Condividi tramite


Ruolo della pipeline delle attestazioni

La pipeline delle attestazioni in Active Directory Federation Services (AD FS) rappresenta il percorso che le attestazioni devono seguire nel Servizio federativo prima di essere rilasciate. Il Servizio federativo gestisce l'intero processo end-to-end di flusso delle attestazioni nelle diverse fasi della pipeline delle attestazioni, che include anche l'elaborazione delle regole attestazione da parte del motore delle regole attestazione.

Per ulteriori informazioni sulle regole di attestazione, vedere ruolo delle attestazioni regole. Per altre informazioni su come il motore delle regole attestazioni elabora le regole, vedere The Role of the Claims Engine.

La sezione seguente illustra più in dettaglio il processo gestito dal Servizio federativo.

Processo della pipeline delle attestazioni

Il processo della pipeline delle attestazioni è costituito da tre fasi principali. Ogni fase del processo inizializza il motore delle regole attestazioni per l'elaborazione delle regole attestazioni specifiche di tale fase. Queste fasi includono (in ordine di esecuzione):

  1. Accettazione delle attestazioni in ingresso: questa fase della pipeline delle attestazioni viene usata per estrarre le attestazioni in ingresso dal token ed eliminare quelle non previste o non attendibili. Dopo l'estrazione, vengono eseguite le regole di accettazione che costituiscono il set di regole di trasformazione accettazione per un trust del provider di attestazioni. Queste regole possono essere usate per passare o aggiungere nuove attestazioni che possono quindi essere usate nelle fasi successive delle pipeline delle attestazioni. L'output di questa fase viene usato come input per la seconda e la terza fase.

  2. Autorizzazione del richiedente delle attestazioni: questa fase viene usata dal motore delle attestazioni per rilasciare attestazioni che consentono o negano l'accesso a seconda che al richiedente di un token sia consentito ottenere o meno un token per la relying party specificata. Tuttavia, prima ancora, devono essere eseguite le regole di autorizzazione che costituiscono il set di regole di autorizzazione rilascio o il set di regole di autorizzazione di delega per un trust della relying party.

  3. Rilascio di attestazioni in uscita: questa fase viene usata per rilasciare le attestazioni in uscita e inviarle lungo la pipeline dove verranno inserite in un token di sicurezza. Tuttavia, prima ancora, vengono eseguite le regole di rilascio che costituiscono il set di regole di trasformazione rilascio per un trust della relying party e viene così determinato quali attestazioni verranno rilasciate come attestazioni in uscita.

Tutte e tre le fasi eseguono l'elaborazione delle regole di attestazione, ma usano un set di regole diverso. Come descritto sopra, a ogni fase è associato un set di regole in base all'emittente delle attestazioni in ingresso (regole di accettazione) o al servizio di destinazione per cui vengono rilasciate le attestazioni (regole di autorizzazione e rilascio).

Le attestazioni sono indipendenti dai token, ma vengono trasmesse in rete incapsulate in token di sicurezza. Le regole attestazioni vengono applicate alle attestazioni indipendentemente dal formato del token di sicurezza in ingresso o in uscita.

Le regole delle attestazioni contengono la logica definita dall'amministratore in base alla quale il motore delle attestazioni accetterà le attestazioni in uscita, autorizzerà le attestazioni in base all'identità del richiedente e rilascerà le attestazioni necessarie per una relying party. Infine, è il motore delle attestazioni a determinare quali attestazioni entreranno nel token di sicurezza che verrà rilasciato al termine del flusso dell'attestazione nella pipeline delle attestazioni.

Come mostrato nella seguente illustrazione, la pipeline delle attestazioni è responsabile dell'intero processo end-to-end di flusso di un'attestazione nelle diverse fasi della pipeline per finire con il rilascio di un'attestazione che verrà inviata su un trust della relying party. L'attestazione in uscita nell'illustrazione rappresenta l'attestazione rilasciata.

AD FS roles

Anche se non è mostrato nell'illustrazione, è il motore delle attestazioni a eseguire la vera e propria elaborazione delle regole in ogni fase. Per ulteriori informazioni, vedere il ruolo del motore di attestazioni.