Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In het identiteitsmodel op basis van claims spelen claims een centrale rol in het federatieproces. Dit is het belangrijkste onderdeel waarmee het resultaat van alle webverificatie- en autorisatieaanvragen wordt bepaald. Met dit model kunnen organisaties veilig digitale identiteiten en rechten projecteren, of claims, over beveiligings- en organisatiegrenzen heen, op een gestandaardiseerde manier.
Wat zijn claims?
In de eenvoudigste vorm zijn claims eenvoudigweg verklaringen (zoals naam, identiteit, groep) over gebruikers, die voornamelijk worden gebruikt voor het autoriseren van toegang tot claim-gebaseerde toepassingen die overal op het internet kunnen zijn gevestigd. Elke stelling komt overeen met een waarde die is opgeslagen in de claim.
Hoe claims worden verkregen
De Federation Service in Active Directory Federation Services (AD FS) definieert welke claims worden uitgewisseld tussen federatieve partners. Voordat het dit kan doen, moet de claim echter eerst worden gevuld of voorzien van een opgehaalde waarde of een berekende waarde. Elke claimwaarde vertegenwoordigt een waarde van een gebruiker, groep of entiteit en is op twee manieren afkomstig:
Wanneer de waarde waaruit de claim bestaat, wordt opgehaald uit een kenmerkarchief, bijvoorbeeld wanneer een kenmerkwaarde van verkoopafdeling wordt opgehaald uit de eigenschappen van een Active Directory-gebruikersaccount. Voor meer informatie, zie De rol van attributenopslag.
Wanneer de waarde van een binnenkomende claim wordt omgezet in een andere waarde op basis van de logica die in een regel wordt uitgedrukt. Wanneer een binnenkomende claim met de waarde van Domeinadministratoren bijvoorbeeld wordt omgezet in een nieuwe waarde van Administrators voordat deze als een uitgaande claim wordt verzonden. Zie De rol van claimregelsvoor meer informatie.
Claims kunnen waarden bevatten, zoals een e-mailadres, UPN (User Principal Name), groepslidmaatschap en andere accountkenmerken.
Hoe claimprocessen verlopen
Andere partijen zijn afhankelijk van de waarden van de claims voor het uitvoeren van autorisatietaken voor webtoepassingen die ze hosten. Deze partijen worden relying party's genoemd in de AD FS-beheerconsole. De Federation Service is verantwoordelijk voor het brokeren van vertrouwen tussen veel verschillende partijen. Het is ontworpen om de vertrouwde uitwisseling van claims te verwerken en door te geven van een organisatie die aanvankelijk de claims aanlevert, ook wel aangeduid als claimproviders in de AD FS Management-module, naar een relying party. Een vertrouwende partij gebruikt deze claims vervolgens om autorisatiebeslissingen te nemen.
De stroom van claims die dit proces gebruiken, wordt de pijplijn claimsgenoemd. Er zijn drie stappen in de stroom van claims via de claimpijplijn:
De claims die van de claimprovider worden ontvangen, worden verwerkt door de transformatieregels die van toepassing zijn op de acceptatie binnen de vertrouwensrelatie van de claimprovider. Deze regels bepalen welke claims worden geaccepteerd van de claimprovider.
De uitvoer van de transformatieregels voor acceptatie wordt gebruikt als invoer voor de autorisatieregels voor uitgifte. Deze regels bepalen of de gebruiker toegang krijgt tot de vertrouwende partij.
De uitvoer van de acceptatietransformatieregels wordt gebruikt als invoer voor de uitgiftetransformatieregels. Deze regels bepalen welke claims naar de relying party worden verzonden.
Zie De rol van de claimpijplijn voor meer informatie
Hoe claims worden uitgegeven
Wanneer u claimregels schrijft, varieert de bron van de binnenkomende claims voor de claimregels, afhankelijk van of u regels schrijft voor een vertrouwensrelatie van een claimprovider of een relying party-vertrouwensrelatie. Wanneer u claimregels schrijft voor een vertrouwensrelatie van een claimprovider, worden de binnenkomende claims verzonden van de vertrouwde claimprovider naar de Federation Service. Wanneer u regels schrijft voor een vertrouwensrelatie van een relying party, zijn de binnenkomende claims de claims die worden uitgevoerd door de claimregels van de toepasselijke vertrouwensrelatie van de claimprovider. Zie De rol van de claimpijplijn en De rol van de claimenginevoor meer informatie over binnenkomende claims en uitgaande claims.
Wat zijn claimtypen?
Een claimtype biedt context voor de claimwaarde. Deze wordt meestal uitgedrukt als een URI (Uniform Resource Identifier). AD FS kan elk claimtype ondersteunen en wordt standaard geconfigureerd met de claimtypen in de volgende tabel.
| Naam | Beschrijving | URI |
|---|---|---|
| E-mailadres | Het e-mailadres van de gebruiker | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
| Voornaam | De opgegeven naam van de gebruiker | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname |
| Naam | De unieke naam van de gebruiker | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
| UPN | De UPN (User Principal Name) van de gebruiker | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn |
| Algemene naam | De algemene naam van de gebruiker | http://schemas.xmlsoap.org/claims/CommonName |
| AD FS 1.x e-mailadres | Het e-mailadres van de gebruiker bij samenwerking met AD FS 1.1 of AD FS 1.0 | http://schemas.xmlsoap.org/claims/EmailAddress |
| Groep | Een groep waarvan de gebruiker lid is | http://schemas.xmlsoap.org/claims/Group |
| AD FS 1.x UPN | De UPN van de gebruiker bij samenwerking met AD FS 1.1 of AD FS 1.0 | http://schemas.xmlsoap.org/claims/UPN |
| Rol | Een rol die de gebruiker heeft | http://schemas.microsoft.com/ws/2008/06/identity/claims/role |
| Achternaam | De achternaam van de gebruiker | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname |
| PPID | De persoonlijke id van de gebruiker | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier |
| Naam-id | De SAML-naam-id van de gebruiker | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
| Verificatiemethode | De methode die wordt gebruikt om de gebruiker te verifiëren | http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod |
| Alleen groeps-SID weigeren | De groeps-SID voor alleen weigeren van de gebruiker | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid |
| Alleen primaire SID weigeren | De primaire SID van de gebruiker die uitsluitend voor weigeren is | http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid |
| Alleen de SID van de primaire groep weigeren | De alleen-weigerende primaire groep SID van de gebruiker | http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid |
| Groep SID | De groeps-SID van de gebruiker | http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid |
| Primaire groeps-SID | De primaire groeps-SID van de gebruiker | http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid |
| Primaire SID | De primaire SID van de gebruiker | http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid |
| Windows-accountnaam | De domeinnaam van de gebruiker in de vorm van <domein>\<gebruiker> | http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname |
Wat zijn claimbeschrijvingen?
Claimbeschrijvingen vertegenwoordigen een lijst met claimtypen die AD FS ondersteunt en die kunnen worden gepubliceerd in federatiemetagegevens. De claimtypen die in de vorige tabel worden genoemd, zijn geconfigureerd als claimbeschrijvingen in de AD FS-beheerinvoegtoepassing.
De verzameling claimbeschrijvingen die worden gepubliceerd naar federatiemetagegevens wordt opgeslagen in de AD FS-configuratiedatabase. Deze claimbeschrijvingen worden gebruikt door verschillende onderdelen van de Federation Service.
Elke claimbeschrijving bevat een claimtype-URI, naam, publicatiestatus en beschrijving. U kunt de verzameling claimbeschrijvingen beheren met behulp van de Claim Beschrijvingen knooppunt in de AD FS-beheermodule. U kunt de publicatiestatus van een claimbeschrijving wijzigen met behulp van de module. De volgende instellingen zijn beschikbaar:
Deze claim publiceren in federatiemetagegevens als claimtype dat deze Federation-service kan accepteren (Publiceren als geaccepteerd)— Geeft de claimtypen aan die door deze Federation-service worden geaccepteerd door andere claimproviders.
Deze claim publiceren in federatiemetagegevens als claimtype dat deze Federation-service kan verzenden (publiceren als verzonden)— Geeft de claimtypen aan die worden aangeboden door deze Federation Service. Dit zijn de claimtypen die de Federation Service naar anderen publiceert die het bereid is te verzenden. De werkelijke claimtypen die door de claimprovider worden verzonden, zijn vaak een subset van deze lijst.
Zie Een claimbeschrijving toevoegen in de AD FS-implementatiehandleiding voor meer informatie over het instellen van de publicatiestatus van een claimtype.
Bij het genereren van federatiemetagegevens
Federatiemetagegevens bevatten alle claimbeschrijvingen die zijn gemarkeerd voor publicatie.
Wanneer claimregels worden verwerkt
Wanneer u configuratie-informatie over claimbeschrijvingen bewaart, is het eenvoudiger voor u om regels over claims te configureren. Zie De rol van claimregelsvoor meer informatie over de claimregels die kunnen worden gebruikt in de organisatie van de claimprovider.