendication entrante avec la valeur de "Domain Admins" est transformée en une nouvelle valeur "Administrateurs" avant d’être envoyée en tant que revendication sortante. Pour plus d’informations, consultez Le rôle des règles de revendication.
Les revendications peuvent inclure des valeurs telles qu’une adresse de messagerie, un nom d’utilisateur principal (UPN), une appartenance au groupe et d’autres attributs de compte.
Flux de revendications
D’autres parties s’appuient sur les valeurs des revendications pour effectuer des tâches d’autorisation pour les applications web qu’elles hébergent. These parties are referred to as relying parties in the AD FS Management snap-in. Le service de fédération est responsable de la facilitation de la confiance entre différentes parties. It is designed to process and flow the trusted exchange of claims from an organization that initially sources the claims, also referred to as claims providers in the AD FS Management snap-in, to a relying party. Une partie de confiance utilise ensuite ces affirmations pour prendre des décisions d'autorisation.
The flow of claims using this process is known as the claims pipeline. Il existe trois étapes dans le flux de revendications via le pipeline de revendications :
Les revendications reçues du fournisseur de revendications sont traitées par les règles de transformation d'acceptation sur l'approbation de fournisseur de revendications. Ces règles déterminent les revendications acceptées par le fournisseur de revendications.
La sortie des règles de transformation d'acceptation sert de paramètre d'entrée pour les règles d'autorisation d'émission. Ces règles déterminent si l’utilisateur est autorisé à accéder à la partie de confiance.
La sortie des règles de transformation d'acceptation sert de paramètre d'entrée pour les règles de transformation d'émission. Ces règles déterminent les revendications qui seront envoyées à la partie de confiance.
Pour plus d’informations, consultez Le rôle du processus de gestion des demandes
Comment les revendications sont émises
Lorsque vous écrivez des règles de réclamation, la source des réclamations entrantes pour les règles de réclamation varie selon que vous écrivez des règles sur une confiance du fournisseur de réclamations ou une confiance de partie confiée. Quand vous écrivez des règles de revendication pour une approbation de fournisseur de revendications, les revendications entrantes sont les revendications envoyées depuis le fournisseur de revendications approuvé vers le service de fédération. Quand vous écrivez des règles pour une approbation de partie de confiance, les revendications entrantes sont les revendications qui sont générées par les règles de revendication de l'approbation de fournisseur de revendications applicable. Pour plus d’informations sur les revendications entrantes et les revendications sortantes, consultez Le rôle du pipeline de revendications et le rôle du moteur de revendications.
Qu’est-ce que les types de revendications ?
Un type de revendication fournit un contexte pour la valeur de revendication. Il est généralement exprimé en tant qu’URI (Uniform Resource Identifier). AD FS peut prendre en charge n’importe quel type de revendication et il est configuré avec les types de revendication dans le tableau suivant par défaut.
| Name | Description | URI |
|---|---|---|
| E-Mail Address | Adresse de messagerie de l’utilisateur | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
| Given Name | Nom donné de l’utilisateur | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname |
| Name | Nom unique de l’utilisateur | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
| UPN | Nom d’utilisateur principal (UPN) de l’utilisateur | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn |
| Common Name | Nom commun de l’utilisateur | http://schemas.xmlsoap.org/claims/CommonName |
| Adresse de messagerie AD FS 1.x | Adresse de messagerie de l’utilisateur lors de l’interopérabilité avec AD FS 1.1 ou AD FS 1.0 | http://schemas.xmlsoap.org/claims/EmailAddress |
| Group | Groupe dont l’utilisateur est membre | http://schemas.xmlsoap.org/claims/Group |
| UPN AD FS 1.x | UPN de l’utilisateur lors de l’interopérabilité avec AD FS 1.1 ou AD FS 1.0 | http://schemas.xmlsoap.org/claims/UPN |
| Role | Rôle que l’utilisateur a | http://schemas.microsoft.com/ws/2008/06/identity/claims/role |
| Surname | Nom de famille de l’utilisateur | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname |
| PPID | Identificateur privé de l’utilisateur | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier |
| Name Identifier | Identificateur de nom SAML de l’utilisateur | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
| Authentication Method | Méthode utilisée pour authentifier l’utilisateur | http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod |
| Refuser uniquement le SID de groupe | SID de groupe en refus seul de l'utilisateur | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid |
| SID principal en refus seul | SID principal en refus seul de l'utilisateur | http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid |
| SID de groupe principal en refus seul | SID de groupe principal en refus seul de l'utilisateur | http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid |
| Group SID | SID de groupe de l’utilisateur | http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid |
| SID de groupe principal | SID du groupe principal de l’utilisateur | http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid |
| Primary SID | SID principal de l’utilisateur | http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid |
| Nom du compte Windows | Nom du compte de domaine de l’utilisateur sous la forme de <domaine>\<utilisateur> | http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname |
Qu’est-ce que les descriptions des revendications ?
Les descriptions des revendications représentent une liste des types de revendications pris en charge par AD FS et qui peuvent être publiés dans les métadonnées de fédération. Les types de revendications mentionnés dans le tableau précédent sont configurés en tant que descriptions de revendications dans le composant logiciel enfichable Gestion AD FS.
La collection de descriptions de revendication qui seront publiées dans les métadonnées de fédération est stockée dans la base de données de configuration AD FS. Ces descriptions de revendication sont utilisées par différents composants du service de fédération.
Chaque description de revendication inclut un URI de type de revendication, un nom, un état de publication et une description. You can manage the claim description collection by using the Claim Descriptions node in the AD FS Management snap-in. Vous pouvez modifier l’état de publication d’une description de revendication à l’aide du composant logiciel enfichable. Les paramètres suivants sont disponibles :
Publiez cette revendication dans les métadonnées de fédération en tant que type de revendication que ce service de fédération peut accepter (Publier en tant qu’accepté) : indique les types de revendications qui seront acceptés par d’autres fournisseurs de revendications par ce service de fédération.
Publiez cette revendication dans les métadonnées de fédération en tant que type de revendication que ce service de fédération peut envoyer (Publier en tant que envoyé) : indique les types de revendications proposés par ce service de fédération. Il s'agit des types de revendication que le service de fédération publie comme étant ceux qu'il consent à envoyer. Les types de revendications réels envoyés par le fournisseur de revendications sont souvent un sous-ensemble de cette liste.
Pour plus d’informations sur la définition de l’état de publication d’un type de revendication, consultez Ajouter une description de revendication dans le Guide de déploiement AD FS.
Lors de la génération des métadonnées de fédération
Les métadonnées de fédération comprennent toutes les descriptions de revendication marquées pour publication.
Lorsque les règles de réclamations sont traitées
Lorsque vous conservez des informations de configuration sur les descriptions des revendications, il est plus facile de configurer des règles sur les revendications. Pour plus d’informations sur les règles de revendication qui peuvent être utilisées dans l’organisation du fournisseur de revendications, consultez Le rôle des règles de revendication.