Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В модели идентификации на основе утверждений утверждения играют ключевую роль в процессе федерации, они являются ключевым компонентом, с помощью которого определяются все запросы на проверку подлинности и авторизацию на основе веб-приложений. This model enables organizations to securely project digital identity and entitlement rights, or claims, across security and enterprise boundaries in a standardized way.
Что такое утверждения?
In its simplest form, claims are simply statements (for example, name, identity, group), made about users, that are used primarily for authorizing access to claims-based applications located anywhere on the Internet. Each statement corresponds to a value that is stored in the claim.
Источник утверждений
Федеративная служба в службах федерации Active Directory (AD FS) определяет, каким образом осуществляется обмен утверждениями между федеративными участниками. Тем не менее, прежде чем он сможет сделать это, сначала необходимо заполнить или создать утверждение с извлеченным значением или вычисляемым значением. Каждое значение утверждения представляет собой значение пользователя, группы или сущности и берётся одним из двух способов.
Если значение, составляющие утверждение, извлекается из хранилища атрибутов, например, когда значение атрибута Отдела продаж извлекается из свойств учетной записи пользователя Active Directory. Дополнительные сведения см. в разделе Роль хранилищ атрибутов.
Если значение входящего утверждения преобразуется в другое значение на основе логики, выраженной в правиле. Например, если входящее утверждение со значением администраторов домена преобразуется в новое значение администраторов перед отправкой в качестве исходящего утверждения. Дополнительные сведения см. в разделе Роль правил утверждений.
Утверждения могут включать такие значения, как адрес электронной почты, имя участника-пользователя (UPN), членство в группах и другие атрибуты учетной записи.
Как обрабатываются требования
Другие стороны полагаются на значения утверждений для выполнения задач авторизации для веб-приложений, которые они размещают. These parties are referred to as relying parties in the AD FS Management snap-in. Служба федерации отвечает за брокерские отношения доверия между многими различающимися сторонами. It is designed to process and flow the trusted exchange of claims from an organization that initially sources the claims, also referred to as claims providers in the AD FS Management snap-in, to a relying party. Затем проверяющая сторона использует эти утверждения для принятия решений об авторизации.
The flow of claims using this process is known as the claims pipeline. Существует три шага в потоке заявлений в порядке обработки заявлений:
Утверждения, полученные от поставщика утверждений, обрабатываются правилами преобразования принятия доверительных отношений с поставщиком утверждений. Эти правила определяют, какие утверждения принимаются от поставщика утверждений.
Выходные данные правил преобразования принятия используются в качестве входных данных для правил авторизации выдачи. Эти правила определяют, разрешен ли пользователю доступ к проверяющей стороне.
Выходные данные правил преобразования принятия используются в качестве входных данных для правил преобразования выдачи. Эти правила определяют утверждения, которые будут отправлены проверяющей стороне.
Дополнительные сведения см. в разделе Роль конвейера утверждений
Как выдаются претензии
При написании правил утверждений источник входящих утверждений варьируется в зависимости от того, пишете ли вы правила для доверительных отношений с поставщиком утверждений или с проверяющей стороной. При написании правил для доверенного поставщика утверждений входящие утверждения передаются из доверенного поставщика утверждений в федеративную службу. При написании правил доверия полагающейся стороны входящие утверждения являются утверждениями, которые выводятся правилами утверждений соответствующего доверия поставщика утверждений. Дополнительные сведения о входящих утверждениях и исходящих утверждениях см. в разделе Роль конвейера утверждений и роль подсистемы утверждений.
Что такое типы утверждений?
Тип утверждения предоставляет контекст для значения утверждения. Обычно оно выражается как универсальный идентификатор ресурса (URI). AD FS может поддерживать любой тип утверждения, и он настраивается с типами утверждений в следующей таблице по умолчанию.
| Name | Description | URI |
|---|---|---|
| E-Mail Address | Адрес электронной почты пользователя | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
| Given Name | Имя пользователя (личное имя) | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname |
| Name | Уникальное имя пользователя | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
| UPN | Основное имя пользователя (UPN) пользователя | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn |
| Common Name | Общее имя пользователя | http://schemas.xmlsoap.org/claims/CommonName |
| Адрес электронной почты AD FS 1.x | Адрес электронной почты пользователя при взаимодействии с AD FS 1.1 или AD FS 1.0 | http://schemas.xmlsoap.org/claims/EmailAddress |
| Group | Группа, в которую входит пользователь | http://schemas.xmlsoap.org/claims/Group |
| AD FS 1.x UPN | UPN пользователя при взаимодействии с AD FS 1.1 или AD FS 1.0 | http://schemas.xmlsoap.org/claims/UPN |
| Role | Роль пользователя | http://schemas.microsoft.com/ws/2008/06/identity/claims/role |
| Surname | Фамилия пользователя | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname |
| PPID | Закрытый идентификатор пользователя | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier |
| Name Identifier | Идентификатор имени SAML пользователя | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
| Authentication Method | Метод, используемый для проверки подлинности пользователя | http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod |
| Запретить только SID группы | Идентификатор группы, разрешённой только для запрета, для пользователя | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid |
| Запретить только первичный SID | Первичный SID пользователя, предназначенный исключительно для запрета доступа | http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid |
| Запретить только идентификатор безопасности основной группы | Идентификатор безопасности основной группы пользователя, только запрещающей доступ | http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid |
| Group SID | Идентификатор безопасности группы пользователя | http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid |
| Идентификатор безопасности основной группы | Идентификатор SID основной группы пользователя | http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid |
| Primary SID | Основной идентификатор безопасности пользователя | http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid |
| Имя учетной записи Windows | Имя учетной записи домена пользователя в виде <домена>\<пользователя> | http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname |
Что такое описания утверждений?
Описания утверждений представляют список типов утверждений, поддерживаемых AD FS, и которые могут быть опубликованы в метаданных федерации. Типы утверждений, упомянутые в предыдущей таблице, настраиваются как описания утверждений в оснастке управления AD FS.
Коллекция описаний утверждений, которые будут опубликованы в метаданных федерации, хранится в базе данных конфигурации AD FS. Эти описания утверждений используются различными компонентами службы федерации.
Каждое описание утверждения содержит URI типа утверждения, имя, состояние публикации и описание. You can manage the claim description collection by using the Claim Descriptions node in the AD FS Management snap-in. Вы можете изменить состояние публикации описания заявления с помощью встроенного модуля. Доступны следующие параметры:
Опубликовать это утверждение в метаданных федерации как тип утверждения, который эта служба федерации может принимать (Опубликовать как Принято) — указывает на типы утверждений, которые будут приниматься этой службой федерации от других поставщиков утверждений.
Публикация этого утверждения в метаданных федерации в качестве типа утверждения, который эта Служба федерации может отправлять (Публикация как отправленного) — указывает типы утверждений, предлагаемых этой Службой федерации. Это типы утверждений, которые служба федерации публикует другим как те, которые она готова отправить. Фактические типы утверждений, отправленные поставщиком утверждений, часто являются подмножеством этого списка.
Дополнительные сведения о настройке состояния публикации типа утверждения см. в разделе Добавление описания утверждений в руководстве по развертыванию AD FS.
При создании метаданных федерации
Метаданные федерации включают все описания утверждений, помеченные для публикации.
При обработке правил заявок
При сохранении сведений о конфигурации описаний утверждений проще настроить правила об утверждениях. Дополнительные сведения о правилах утверждений, которые можно использовать в организации поставщика утверждений, см. в разделе Роль правил утверждений.