Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Un URI (Uniform Resource Identifier) è una stringa di caratteri usata come identificatore univoco. In AD FS gli URI vengono usati per identificare sia gli indirizzi di rete dei partner che gli oggetti di configurazione. Se usato per identificare gli indirizzi di rete dei partner, l'URI è sempre un URL. Se usato per identificare gli oggetti di configurazione, l'URI può essere un URN o un URL. Per altre informazioni generali sugli URI, vedere RFC 2396 e RFC 3986.
URI come indirizzi di rete partner
Di seguito sono riportati gli URL degli indirizzi di rete che vengono spesso gestiti dagli amministratori in AD FS.
URL del servizio federativo, tra cui WS-Federation, SAML, WS-Trust, metadati della federazione, WS-MetadataExchange, privacy e URL dell'organizzazione
URL dei trust di una relying party, inclusi quelli di WS-Federation, SAML e Federation Metadata.
Gli URL di un trust del provider di attestazioni, inclusi gli URL di WS-Federation, SAML e dei metadati di federazione.
URI come identificatori di oggetto
Nella tabella seguente vengono descritti gli identificatori che vengono spesso gestiti dagli amministratori in AD FS.
| Nome identificatore | Descrizione | Confronti |
|---|---|---|
| Identificatore del servizio federativo | Questo identificatore viene usato per identificare il servizio federativo. Viene utilizzato dalle parti fiduciarie che usano le attestazioni di questo servizio federativo, nonché dai provider di attestazioni che rilasciano attestazioni a questo servizio federativo. | Quando un utente richiede attestazioni da un provider di attestazioni per questo servizio federativo, l'identificatore del servizio federativo verrà usato per identificare la destinazione per le attestazioni. Quando questo servizio federativo riceve le attestazioni da un fornitore di attestazioni, verificherà che le attestazioni siano destinate a esso cercando il relativo identificatore del servizio federativo. Quando una parte fidata riceve attestazioni da questo servizio federativo, verificherà che l'emittente delle attestazioni corrisponda all'identificatore del servizio federativo. |
| Identificatore della parte fidata | Questo identificatore viene usato per identificare la parte fidata di questo Servizio di Federazione. Viene usato quando si rilasciano attestazioni alla parte che si affida. | Quando un utente richiede attestazioni da questo servizio federativo per la parte fidata, l'identificatore della parte fidata verrà usato per identificare la parte fidata a cui devono essere destinate le attestazioni. Questo confronto viene eseguito usando la corrispondenza dei prefissi (vedere di seguito). Quando la parte affidataria riceve le attestazioni, verificherà la presenza del suo identificatore nel token di sicurezza per assicurarsi che le attestazioni siano destinate a essa. |
| Identificatore del fornitore di richieste | Questo identificatore viene usato per identificare il fornitore di attestazioni a questo servizio federativo. Viene usato quando si ricevono attestazioni dal fornitore di attestazioni. | Quando il servizio federativo riceve attestazioni dal provider di attestazioni, questo servizio federativo verificherà che l'autorità emittente delle attestazioni corrisponda all'identificatore del provider di attestazioni. |
| Tipo di attestazione | Questo identificatore viene usato per definire il tipo di attestazione. Viene usato da questo servizio federativo, dai provider di attestazioni e dalle parti affidabili durante l'invio e la ricezione di attestazioni. | Quando il Servizio federativo riceve le attestazioni da un provider di attestazioni, le regole delle attestazioni associate all'attendibilità del provider di attestazioni corrispondente permettono all'amministratore di confrontare i tipi di attestazione ed elaborare le attestazioni. Le regole di attestazione associate a un trust della parte fidata consentono inoltre all'amministratore di confrontare i tipi di attestazione provenienti dalle regole di trust del provider di attestazioni e decidere quali attestazioni emettere. |
Confronto dei prefissi URI per gli identificatori della parte fidata
La sintassi del percorso di un URI è organizzata gerarchicamente ed è delimitata da tutti i caratteri "/" o da tutti i caratteri ":". Il percorso può quindi essere suddiviso in sezioni di percorso in base al carattere di delimitazione. Quando i prefissi corrispondono, ogni sezione deve essere una corrispondenza completa in base alle regole di corrispondenza (queste regole regolano la combinazione di maiuscole e minuscole di corrispondenze). Per altre informazioni sulle regole di corrispondenza, vedere la RFC indicata in precedenza.
Quando una parte dipendente viene identificata in una richiesta al servizio federativo, AD FS utilizza la logica di corrispondenza dei prefissi per determinare se è presente un trust della parte dipendente corrispondente nel database di configurazione di AD FS.
Ad esempio, se l'identificatore della relying party nel database di configurazione di AD FS (URI1) è un prefisso dell'identificatore della relying party nella richiesta in ingresso (URI2), allora deve essere vero quanto segue:
I delimitatori finali (barre e due punti) delle sezioni di percorso o delle autorità devono essere ignorati
Le parti dello schema e dell'autorità di URI1 e URI2 devono corrispondere esattamente, senza distinzione tra maiuscole e minuscole.
Ogni sezione del percorso dell'URI1 deve essere una corrispondenza esatta (in base alla distinzione tra maiuscole e minuscole scelta) alla sezione del percorso corrispondente di URI2
URI2 può avere più sezioni di percorso rispetto a URI1, ma URI1 non deve avere più sezioni di percorso rispetto a URI2
L'URI1 non può avere più sezioni di percorso rispetto a URI2
Se URI1 ha un frammento, deve corrispondere esattamente a un frammento URI2
Nota
I parametri della stringa di query non sono supportati e verranno ignorati negli identificatori della relying party.
Nella tabella seguente vengono forniti esempi aggiuntivi.
| Identificatore della relying party nel database di configurazione di AD FS | Identificatore della parte affidataria nel messaggio di richiesta | L'identificatore della richiesta corrisponde all'identificatore di configurazione? | Motivo |
|---|---|---|---|
| http://contoso.com | http://contoso.com | Vero | Corrispondenza esatta |
| http://contoso.com/ | http://contoso.com | Vero | Le barre finali vengono ignorate |
| http://contoso.com | http://contoso.com/ | Vero | Le barre finali vengono ignorate |
| http://contoso.com | http://contoso.com/hr | Vero | URI1 non ha un percorso e corrisponde per schema e autorità a URI2 |
| http://contoso.com/hr | http://contoso.com/hr/web | Vero | Corrispondenza delle prime sezioni del percorso, URI1 non ha una seconda sezione del percorso |
| http://contoso.com/hr/ | http://contoso.com/hrw/main | Falso | La sezione 1 del percorso URI1 non corrisponde alla sezione 1 del percorso URI2 |
| http://contoso.com/hr | http://contoso.com | Falso | L'URI1 include più sezioni di percorso rispetto a URI2 |
| http://contoso.com/hr | http://contoso.com/hrweb | Falso | Le prime sezioni del percorso non corrispondono |
| https://contoso.com | http://contoso.com | Falso | Le parti dello schema non corrispondono |
| http://sts.contoso.com | http://contoso.com | Falso | I componenti dell'autorità non corrispondono |
| http://contoso.com | http://sts.contoso.com | Falso | I componenti dell'autorità non corrispondono |