Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In het identiteitsmodel op basis van claims spelen claims een centrale rol in het federatieproces. Dit is het belangrijkste onderdeel waarmee het resultaat van alle webverificatie- en autorisatieaanvragen wordt bepaald. Met dit model kunnen organisaties veilig digitale identiteiten en rechten projecteren, of claims, over beveiligings- en organisatiegrenzen heen, op een gestandaardiseerde manier.
Wat zijn claims?
In its simplest form, claims are simply statements (for example, name, identity, group), made about users, that are used primarily for authorizing access to claims-based applications located anywhere on the Internet. Elke stelling komt overeen met een waarde die is opgeslagen in de claim.
How claims are sourced
De Federation Service in Active Directory Federation Services (AD FS) definieert welke claims worden uitgewisseld tussen federatieve partners. Voordat het dit kan doen, moet de claim echter eerst worden gevuld of voorzien van een opgehaalde waarde of een berekende waarde. Elke claimwaarde vertegenwoordigt een waarde van een gebruiker, groep of entiteit en is op twee manieren afkomstig:
Wanneer de waarde waaruit de claim bestaat, wordt opgehaald uit een kenmerkarchief, bijvoorbeeld wanneer een kenmerkwaarde van verkoopafdeling wordt opgehaald uit de eigenschappen van een Active Directory-gebruikersaccount. Voor meer informatie, zie De rol van attributenopslag.
Wanneer de waarde van een binnenkomende claim wordt omgezet in een andere waarde op basis van de logica die in een regel wordt uitgedrukt. Wanneer een binnenkomende claim met de waarde van Domeinadministratoren bijvoorbeeld wordt omgezet in een nieuwe waarde van Administrators voordat deze als een uitgaande claim wordt verzonden. Zie De rol van claimregelsvoor meer informatie.
Claims kunnen waarden bevatten, zoals een e-mailadres, UPN (User Principal Name), groepslidmaatschap en andere accountkenmerken.
Hoe claimprocessen verlopen
Andere partijen zijn afhankelijk van de waarden van de claims voor het uitvoeren van autorisatietaken voor webtoepassingen die ze hosten. These parties are referred to as relying parties in the AD FS Management snap-in. De Federation Service is verantwoordelijk voor het brokeren van vertrouwen tussen veel verschillende partijen. It is designed to process and flow the trusted exchange of claims from an organization that initially sources the claims, also referred to as claims providers in the AD FS Management snap-in, to a relying party. Een vertrouwende partij gebruikt deze claims vervolgens om autorisatiebeslissingen te nemen.
The flow of claims using this process is known as the claims pipeline. Er zijn drie stappen in de stroom van claims via de claimpijplijn:
The claims that are received from the claims provider are processed by the acceptance transform rules on the claims provider trust. Deze regels bepalen welke claims worden geaccepteerd van de claimprovider.
De uitvoer van de transformatieregels voor acceptatie wordt gebruikt als invoer voor de autorisatieregels voor uitgifte. Deze regels bepalen of de gebruiker toegang krijgt tot de vertrouwende partij.
De uitvoer van de acceptatietransformatieregels wordt gebruikt als invoer voor de uitgiftetransformatieregels. Deze regels bepalen welke claims naar de relying party worden verzonden.
Zie De rol van de claimpijplijn voor meer informatie
Hoe claims worden uitgegeven
Wanneer u claimregels schrijft, varieert de bron van de binnenkomende claims voor de claimregels, afhankelijk van of u regels schrijft voor een vertrouwensrelatie van een claimprovider of een relying party-vertrouwensrelatie. Wanneer u claimregels schrijft voor een vertrouwensrelatie van een claimprovider, worden de binnenkomende claims verzonden van de vertrouwde claimprovider naar de Federation Service. When you write rules for a relying party trust, the incoming claims are the claims that are output by the claim rules of the applicable claims provider trust. Zie De rol van de claimpijplijn en De rol van de claimenginevoor meer informatie over binnenkomende claims en uitgaande claims.
Wat zijn claimtypen?
Een claimtype biedt context voor de claimwaarde. Deze wordt meestal uitgedrukt als een URI (Uniform Resource Identifier). AD FS kan elk claimtype ondersteunen en wordt standaard geconfigureerd met de claimtypen in de volgende tabel.
| Naam | Beschrijving | URI |
|---|---|---|
| E-mailadres | Het e-mailadres van de gebruiker | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
| Given Name | De opgegeven naam van de gebruiker | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname |
| Naam | De unieke naam van de gebruiker | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
| UPN | De UPN (User Principal Name) van de gebruiker | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn |
| Algemene naam | De algemene naam van de gebruiker | http://schemas.xmlsoap.org/claims/CommonName |
| AD FS 1.x E-Mail Address | Het e-mailadres van de gebruiker bij samenwerking met AD FS 1.1 of AD FS 1.0 | http://schemas.xmlsoap.org/claims/EmailAddress |
| Groep | Een groep waarvan de gebruiker lid is | http://schemas.xmlsoap.org/claims/Group |
| AD FS 1.x UPN | De UPN van de gebruiker bij samenwerking met AD FS 1.1 of AD FS 1.0 | http://schemas.xmlsoap.org/claims/UPN |
| Rol | Een rol die de gebruiker heeft | http://schemas.microsoft.com/ws/2008/06/identity/claims/role |
| Achternaam | De achternaam van de gebruiker | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname |
| PPID | De persoonlijke id van de gebruiker | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier |
| Naam-id | De SAML-naam-id van de gebruiker | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
| Verificatiemethode | De methode die wordt gebruikt om de gebruiker te verifiëren | http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod |
| Deny Only Group SID | The deny-only group SID of the user | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid |
| Deny only primary SID | The deny-only primary SID of the user | http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid |
| Deny only primary group SID | The deny-only primary group SID of the user | http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid |
| Groep SID | De groeps-SID van de gebruiker | http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid |
| Primary group SID | De primaire groeps-SID van de gebruiker | http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid |
| Primary SID | De primaire SID van de gebruiker | http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid |
| Windows-accountnaam | De domeinnaam van de gebruiker in de vorm van <domein>\<gebruiker> | http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname |
Wat zijn claimbeschrijvingen?
Claimbeschrijvingen vertegenwoordigen een lijst met claimtypen die AD FS ondersteunt en die kunnen worden gepubliceerd in federatiemetagegevens. De claimtypen die in de vorige tabel worden genoemd, zijn geconfigureerd als claimbeschrijvingen in de AD FS-beheerinvoegtoepassing.
De verzameling claimbeschrijvingen die worden gepubliceerd naar federatiemetagegevens wordt opgeslagen in de AD FS-configuratiedatabase. Deze claimbeschrijvingen worden gebruikt door verschillende onderdelen van de Federation Service.
Elke claimbeschrijving bevat een claimtype-URI, naam, publicatiestatus en beschrijving. You can manage the claim description collection by using the Claim Descriptions node in the AD FS Management snap-in. U kunt de publicatiestatus van een claimbeschrijving wijzigen met behulp van de module. De volgende instellingen zijn beschikbaar:
Deze claim publiceren in federatiemetagegevens als claimtype dat deze Federation-service kan accepteren (Publiceren als geaccepteerd)— Geeft de claimtypen aan die door deze Federation-service worden geaccepteerd door andere claimproviders.
Deze claim publiceren in federatiemetagegevens als claimtype dat deze Federation-service kan verzenden (publiceren als verzonden)— Geeft de claimtypen aan die worden aangeboden door deze Federation Service. These are the claim types the Federation Service publishes to others as those it is willing to send. De werkelijke claimtypen die door de claimprovider worden verzonden, zijn vaak een subset van deze lijst.
Zie Een claimbeschrijving toevoegen in de AD FS-implementatiehandleiding voor meer informatie over het instellen van de publicatiestatus van een claimtype.
Bij het genereren van federatiemetagegevens
Federatiemetagegevens bevatten alle claimbeschrijvingen die zijn gemarkeerd voor publicatie.
Wanneer claimregels worden verwerkt
Wanneer u configuratie-informatie over claimbeschrijvingen bewaart, is het eenvoudiger voor u om regels over claims te configureren. Zie De rol van claimregelsvoor meer informatie over de claimregels die kunnen worden gebruikt in de organisatie van de claimprovider.