Types de revendications de stratégie d’accès client dans AD FS
Pour fournir plus d’informations sur le contexte des demandes, les stratégies d’accès client utilisent les types de revendications suivants, que AD FS génère à partir des informations d’en-tête de requête pour le traitement. Pour plus d'informations, voir Rôle du moteur de revendications.
X-MS-Forwarded-Client-IP
Type de revendication : http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip
Cette revendication AD FS représente une « meilleure tentative » pour déterminer l’adresse IP de l’utilisateur (par exemple, le client Outlook) qui effectue la requête. Cette revendication peut contenir plusieurs adresses IP, y compris l’adresse de chaque proxy qui a transféré la requête. Cette revendication est remplie à partir d’un en-tête HTTP actuellement défini uniquement par Exchange Online, qui remplit l’en-tête lors du passage de la requête d’authentification à AD FS. La valeur de la revendication peut être une des suivantes :
Adresse IP unique : adresse IP du client directement connecté à Exchange Online
Remarque
L’adresse IP d’un client sur le réseau d’entreprise apparaît en tant qu’adresse IP d’interface externe du proxy sortant ou de la passerelle de l’organisation.
Une ou plusieurs adresses IP
Si Exchange Online ne parvient pas à déterminer l’adresse IP du client de connexion, il définit la valeur en fonction de la valeur de l’en-tête x-forwarded-for, un en-tête non standard qui peut être inclus dans les requêtes HTTP et qui est pris en charge par de nombreux clients, équilibreurs de charge et proxys sur le marché.
Plusieurs adresses IP indiquant l’adresse IP du client et l’adresse de chaque proxy qui a passé la requête seront séparées par une virgule.
Notes
Les adresses IP liées à l’infrastructure d’Exchange Online ne seront pas présentes dans la liste.
Avertissement
Exchange Online prend actuellement en charge uniquement les adresses IPv4 ; il ne prend pas en charge les adresses IPv6.
X-MS-Client-Application
Type de revendication : http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application
Cette revendication AD FS représente le protocole utilisé par le client final, qui correspond approximativement à l’application utilisée. Cette revendication est remplie à partir d’un en-tête HTTP actuellement défini uniquement par Exchange Online, qui remplit l’en-tête lors du passage de la requête d’authentification à AD FS. Selon l’application, la valeur de cette revendication est l’une des suivantes :
- Dans le cas des appareils qui utilisent Exchange Active Sync, la valeur est Microsoft.Exchange.ActiveSync.
- L’utilisation du client Microsoft Outlook peut entraîner l’une des valeurs suivantes :
- Microsoft.Exchange.Autodiscover
- Microsoft.Exchange.OfflineAddressBook
- Microsoft.Exchange.RPC
- Microsoft.Exchange.WebServices
- Microsoft.Exchange.Mapi
- D’autres valeurs possibles pour cet en-tête sont les suivantes :
- Microsoft.Exchange.Powershell
- Microsoft.Exchange.SMTP
- Microsoft.Exchange.PopImap
- Microsoft.Exchange.Pop
- Microsoft.Exchange.Imap
X-MS-Client-User-Agent
Type de revendication : http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-user-agent
Cette revendication AD FS fournit une chaîne pour représenter le type d’appareil que le client utilise pour accéder au service. Cela peut être utilisé lorsque les clients souhaitent empêcher l’accès à certains appareils (par exemple, certains types de téléphones intelligents). Cette revendication est remplie à partir d’un en-tête HTTP actuellement défini uniquement par Exchange Online, qui remplit l’en-tête lors du passage de la requête d’authentification à AD FS. Les exemples de valeurs de cette revendication incluent (mais ne sont pas limités à) les valeurs ci-dessous.
Notes
Voici des exemples de ce que la valeur x-ms-user-agent peut contenir pour un client dont x-ms-client-application est « Microsoft.Exchange.ActiveSync »
- Vortex/1.0
- Apple-iPad1C1/812.1
- Apple-iPhone3C1/811.2
- Apple-iPhone/704.11
- Moto-DROID2/4.5.1
- SAMSUNGSPHD700/100.202
- Android/0.3
Notes
Il est également possible que cette valeur soit vide.
X-MS-Proxy
Type de revendication : http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy
Cette revendication AD FS indique que la requête a transité par le serveur proxy de fédération. Cette revendication est remplie par le serveur proxy de fédération, qui remplit l’en-tête lors du passage de la requête d’authentification au service de fédération final. AD FS le convertit ensuite en revendication.
La valeur de la revendication est le nom DNS du serveur proxy de fédération qui a transmis la requête.
X-MS-Endpoint-Absolute-Path (actif ou passif)
Type de revendication : http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path
Ce type de revendication peut être utilisé pour déterminer les demandes provenant de clients « actifs » (riches) et de clients « passifs » (basés sur un navigateur Web). Cela permet d’autoriser les requêtes externes provenant d’applications basées sur un navigateur, telles que Outlook Web Access, SharePoint Online ou le portail Office 365, tandis que les demandes provenant de clients riches tels que Microsoft Outlook sont bloquées.
La valeur de la revendication est le nom du service AD FS qui a reçu la requête.