Role nároků
V modelu identit založeném na deklaracích hrají deklarace identity v procesu federace klíčovou roli, kterou určují výsledky všech webových požadavků na ověřování a autorizaci. Tento model umožňuje organizacím bezpečně promítat digitální identitu a práva na přístup nebo nároky napříč hranicemi zabezpečení a podniku standardizovaným způsobem.
Co jsou nároky?
V nejjednodušší podobě jsou deklarace identity jednoduše výroky (například název, identita, skupina) o uživatelích, které se používají především k autorizaci přístupu k aplikacím založeným na deklaracích identity umístěným kdekoli na Internetu. Každé prohlášení odpovídá hodnotě uložené v nároku.
Jak jsou získávány nároky
Služba FS (Federation Service) ve službě Active Directory Federation Services definuje, které deklarace identity se vyměňují mezi federovanými partnery. Než to ale může udělat, musí nejprve naplnit nebo připravit nárok buď načtenou hodnotou, nebo vypočítanou hodnotou. Každá hodnota deklarace identity představuje hodnotu uživatele, skupiny nebo entity a je získána jedním ze dvou způsobů:
Když se z úložiště atributů načte hodnota, která tvoří nárok, například při načtení hodnoty atributu Sales Department z vlastností uživatelského účtu v Active Directory. Další informace naleznete v tématu Role úložišť atributů.
Když se hodnota příchozího nároku transformuje na jinou hodnotu na základě logiky vyjádřené v pravidle. Například když se příchozí deklarace s hodnotou správců domény transformuje na novou hodnotu administrátorů před odesláním jako odchozí deklarace. Další informace najdete v tématu Role pravidel deklarací identity.
Deklarace identity můžou zahrnovat hodnoty, jako je e-mailová adresa, hlavní název uživatele (UPN), členství ve skupině a další atributy účtu.
Jak probíhá zpracování nároků
Ostatní strany spoléhají na hodnoty deklarací identity k provádění úloh autorizace pro webové aplikace, které hostují. Tyto strany se v modulu snap-in Správa služby AD FS označují jako spoléhající se strany. Federační služba zodpovídá za zprostředkování důvěryhodnosti mezi mnoha různorodými stranami. Je navržen tak, aby zpracovával a umožňoval důvěryhodnou výměnu deklarací identity z organizace, která původně získává deklarace identity, označované také jako zprostředkovatelé deklarací identity v modulu snap-in správa služby AD FS, k důvěřující straně. Spoléhající strana pak tyto případy použije k rozhodování o autorizaci.
Tok nároků pomocí tohoto procesu se označuje jako kanál nároků. V toku nároků prostřednictvím kanálu nároků existují tři kroky:
Nároky přijaté od poskytovatele nároků se zpracovávají pomocí pravidel přijímací transformace pro důvěryhodný vztah se zprostředkovatelem nároků. Tato pravidla určují, které nároky se přijímají od poskytovatele nároků.
Výstup pravidel transformace přijetí se používá jako vstup do pravidel pro autorizaci vydávání. Tato pravidla určují, jestli má uživatel povolený přístup k předávající straně.
Výstup pravidel transformace přijetí se používá jako vstup do pravidel transformace vystavení. Tato pravidla určují tvrzení, která budou odeslána spoléhané straně.
Další informace najdete v tématu Role kanálu pro zpracování nároků.
Jak se vydávají nároky
Při psaní pravidel deklarací identity se zdroj příchozích deklarací identity liší podle toho, zda píšete pravidla pro důvěryhodnost zprostředkovatele deklarací nebo důvěryhodný vztah předávající strany. Při vytváření pravidel pro deklarace pro vztah důvěryhodnosti poskytovatele deklarací jsou příchozí deklarace odesílané důvěryhodným poskytovatelem do federační služby. Při zápisu pravidel pro důvěryhodnost spoléhané strany jsou příchozí deklarace identity těmi, které vycházejí z pravidel deklarací identity příslušného vztahu důvěryhodnosti poskytovatele deklarací. Další informace o příchozích a odchozích nárocích najdete v Role kanálu nároků a Role modulu nároků.
Co jsou typy nároků?
Typ nároku poskytuje kontext pro hodnotu nároku. Obvykle se vyjadřuje jako identifikátor URI (Uniform Resource Identifier). Služba AD FS může podporovat libovolný typ deklarace identity a ve výchozím nastavení je nakonfigurovaná s typy deklarací identity v následující tabulce.
| Název | Popis | URI |
|---|---|---|
| E-mailová adresa | E-mailová adresa uživatele | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
| křestní jméno | Jméno uživatele | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname |
| Název | Jedinečné jméno uživatele | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
| UPN | Hlavní název uživatele (UPN) uživatele | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn |
| Běžný název | Běžný název uživatele | http://schemas.xmlsoap.org/claims/CommonName |
| E-mailová adresa služby AD FS 1.x | E-mailová adresa uživatele při spolupráci se službou AD FS 1.1 nebo AD FS 1.0 | http://schemas.xmlsoap.org/claims/EmailAddress |
| Skupina | Skupina, ve které je uživatel členem | http://schemas.xmlsoap.org/claims/Group |
| Hlavní název uživatele (UPN) služby AD FS 1.x | Identifikátor uživatele (UPN) při práci s AD FS 1.1 nebo AD FS 1.0 | http://schemas.xmlsoap.org/claims/UPN |
| Role | Role, kterou má uživatel | http://schemas.microsoft.com/ws/2008/06/identity/claims/role |
| Příjmení | Příjmení uživatele | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname |
| PPID | Privátní identifikátor uživatele | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier |
| Identifikátor názvu | Identifikátor názvu SAML uživatele | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
| Metoda ověřování | Metoda použitá k ověření uživatele | http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod |
| SID pro skupinu pouze odepřít | SID skupiny určena pouze pro odepření uživatele | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid |
| Odepřít pouze primární identifikátor SID | Primární SID uživatele pouze pro odepření | http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid |
| Odepřít pouze identifikátor SID primární skupiny | IDENTIFIKÁTOR SID primární skupiny pouze pro odepření uživatele | http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid |
| SID skupiny | Identifikátor SID skupiny uživatele | http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid |
| Identifikátor SID primární skupiny | Identifikátor SID primární skupiny uživatele | http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid |
| Primární identifikátor SID | Primární identifikátor SID uživatele | http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid |
| Název účtu Systému Windows | Název účtu domény uživatele ve formě <doména>\<uživatel> | http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname |
Co jsou popisy nároků?
Popisy nároků představují seznam typů nároků, které služba AD FS podporuje a které se můžou zveřejnit v metadatech federace. Typy deklarací uvedené v předchozí tabulce jsou nakonfigurované jako popisy deklarací v modulu snap-in Správa služby AD FS.
Sbírka popisů nároků, které budou publikovány do federačních metadat, je uložena v konfigurační databázi služby AD FS. Tyto popisy deklarací identity používají různé komponenty služby FS (Federation Service).
Každý popis deklarace zahrnuje identifikátor URI typu deklarace, název, publikační stav a popis. Kolekci popisů deklarací můžete spravovat pomocí uzlu Popisy deklarací v modulu správa AD FS. Stav publikování popisu nároku můžete upravit pomocí modulu snap-in. K dispozici jsou následující nastavení:
Tuto deklaraci identity publikujte v federačních metadatech jako typ deklarace identity, kterou může tato federační služba přijmout (publikovat jako přijato) – Označuje typy deklarací identity, které bude tato federační služba přijímat od jiných zprostředkovatelů deklarací identity.
Tuto deklaraci identity publikujte v metadatech federace jako typ deklarace identity, kterou může tato federační služba odeslat (publikovat jako odeslanou) – označuje typy deklarací identity, které tato federační služba nabízí. Jedná se o typy nároků, které Federace služby publikuje ostatním jako ty, které je ochotná odeslat. Skutečné typy nároků odeslané poskytovatelem nároků jsou často podmnožinou tohoto seznamu.
Další informace o tom, jak nastavit stav publikování typu deklarace identity, naleznete v tématu Přidání popisu deklarace v průvodci nasazením služby AD FS.
Při generování federačních metadat
Federační metadata zahrnují všechny popisy požadavků, které jsou určené k publikování.
Při zpracování pravidel nároků
Když uchováváte informace o konfiguraci popisů nároků, je pro vás jednodušší nakonfigurovat pravidla o nárocích. Další informace o pravidlech požadavků, která lze použít v organizaci poskytovatele požadavků, najdete v tématu Role pravidel požadavků.