Rôle du pipeline de revendications

  • Article

Le pipeline de revendications des services de fédération Active Directory (AD FS) représente le chemin que les revendications doivent suivre via le service FS (Federation Service) avant de pouvoir être émises. Le service de fédération gère de bout en bout le flux des revendications dans les étapes du pipeline de revendications, qui inclut également le traitement des règles de revendication par le moteur de règles de revendication.

Pour plus d’informations sur les règles de revendication, consultez Rôle des règles de revendication. Pour plus d’informations sur la façon dont le moteur de règles de revendication traite les règles, voir The Role of the Claims Engine.

La section suivante décrit plus en détail le processus supervisé par le service de fédération.

Processus de pipeline de revendications

Le processus de pipeline de revendications se compose de trois étapes principales. Chaque étape du processus initialise le moteur de règles de revendication pour exécuter les règles de revendication qui lui sont propres. Ces étapes sont les suivantes (dans l’ordre où elles apparaissent) :

  1. Accepter les revendications entrantes : cette étape du pipeline de revendications est utilisée pour extraire les revendications entrantes du jeton et éliminer les revendications qui ne sont pas prévues ou approuvées. Une fois extraites, les règles d’acceptation qui composent le jeu de règles de transformation d’acceptation pour une approbation de fournisseur de revendications sont exécutées. Ces règles servent à passer ou à ajouter de nouvelles revendications qui peuvent être utilisées dans les étapes suivantes du pipeline de revendications. La sortie de cette étape est utilisée comme entrée pour les deuxième et troisième étapes.

  2. Autoriser le demandeur de revendications : cette étape est utilisée par le moteur de revendications pour émettre, autoriser ou refuser des revendications selon que le demandeur du jeton est autorisé ou non à obtenir un jeton pour la partie de confiance donné. Toutefois, avant que cela puisse se produire, les règles d’autorisation qui composent le jeu de règles d’autorisation d’émission ou le jeu de règles d’autorisation de délégation d’une partie de confiance sont exécutées.

  3. Émettre des revendications sortantes : cette étape est utilisée pour émettre les revendications sortantes et les envoyer dans le pipeline où elles seront empaquetées dans un jeton de sécurité. Toutefois, avant que cela puisse se produire, les règles d’émission qui composent la règle de transformation d’émission définie pour une partie de confiance sont exécutées, déterminant ainsi les revendications qui seront émises en tant que revendications sortantes.

Les trois étapes ci-dessus effectuent le traitement des règles de revendication, mais utilisent un autre ensemble de règles. Comme indiqué ci-dessus, chaque phase comporte un ensemble de règles associé en fonction de l’émetteur des revendications entrantes (règles d’acceptation) ou du service cible pour lequel les revendications sont émises (règles d’autorisation et d’émission).

Les revendications sont indépendantes du jeton, mais elles sont transmises sur le réseau encapsulées dans des jetons de sécurité. Les règles de revendication fonctionnent sur les revendications, quel que soit le format du jeton de sécurité entrant ou sortant.

Les règles de revendication contiennent la logique définie par l’administrateur selon laquelle le moteur de revendications accepte les revendications entrantes, autorise les revendications en fonction de l’identité du demandeur et émet les revendications nécessaires à une partie de confiance. Finalement, c’est le moteur de revendications qui détermine les revendications destinées au jeton de sécurité émis après que la revendication a été transmise via le pipeline de revendications.

Comme indiqué dans l’illustration suivante, le pipeline de revendications est responsable de bout en bout du processus de circulation d’une revendication via les diverses étapes du pipeline afin d’obtenir une revendication émise qui sera envoyée à l’approbation de la partie de confiance. La revendication sortante dans l’illustration représente la revendication émise.

AD FS roles

Bien que cela ne soit pas indiqué dans l’illustration, c’est le moteur de revendications qui effectue le traitement des règles à chaque étape. Pour plus d'informations, voir The Role of the Claims Engine.