Condividi tramite


Ruolo delle attestazioni

Nel modello di identità basata sulle attestazioni, queste ultime svolgono un ruolo fondamentale nel processo di federazione, in quanto rappresentano il componente chiave che determina l'esito di tutte le richieste di autenticazione e di autorizzazione basate sul Web. Questo modello consente alle organizzazioni di proiettare in modo sicuro identità digitali, diritti o attestazioni attraverso limiti di sicurezza aziendali in modo standardizzato.

Cosa sono le attestazioni?

Nella forma più semplice, le attestazioni sono semplicemente istruzioni (ad esempio nome, identità, gruppo), formulate riguardo a utenti e usate principalmente per autorizzare l'accesso ad applicazioni basate su attestazioni presenti in qualsiasi ubicazione di Internet. Ogni istruzione corrisponde a un valore archiviato nell'attestazione.

Come vengono ottenute le attestazioni

Il servizio federativo in Active Directory Federation Services (AD FS) definisce quali attestazioni vengono scambiate tra partner federati. Prima che ciò sia possibile, tuttavia, il servizio deve prima popolare od ottenere l'attestazione tramite un valore recuperato o calcolato. Ogni valore dell'attestazione rappresenta un valore di un utente, gruppo o entità e può essere recuperato in uno di due modi:

  1. Quando il valore che costituisce l'attestazione viene recuperato da un archivio di attributi, ad esempio il valore dell'attributo Sales Department recuperato dalle proprietà di un account utente Active Directory. Per altre informazioni, vedere Ruolo degli archivi attributi.

  2. Quando il valore di un'attestazione in ingresso viene trasformata in un altro valore basato sulla logica espressa in una regola. Quando ad esempio un'attestazione in ingresso con il valore di Domain Admins viene trasformata in un nuovo valore di Administrators prima di essere inviata come attestazione in uscita. Per altre informazioni, vedere Ruolo delle regole attestazione.

Le attestazioni possono includere valori come un indirizzo di posta elettronica, il nome dell'entità utente (UPN), l'appartenenza a gruppi e altri attributi dell'account.

Flusso delle attestazioni

Altre parti si affidano ai valori delle attestazioni per eseguire attività di autorizzazione per le applicazioni basate sul Web che ospitano. Queste parti vengono definite relying party nello snap-in Gestione di AD FS. Il servizio federativo è responsabile dell’intermediazione fiduciaria tra molte parti diverse. Esso è progettato per elaborare e convogliare lo scambio attendibile delle attestazioni tra un'organizzazione che inizialmente recupera le attestazioni, anche nota come provider di attestazioni nello snap-in Gestione di AD FS, a una relying party. Una relying party usa quindi queste attestazioni per operare decisioni in merito alle autorizzazioni.

Il flusso di attestazioni che usa questo processo è noto come pipeline delle attestazioni. Vi sono tre passaggi nel flusso di attestazioni attraverso la pipeline delle attestazioni:

  1. Le attestazioni ricevute dal provider di attestazioni vengono elaborate dalle regole di trasformazione accettazione nel trust del provider di attestazioni. Queste regole determinano quali attestazioni vengono accettate dal provider di attestazioni.

  2. L'output delle regole di trasformazione accettazione viene usato come input per le regole di autorizzazione rilascio. Tali regole determinano se l'utente è autorizzato ad accedere alla relying party.

  3. L'output delle regole di trasformazione accettazione viene usato come input per le regole di trasformazione rilascio. Tali regole determinano quali attestazioni verranno inviate alla relying party.

Per altre informazioni, vedere Ruolo delle pipeline delle attestazioni

Come vengono emesse le attestazioni

Quando si scrivono regole attestazione, l'origine delle attestazioni in ingresso per le regole attestazione varia in base alla scrittura o meno di regole nel trust del provider di attestazioni o nel trust della relying party. Quando si scrivono regole attestazione per un trust del provider di attestazioni, le attestazioni in ingresso sono quelle inviate dal provider di attestazioni attendibile al servizio federativo. Quando si scrivono regole per un trust della relying party, le attestazioni in ingresso sono quelle provenienti dalle regole attestazione del trust del provider di attestazioni applicabile. Per altre informazioni sulle attestazioni in ingresso e in uscita, vedere Ruolo delle pipeline delle attestazioni e Ruolo del motore delle attestazioni.

Cosa sono i tipi di attestazioni?

Un tipo di attestazione fornisce contesto per il valore dell'attestazione. Viene in genere espresso come Uniform Resource Identifier (URI). AD FS può supportare qualsiasi tipo di attestazione ed è configurato per impostazione predefinita con i tipi di attestazioni riportati nella tabella seguente.

Nome Descrizione URI
Indirizzo di posta elettronica Indirizzo di posta elettronica dell'utente http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
Nome Nome (di battesimo) dell'utente http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
Nome Nome univoco dell'utente http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
UPN Il nome dell'entità utente (UPN) dell'utente http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
Nome comune Nome comune dell'utente http://schemas.xmlsoap.org/claims/CommonName
Indirizzo di posta elettronica AD FS 1.x Indirizzo di posta elettronica dell'utente quando interagisce con AD FS 1.1 o AD FS 1.0 http://schemas.xmlsoap.org/claims/EmailAddress
Raggruppa Gruppo a cui appartiene l'utente http://schemas.xmlsoap.org/claims/Group
UPN AD FS 1.x UPN dell'utente quando interagisce con AD FS 1.1 o AD FS 1.0 http://schemas.xmlsoap.org/claims/UPN
Ruolo Ruolo dell'utente http://schemas.microsoft.com/ws/2008/06/identity/claims/role
Surname Cognome dell'utente http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
PPID Identificatore privato dell'utente http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier
Identificatore nome Identificatore nome SAML dell'utente http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
Metodo di autenticazione Metodo usato per autenticare l'utente http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
SID gruppo di sola negazione SID di gruppo di sola negazione dell'utente http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid
SID primario di sola negazione SID primario di sola negazione dell'utente http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid
SID gruppo primario di sola negazione SID di gruppo primario di sola negazione dell'utente http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid
SID gruppo SID di gruppo dell'utente http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid
SID gruppo primario SID di gruppo primario dell'utente http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid
SID primario SID primario dell'utente http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
Nome account Windows Nome account di dominio dell'utente in formato <dominio>\<utente> http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname

Cosa sono le descrizioni di attestazioni?

Le descrizioni di attestazioni sono rappresentate da un elenco di tipi di attestazioni supportati da AD FS e che possono essere pubblicati nei metadati federativi. I tipi di attestazioni menzionati nella tabella precedente vengono configurati come descrizioni di attestazioni nello snap-in Gestione di AD FS.

La raccolta di descrizioni di attestazioni che verrà pubblicata nei metadati federativi è archiviata nel database di configurazione di ADFS. Tali descrizioni di attestazioni vengono usate da vari componenti del servizio federativo.

Ogni descrizione di attestazione include URI, nome, stato di pubblicazione e descrizione per il tipo di attestazione. È possibile gestire la raccolta di descrizioni attestazioni usando il nodo Descrizioni attestazioni nello snap-in Gestione di AD FS. È possibile modificare lo stato di pubblicazione di una descrizione di un'attestazione usando lo snap-in. Sono disponibili le impostazioni seguenti:

  • Pubblica l'attestazione nei metadati federativi come tipo di attestazione accettabile da questo servizio federativo (pubblica come accettato) - Indica i tipi di attestazione che verranno accettati da altri provider di attestazioni da questo servizio federativo.

  • Pubblica l'attestazione nei metadati federativi come tipo di attestazione inviabile da questo servizio federativo (pubblica come inviato) - Indica i tipi di attestazione che verranno offerti da questo servizio federativo. Questi sono i tipi di attestazioni che il servizio federativo pubblica agli altri come tipi di attestazioni disponibili per l'invio. I tipi di attestazioni effettivi inviati dal provider di attestazioni sono spesso un sottoinsieme di questo elenco.

Per altre informazioni su come impostare lo stato di pubblicazione per un tipo di attestazione, vedere Aggiungere una descrizione di attestazione nella Guida alla distribuzione di AD FS.

Durante la generazione dei metadati federativi

Questi includono tutte le descrizioni di attestazioni contrassegnate per la pubblicazione.

Quando vengono elaborate le regole attestazione

Se si mantengono informazioni di configurazione relative alle descrizioni di attestazioni, risulterà più facile configurare regole relative alle attestazioni. Per altre informazioni sulle regole attestazione che possono essere usate nell'organizzazione del provider di attestazioni, vedere Ruolo delle regole attestazione.