クレーム ベースの ID モデルでは、要求はフェデレーション プロセスで極めて重要な役割を果たします。これらは、すべての Web ベースの認証と承認要求の結果が決定される主要なコンポーネントです。 このモデルにより、組織は、セキュリティとエンタープライズの境界を越えて、デジタル ID とエンタイトルメント権、または 要求を標準化された方法で安全に投影できます。
クレームとは
最も単純な形式では、要求は、主にインターネット上の任意の場所にあるクレーム ベースのアプリケーションへのアクセスを承認するために使用される、ユーザーに関する ステートメント (名前、ID、グループなど) です。 各ステートメントは、クレームに格納されたの値に対応します。
クレームの出所方法
Active Directory フェデレーション サービス (AD FS) のフェデレーション サービスは、フェデレーション パートナー間で交換される要求を定義します。 ただし、これを行う前に、最初に取得した値または計算値を使用して要求を設定またはソース化する必要があります。 各要求値は、ユーザー、グループ、またはエンティティの値を表し、次の 2 つの方法のいずれかで提供されます。
要求を構成する値が属性ストアから取得された場合 (たとえば、Sales Department の属性値が Active Directory ユーザー アカウントのプロパティから取得されたときなど)。 詳細については、「属性ストアの役割」を参照してください。
受信要求の値が、ルールで表されたロジックに基づいて別の値に変換される場合。 たとえば、ドメイン管理者の値を持つ受信要求が、送信要求として送信される前に Administrators の新しい値に変換される場合です。 詳細については、「要求規則の役割」を参照してください。
要求には、電子メール アドレス、ユーザー プリンシパル名 (UPN)、グループ メンバーシップ、その他のアカウント属性などの値を含めることができます。
要求フローの方法
他のパーティは、要求の値に依存して、ホストする Web ベースのアプリケーションの承認タスクを実行します。 これらの関係者は、AD FS 管理スナップインでは "証明書利用者" と呼ばれます。 フェデレーション サービスは、多くの異なる当事者間の信頼を仲介する役割を担います。 それは、要求を最初に提供する組織 (AD FS 管理スナップインでは "要求プロバイダー" とも呼ばれます) から証明書利用者への信頼された要求のやり取りを処理するように設計されています。 依存する主体は、これらのクレームを使用して承認の決定を行います。
このプロセスを使用した要求のフローは、要求パイプラインと呼ばれます。 要求パイプラインを介した要求のフローには、次の 3 つの手順があります。
要求プロバイダーから受信した要求は、クレーム プロバイダー信頼の受け入れ変換規則によって処理されます。 これらの規則によって、要求プロバイダーから受け入れられる要求が決まります。
受け入れ変換規則の出力は、発行承認規則への入力として使用されます。 これらの規則は、ユーザーが証明書利用者へのアクセスを許可されているかどうかを決定します。
受け入れ変換規則の出力は、発行変換規則への入力として使用されます。 これらの規則によって、信頼できる当事者に送信される要求が決まります。
詳細については、「クレームパイプラインの役割」を参照してください。
請求の実施方法
要求規則を記述する場合、要求規則の受信要求のソースは、要求プロバイダーの信頼または証明書利用者の信頼に関する規則を記述しているかどうかによって異なります。 要求プロバイダー信頼の要求規則を記述する場合、受信要求は信頼されたクレーム プロバイダーからフェデレーション サービスに送信される要求です。 証明書利用者信頼の規則を記述する場合、受信要求は、該当するクレーム プロバイダー信頼の要求規則によって出力される要求です。 受信要求と送信要求の詳細については、「要求パイプライン のロール」および「要求エンジンのロール」を参照してください。
要求の種類とは
要求の種類は、要求値のコンテキストを提供します。 通常、URI (Uniform Resource Identifier) として表されます。 AD FS は任意の種類の要求をサポートでき、既定では次の表の要求の種類で構成されています。
| 名前 | 説明 | URI |
|---|---|---|
| メルアド | ユーザーの電子メール アドレス | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
| 名前 | ユーザーの指定された名前 | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname |
| 名前 | ユーザーの一意の名前 | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
| UPN | ユーザーのユーザー プリンシパル名 (UPN) | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn |
| 共通名 | ユーザーの共通名 | http://schemas.xmlsoap.org/claims/CommonName |
| AD FS 1.x 電子メール アドレス | AD FS 1.1 または AD FS 1.0 と相互運用するときのユーザーの電子メール アドレス | http://schemas.xmlsoap.org/claims/EmailAddress |
| グループ | ユーザーがメンバーになっているグループ | http://schemas.xmlsoap.org/claims/Group |
| AD FS 1.x UPN | AD FS 1.1 または AD FS 1.0 と相互運用するときのユーザーの UPN | http://schemas.xmlsoap.org/claims/UPN |
| 役割 | ユーザーが持っているロール | http://schemas.microsoft.com/ws/2008/06/identity/claims/role |
| 名字 | ユーザーの姓 | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname |
| PPID | ユーザーのプライベート識別子 | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier |
| 名前識別子 | ユーザーの SAML 名識別子 | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
| 認証方法 | ユーザーの認証に使用されるメソッド | http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod |
| グループ SID のみを拒否設定する | ユーザーの拒否専用グループ SID | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid |
| プライマリ SID のみを拒否する | ユーザーの拒否専用プライマリ SID | http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid |
| 拒否専用プライマリ グループ SID | ユーザーの拒否専用プライマリ グループ SID | http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid |
| グループ SID | ユーザーのグループ SID | http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid |
| プライマリ グループ SID | ユーザーのプライマリ グループ SID | http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid |
| プライマリ SID | ユーザーのプライマリ SID | http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid |
| Windows アカウント名 | ユーザーのドメイン アカウント名 (<ドメイン>\<ユーザー> の形式) | http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname |
請求の説明とは何ですか?
要求の説明は、AD FS がサポートし、フェデレーション メタデータで公開できる要求の種類の一覧を表します。 前の表で説明した要求の種類は、AD FS 管理スナップインで要求の説明として構成されています。
フェデレーション メタデータに発行される要求の説明のコレクションは、AD FS 構成データベースに格納されます。 これらの要求の説明は、フェデレーション サービスのさまざまなコンポーネントで使用されます。
各要求の説明には、要求の種類の URI、名前、発行状態、および説明が含まれます。 AD FS 管理スナップインの 要求の説明 ノードを使用して、要求の説明コレクションを管理できます。 スナップインを使用して、要求の説明の発行状態を変更できます。 次の設定を使用できます。
フェデレーション サービスが を受け入れることができる要求の種類としてフェデレーション メタデータにこの要求を発行する (承認済みとして発行する) - このフェデレーション サービスによって他のクレーム プロバイダーから受け入れられる要求の種類を示します。
フェデレーション サービスが を送信できる要求の種類 (送信済みとして発行) としてフェデレーション メタデータにこの要求を発行します。このフェデレーション サービスによって提供される要求の種類を示します。 フェデレーション サービスが他に公開し、送信する意思がある要求の種類です。 クレーム プロバイダーによって送信される実際の要求の種類は、多くの場合、この一覧のサブセットです。
要求の種類の発行状態を設定する方法の詳細については、「AD FS 展開ガイド」の「要求の説明 を追加する」を参照してください。
フェデレーション メタデータを生成する場合
フェデレーション メタデータには、発行用にマークされているすべての要求の説明が含まれます。
要求規則が処理される場合
要求の説明に関する構成情報を保持すると、要求に関する規則を簡単に構成できます。 要求プロバイダー組織で使用できる要求規則の詳細については、「要求規則の役割」を参照してください。