Поделиться через


Роль утверждений

В модели идентификации на базе утверждений утверждения играют жизненно важную роль в процессе федерирования. Это ключевой компонент, определяющий исход всех запросов на аутентификацию и авторизацию в Интернете. Эта модель позволяет организациям безопасно проецировать права, связанные с цифровыми удостоверениями, и права владельца (или утверждения), невзирая на границы системы безопасности и предприятия с использованием стандартных механизмов.

Что такое утверждения?

Проще говоря, утверждения — это обычные заявления (например, имя, удостоверение, группа) о пользователях, используемые в основном для авторизации доступа к приложениям на базе утверждений, расположенным в любой точке Интернета. Каждое заявление соответствует значению, которое хранится в утверждении.

Источники утверждений

Служба федерации в службы федерации Active Directory (AD FS) (AD FS) определяет, какие утверждения обмениваются между федеративными партнерами. Однако до этого система должна заполнить утверждение извлеченным или вычисленным значением либо найти утверждение с нужным значением. Каждое значение утверждения представляет значение пользователя, группы или сущности. Существуют следующие источники этих значений.

  1. Значение, составляющее утверждение, извлекается из хранилища атрибутов, например, в том случае, когда значение атрибута отдела продаж извлекается из свойств учетной записи пользователя Active Directory. Дополнительные сведения см. в разделе The Role of Attribute Stores.

  2. Значение входящего утверждения трансформируется в другое значение на основании логики, реализованной в правиле. Например, если входящее утверждение со значением "Администраторы домена" преобразуется в новое значение "Администраторы" перед отправкой в качестве исходящего утверждения. Дополнительные сведения см. в разделе The Role of Claim Rules.

Правила могут включать значения, такие как адрес эл. почты, имя участника-пользователя, членство в группе и другие атрибуты учетных записей.

Принципы потока утверждений

Другие стороны используют значения утверждений для выполнения задач авторизации для веб-приложений, которые в них размещены. Эти стороны называются проверяющими сторонами в оснастке управления AD FS. Служба федерации выступает в роли доверителя между различными сторонами. Он предназначен для обработки и потоков доверенного обмена утверждениями из организации, которая изначально источник утверждений, также называется поставщиками утверждений в оснастке управления AD FS, на проверяющую сторону. Затем проверяющая сторона использует эти утверждения для принятия решений об авторизации.

Поток утверждений, осуществляемый по вышеописанной схеме, известен как канал утверждений. Поток утверждений перемещается по каналу утверждений в три этапа.

  1. Утверждения, полученные от поставщика утверждений, обрабатываются правилами преобразования приемки в отношениях доверия с поставщиком утверждений. Эти правила определяют, какие утверждения принимаются от поставщика утверждений.

  2. Вывод правил преобразования приемки используется как ввод для правил авторизации выпуска. Эти правила определяют, разрешен ли пользователю доступ к проверяющей стороне.

  3. Вывод правил преобразования приемки используется как ввод для правил преобразования выпуска. Эти правила определяют, какие утверждения будут отправлены проверяющей стороне.

Дополнительные сведения см. в разделе The Role of the Claims Pipeline

Выпуск утверждений

При создании правил утверждений источник входящих утверждений для правил утверждений варьируется в зависимости от того, пишутся ли правила на основании отношений доверия с поставщиком утверждений или отношений доверия с проверяющей стороной. При создании правил утверждений для отношений доверия с поставщиком утверждений входящие утверждения — это утверждения, отправляемые от доверенного поставщика утверждений в службу федерации. При создании правил для отношений доверия с проверяющей стороной входящие утверждения — это утверждения, выводимые правилами утверждений соответствующих отношений доверия с поставщиком утверждений. Дополнительные сведения о входящих и исходящих утверждениях см. в разделах The Role of the Claims Pipeline и The Role of the Claims Engine.

Что такое типы утверждений?

Тип утверждения предоставляет контекст для значения утверждения. Как правило, он выражается в виде универсального кода ресурсов (URI). AD FS может поддерживать любой тип утверждения, и он настраивается с типами утверждений в следующей таблице по умолчанию.

Имя Описание URI-адрес
Адрес электронной почты Адрес эл. почты пользователя http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
Заданное имя Заданное имя пользователя http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
Имя. Уникальное имя пользователя http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
UPN Имя участника-пользователя (UPN) этого пользователя http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
Общее имя Общее имя пользователя http://schemas.xmlsoap.org/claims/CommonName
AD FS 1.x адрес эл. почты Адрес электронной почты пользователя при взаимодействии с AD FS 1.1 или AD FS 1.0 http://schemas.xmlsoap.org/claims/EmailAddress
Групповой Группа, членом которой является пользователь http://schemas.xmlsoap.org/claims/Group
AD FS 1.x имя участника-пользователя Имя участника-пользователя при взаимодействии с AD FS 1.1 или AD FS 1.0 http://schemas.xmlsoap.org/claims/UPN
Role Роль пользователя http://schemas.microsoft.com/ws/2008/06/identity/claims/role
Surname Фамилия пользователя http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
PPID Частный идентификатор пользователя http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier
Идентификатор имени Идентификатор имени SAML пользователя http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
Метод проверки подлинности Метод, используемый для аутентификации пользователя http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
SID группы "только запрет" ИД безопасности (SID) группы "только запрет" пользователя. http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid
Основной SID "только запрет" Основной ИД безопасности (SID) "только запрет" пользователя http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid
SID основной группы "только запрет" ИД безопасности (SID) основной группы "только запрет" пользователя. http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid
SID группы ИД безопасности (SID) группы пользователя http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid
SID основной группы ИД безопасности (SID) основной группы пользователя http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid
Основной SID Основной ИД безопасности (SID) пользователя http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
Имя учетной записи Windows Имя учетной записи домена пользователя в виде <домена>\<user> http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname

Что такое описания утверждений

Описания утверждений представляют список типов утверждений, поддерживаемых AD FS, и которые могут быть опубликованы в метаданных федерации. Типы утверждений, упоминание в предыдущей таблице, настраиваются в качестве описаний утверждений в оснастке управления AD FS.

Коллекция описаний утверждений, которые будут опубликованы в метаданных федерации, хранится в базе данных конфигурации AD FS. Эти описания утверждений используются разными компонентами службы федерации.

Каждое описание утверждения включает универсальный код ресурсов (URI), имя, статус публикации и описание. Вы можете управлять коллекцией описаний утверждений с помощью узла "Описания утверждений" в оснастке управления AD FS. Можно также с помощью этой оснастки изменить статус публикации определения утверждения. Доступны следующие параметры:

  • Опубликовать это утверждение в метаданных федерации как тип утверждения, принимаемый этой службой федерации (Опубликовать как принятое) — обозначает типы утверждений, которые будут приняты этой службой федерации от других поставщиков утверждений.

  • Опубликовать это утверждение в метаданных федерации как тип утверждения, отправляемый этой службой федерации (Опубликовать как отправленное) — обозначает типы утверждений, предлагаемые этой службой федерации. Это типы утверждений, публикуемые службой федерации для других сторон как разрешенные к отправке. Типы утверждений, фактически отправляемые поставщиком утверждений, часто представляют собой подмножество этого списка.

Дополнительные сведения о настройке состояния публикации типа утверждения см. в руководстве по развертыванию AD FS.

При создании метаданных федерации

Метаданные федерации включают все описания утверждений, помеченные для публикации.

При обработке правил утверждений

Если сведения конфигурации об описаниях утверждений сохранены, настроить правила об утверждениях проще. Дополнительные сведения о правилах утверждений, которые можно использовать в организации поставщика утверждений, см. в разделе The Role of Claim Rules.