Rôle des revendications
Dans le modèle d'identité basé sur des revendications, les revendications jouent un rôle central au cours du processus de fédération. Elles constituent le composant clé dont dépend l'issue de toutes les demandes d'authentification et d'autorisation basées sur le web. Ce modèle permet aux organisations de partager de manière sécurisée l'identité numérique et les droits d'accès , ou revendications, hors de l'entreprise de façon normalisée.
Définition des revendications
En substance, les revendications sont des instructions effectuées au sujet des utilisateurs, portant, par exemple, sur le nom, l'identité ou le groupe, et qui servent essentiellement à autoriser l'accès aux applications basées sur des revendications situées n'importe où sur Internet. Chaque instruction correspond à une valeur stockée dans la revendication.
Génération des revendications
Le service de fédération dans les services de fédération Active Directory (AD FS) définit les revendications qui sont échangées entre les partenaires fédérés. Toutefois, il doit auparavant remplir ou générer la revendication avec une valeur récupérée ou une valeur calculée. Chaque valeur de revendication représente une valeur d'un utilisateur, d'un groupe ou d'une entité et est générée de l'une des deux façons suivantes :
Quand la valeur qui constitue la revendication est récupérée d'un magasin d'attributs, à l'image d'une valeur d'attribut du service commercial extraite des propriétés d'un compte d'utilisateur Active Directory. Pour plus d'informations, consultez Rôle des magasins d'attributs.
Quand la valeur d'une revendication entrante est transformée en une valeur basée sur la logique exprimée dans une règle. C'est par exemple le cas quand une revendication entrante comportant la valeur Administrateurs du domaine est transformée en valeur Administrateurs avant d'être envoyée sous la forme d'une revendication sortante. Pour plus d'informations, consultez Rôle des règles de revendication.
Les revendications peuvent inclure des valeurs telles qu'une adresse de messagerie, un nom d'utilisateur principal, une appartenance de groupe et d'autres attributs de compte.
Organisation du flux des revendications
Les parties tierces s'appuient sur les valeurs des revendications pour effectuer des tâches d'autorisation pour les applications web qu'elles hébergent. Ces parties sont appelées parties de confiance dans le composant logiciel enfichable Gestion des services de fédération Active Directory (AD FS). Le service de fédération sert d’intermédiaire entre les nombreuses parties. Il a pour fonction de traiter et d’organiser l’échange approuvé de revendications depuis une organisation qui a généré les revendications, également appelée fournisseur de revendications dans le composant logiciel enfichable de gestion des AD FS, vers une partie de confiance. Une partie de confiance utilise ensuite ces revendications pour prendre des décisions d'autorisation.
Dans le cadre de ce processus, le flux des revendications est appelé pipeline de revendications. Le flux de revendications dans le pipeline de revendications comprend trois étapes :
Les revendications reçues du fournisseur de revendications sont traitées par les règles de transformation d'acceptation sur l'approbation de fournisseur de revendications. Ces règles déterminent les revendications qui sont acceptées du fournisseur de revendications.
La sortie des règles de transformation d'acceptation sert de paramètre d'entrée pour les règles d'autorisation d'émission. Ces règles déterminent si l'utilisateur est autorisé à accéder à la partie de confiance.
La sortie des règles de transformation d'acceptation sert de paramètre d'entrée pour les règles de transformation d'émission. Ces règles déterminent les revendications à envoyer à la partie de confiance.
Pour plus d'informations, consultez Rôle du pipeline de revendications
Processus d'émission des revendications
Quand vous écrivez des règles de revendication, la source des revendications entrantes pour ces règles varie selon que celles-ci concernent une approbation de fournisseur de revendications ou une approbation de partie de confiance. Quand vous écrivez des règles de revendication pour une approbation de fournisseur de revendications, les revendications entrantes sont les revendications envoyées depuis le fournisseur de revendications approuvé vers le service de fédération. Quand vous écrivez des règles pour une approbation de partie de confiance, les revendications entrantes sont les revendications qui sont générées par les règles de revendication de l'approbation de fournisseur de revendications applicable. Pour plus d'informations sur les revendications entrantes et sur les revendications sortantes, consultez Rôle du pipeline de revendications et Rôle du moteur de revendications.
Définition des types de revendication
Un type de revendication fournit le contexte de la valeur de la revendication. Il est généralement exprimé sous la forme d'un URI (Uniform Resource Identifier). AD FS prend en charge n’importe quel type de revendication et est par défaut configuré avec les types de revendication indiqués dans le tableau suivant.
| Nom | Description | URI |
|---|---|---|
| Adresse e-mail | Adresse de messagerie de l'utilisateur | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
| Prénom | Prénom de l'utilisateur | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname |
| Nom | Nom unique de l'utilisateur | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
| UPN | Nom d’utilisateur principal (UPN) de l’utilisateur | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn |
| Nom commun | Nom commun de l'utilisateur | http://schemas.xmlsoap.org/claims/CommonName |
| Adresse de messagerie AD FS 1.x | Adresse de messagerie de l’utilisateur quand il interagit avec AD FS 1.1 ou AD FS 1.0 | http://schemas.xmlsoap.org/claims/EmailAddress |
| Groupe | Groupe dont l'utilisateur est membre | http://schemas.xmlsoap.org/claims/Group |
| UPN AD FS 1.x | UPN de l’utilisateur lorsqu’il interagit avec AD FS 1.1 ou AD FS 1.0 | http://schemas.xmlsoap.org/claims/UPN |
| Rôle | Rôle de l'utilisateur | http://schemas.microsoft.com/ws/2008/06/identity/claims/role |
| Surname | Nom de l'utilisateur | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname |
| PPID | Identificateur privé de l'utilisateur | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier |
| Identificateur de nom | Identificateur de nom SAML de l'utilisateur | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
| Méthode d'authentification | Méthode utilisée pour authentifier l'utilisateur | http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod |
| SID de groupe en refus seul | SID de groupe en refus seul de l'utilisateur | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid |
| SID principal en refus seul | SID principal en refus seul de l'utilisateur | http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid |
| SID de groupe principal en refus seul | SID de groupe principal en refus seul de l'utilisateur | http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid |
| SID de groupe | SID de groupe de l'utilisateur | http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid |
| SID de groupe principal | SID de groupe principal de l'utilisateur | http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid |
| SID principal | SID principal de l'utilisateur | http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid |
| Nom de compte Windows | Nom du compte de domaine de l’utilisateur sous la forme <domaine>\<utilisateur> | http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname |
Définition des descriptions de revendication
Les descriptions de revendication représentent la liste des types de revendication que AD FS prend en charge et qui peuvent être publiés dans les métadonnées de fédération. Les types de revendication mentionnés dans le tableau précédent sont configurés en tant que descriptions de revendication dans le composant logiciel enfichable de gestion d’AD FS.
La collection des descriptions de revendication à publier dans les métadonnées de fédération est stockée dans la base de données de configuration AD FS. Ces descriptions de revendication sont utilisées par différents composants du service de fédération.
Chaque description de revendication comprend un URI de type de revendication, un nom, un état de publication et une description. Vous pouvez gérer la collection de descriptions de revendications à l’aide du nœud Descriptions des revendications dans le composant logiciel enfichable Gestion des services de fédération Active Directory (AD FS). Vous pouvez modifier l’état de publication d’une description de revendication à l’aide du composant logiciel enfichable. Les options suivantes sont disponibles :
Publier cette description de revendication dans les métadonnées de fédération en tant que type de revendication pouvant être accepté par ce service de fédération (Publié comme accepté) : indique les types de revendication qui seront acceptés des autres fournisseurs de revendications par ce service de fédération.
Publier cette description de revendication dans les métadonnées de fédération en tant que type de revendication pouvant être envoyé par ce service de fédération (Publié comme envoyé) : indique les types de revendication offerts par ce service de fédération. Il s'agit des types de revendication que le service de fédération publie comme étant ceux qu'il consent à envoyer. En règle générale, le fournisseur de revendications n'envoie qu'une partie de cette liste de types de revendication.
Pour plus d’informations sur la façon de définir l’état de publication d’un type de revendication, consultez Ajouter une description de revendication dans le guide de déploiement d’AD FS.
Génération des métadonnées de fédération
Les métadonnées de fédération comprennent toutes les descriptions de revendication marquées pour publication.
Traitement des règles de revendication
Quand vous conservez les informations de configuration sur les descriptions de revendication, vous pouvez plus facilement configurer des règles sur les revendications. Pour plus d'informations sur les règles de revendication utilisables dans l'organisation fournisseur de revendications, consultez Rôle des règles de revendication.