Condividi tramite


Ruolo delle attestazioni

Nel modello di identità basata sulle attestazioni le attestazioni svolgono un ruolo fondamentale nel processo di federazione, sono il componente chiave in base al quale vengono determinati i risultati di tutte le richieste di autenticazione e autorizzazione basate sul Web. This model enables organizations to securely project digital identity and entitlement rights, or claims, across security and enterprise boundaries in a standardized way.

Che cosa sono le rivendicazioni?

In its simplest form, claims are simply statements (for example, name, identity, group), made about users, that are used primarily for authorizing access to claims-based applications located anywhere on the Internet. Each statement corresponds to a value that is stored in the claim.

Origine delle attestazioni

Il servizio federativo in Active Directory Federation Services (AD FS) definisce le attestazioni scambiate tra partner federati. Tuttavia, prima di poter eseguire questa operazione, è necessario popolare o originare l'attestazione con un valore recuperato o un valore calcolato. Ogni valore di attestazione rappresenta un valore di un utente, un gruppo o un'entità e viene originato in uno dei due modi seguenti:

  1. Quando il valore che costituisce l'attestazione viene recuperato da un archivio attributi, ad esempio quando un valore di attributo di Sales Department viene recuperato dalle proprietà di un account utente di Active Directory. Per ulteriori informazioni, vedere Il ruolo dell'archivio di attributi.

  2. Quando il valore di un'attestazione in ingresso viene trasformato in un altro valore in base alla logica espressa in una regola. Ad esempio, quando un'attestazione in ingresso con il valore Domain Admins viene trasformata in un nuovo valore di Administrators prima che venga inviata come attestazione in uscita. Per altre informazioni, vedere Il ruolo delle regole di rivendicazione.

Le attestazioni possono includere valori quali un indirizzo di posta elettronica, il nome dell'entità utente (UPN), l'appartenenza al gruppo e altri attributi dell'account.

Flusso delle richieste

Altre parti si basano sui valori delle attestazioni per eseguire attività di autorizzazione per le applicazioni basate sul Web che ospitano. These parties are referred to as relying parties in the AD FS Management snap-in. Il servizio federativo è responsabile della mediazione della fiducia tra molteplici parti. It is designed to process and flow the trusted exchange of claims from an organization that initially sources the claims, also referred to as claims providers in the AD FS Management snap-in, to a relying party. Una parte affidabile quindi utilizza queste attestazioni per prendere decisioni di autorizzazione.

The flow of claims using this process is known as the claims pipeline. Esistono tre passaggi nel flusso delle richieste attraverso la pipeline delle richieste.

  1. Le attestazioni ricevute dal provider di attestazioni vengono elaborate dalle regole di trasformazione di accettazione nell'attendibilità del provider di attestazioni. Queste regole determinano quali attestazioni vengono accettate dal provider di attestazioni.

  2. L'output delle regole di trasformazione di accettazione viene usato come input per le regole di autorizzazione al rilascio. Queste regole determinano se all'utente è consentito accedere alla parte affidabile.

  3. L'output delle regole di trasformazione di accettazione viene usato come input per le regole di trasformazione di rilascio. Queste regole determinano le attestazioni che verranno inviate alla parte fidata.

Per ulteriori informazioni, vedere Il ruolo della pipeline di richieste

Modalità di emissione delle attestazioni

Quando si scrivono regole sulle attestazioni, l'origine delle attestazioni in ingresso per le regole varia a seconda che si scrivano regole su un trust del provider di attestazioni o di un trust relying party. Quando si scrivono le regole delle attestazioni per un trust del provider di attestazioni, le attestazioni in ingresso sono le attestazioni inviate dal provider di attestazioni attendibile al Servizio di Federazione. Quando si scrivono regole per un trust della parte fidata, le attestazioni in ingresso sono quelle restituite dalle regole di attestazione del provider di attestazioni applicabile. Per ulteriori informazioni sulle richieste in ingresso e sulle richieste in uscita, vedere Il ruolo della pipeline di richieste e Il ruolo del motore di richieste.

Che cosa sono i tipi di attestazione?

Un tipo di dichiarazione fornisce il contesto per il valore dell'attestazione. Di solito viene espresso come Identificatore Uniforme delle Risorse (URI). AD FS può supportare qualsiasi tipo di attestazione ed è configurato con i tipi di attestazione nella tabella seguente per impostazione predefinita.

Name Description URI
E-Mail Address Indirizzo di posta elettronica dell'utente http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
Given Name Nome specificato dell'utente http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
Name Nome univoco dell'utente http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
UPN Nome principale utente (UPN) dell'utente http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
Common Name Nome comune dell'utente http://schemas.xmlsoap.org/claims/CommonName
Indirizzo di posta elettronica AD FS 1.x Indirizzo di posta elettronica dell'utente durante l'interoperabilità con AD FS 1.1 o AD FS 1.0 http://schemas.xmlsoap.org/claims/EmailAddress
Group Gruppo di cui l'utente è membro http://schemas.xmlsoap.org/claims/Group
AD FS 1.x UPN UPN dell'utente durante l'interoperabilità con AD FS 1.1 o AD FS 1.0 http://schemas.xmlsoap.org/claims/UPN
Role Ruolo che l'utente ha http://schemas.microsoft.com/ws/2008/06/identity/claims/role
Surname Cognome dell'utente http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
PPID Identificatore privato dell'utente http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier
Name Identifier Identificatore del nome SAML dell'utente http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
Authentication Method Metodo utilizzato per autenticare l'utente http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
SID di gruppo deny only SID del gruppo di sola negazione dell'utente http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid
Nega solo il SID primario SID primario di sola negazione dell'utente http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid
Negare solo il SID del gruppo primario SID del gruppo primario a sola negazione dell'utente http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid
Group SID SID del gruppo dell'utente http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid
SID gruppo primario SID del gruppo primario dell'utente http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid
Primary SID SID primario dell'utente http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
Nome dell'account di Windows Nome dell'account di dominio dell'utente sotto forma di <dominio>\<utente> http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname

Che cosa sono le descrizioni delle rivendicazioni?

Le descrizioni delle attestazioni rappresentano un elenco di tipi di attestazioni supportati da AD FS e che possono essere pubblicati nei metadati della federazione. I tipi di rivendicazioni indicati nella tabella precedente vengono configurati come descrizioni delle rivendicazioni nello snap-in Gestione AD FS.

La raccolta di descrizioni delle attestazioni che verranno pubblicate nei metadati di federazione viene archiviata nel database di configurazione di AD FS. Queste descrizioni delle attestazioni vengono usate da vari componenti del servizio federativo.

Ogni descrizione dell'attestazione include un URI del tipo di attestazione, un nome, uno stato di pubblicazione e una descrizione. You can manage the claim description collection by using the Claim Descriptions node in the AD FS Management snap-in. È possibile modificare lo stato di pubblicazione della descrizione di un'attestazione usando lo snap-in. Sono disponibili le impostazioni seguenti:

  • Pubblicare questa attestazione nei metadati della federazione come tipo di attestazione che il servizio federativo può accettare (Pubblica come accettato) - Indica i tipi di attestazione che verranno accettati da altri provider di attestazioni da questo servizio federativo.

  • Pubblicare questa attestazione nei metadati della federazione come tipo di attestazione che il servizio federativo può inviare (Pubblica come inviato) - Indica i tipi di attestazione offerti da questo servizio federativo. Questi sono i tipi di attestazione che il servizio federativo pubblica per gli altri come quelli che è disposto a inviare. I tipi effettivi di attestazione inviati dal provider di attestazioni sono spesso un sottoinsieme di questo elenco.

Per ulteriori informazioni su come impostare lo stato di pubblicazione di un tipo di attestazione, consultare Aggiungere una descrizione del tipo di attestazione nella guida alla distribuzione di AD FS.

Quando si generano metadati di federazione

I metadati della federazione includono tutte le descrizioni delle dichiarazioni contrassegnate per la pubblicazione.

Quando vengono elaborate le regole delle richieste

Quando si mantengono le informazioni di configurazione sulle descrizioni delle attestazioni, è più semplice configurare regole sulle attestazioni. Per ulteriori informazioni sulle regole di attestazione che possono essere usate nell'organizzazione del fornitore di attestazioni, vedere Il ruolo delle regole di attestazione.