Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W modelu tożsamości opartym na oświadczeniach oświadczenia odgrywają kluczową rolę w procesie federacji, są one kluczowym składnikiem, za pomocą którego są określane wyniki wszystkich żądań uwierzytelniania i autoryzacji opartych na sieci Web. Ten model umożliwia organizacjom bezpieczne przekazywanie tożsamości cyfrowej i uprawnień lub oświadczeń przez granice zabezpieczeń i przedsiębiorstw w ustandaryzowany sposób.
Co to są oświadczenia?
W najprostszej formie, oświadczenia to po prostu stwierdzenia (na przykład nazwa, tożsamość, grupa), które są używane głównie do autoryzacji dostępu do aplikacji opartych na oświadczeniach, znajdujących się w dowolnym miejscu w Internecie. Każde stwierdzenie odpowiada wartości przechowywanej w roszczeniu.
Jak są pozyskiwane oświadczenia
Usługa federacyjna w usługach Active Directory Federation Services (AD FS) definiuje, które oświadczenia są wymieniane między partnerami federacyjnymi. Jednak zanim będzie można to zrobić, musi najpierw wypełnić lub uzyskać dane oświadczenia przy użyciu wartości pobranej lub obliczonej. Każda wartość oświadczenia reprezentuje wartość użytkownika, grupy lub jednostki i jest źródłowa na jeden z dwóch sposobów:
Gdy wartość tworząca oświadczenie jest pobierana z magazynu atrybutów, na przykład gdy wartość atrybutu działu sprzedaży jest pobierana z właściwości konta użytkownika usługi Active Directory. Aby uzyskać więcej informacji, zobacz Role of Attribute Stores (Rola magazynów atrybutów).
Gdy wartość wpływającego roszczenia jest przekształcana w inną wartość na podstawie logiki wyrażonej w regule. Na przykład, gdy przychodzące oświadczenie o wartości Administratorzy domeny zostanie przekształcone na nową wartość Administratorzy przed wysłaniem go jako oświadczenie wychodzące. Aby uzyskać więcej informacji, zobacz Rola reguł oświadczeń.
Oświadczenia mogą zawierać wartości, takie jak adres e-mail, główna nazwa użytkownika (UPN), członkostwo w grupie i inne atrybuty konta.
Przepływ roszczeń
Inne podmioty polegają na wartościach twierdzeń, aby wykonywać zadania autoryzacyjne dla aplikacji internetowych, które hostują. Te strony są określane jako jednostki uzależnione w przystawce zarządzania usługAMI AD FS. Serwis federacyjny jest odpowiedzialny za pośredniczenie w zaufaniu między wieloma różnymi stronami. Jest przeznaczony do przetwarzania i przepływu zaufanie przekazywanych oświadczeń z organizacji dostarczającej pierwotne oświadczenia, nazywanej również dostawcami oświadczeń w przystawce zarządzania usługami AD FS, do strony ufającej. Następnie strona opierająca się używa tych oświadczeń do podejmowania decyzji dotyczących autoryzacji.
Przepływ oświadczeń korzystających z tego procesu jest nazywany potokiem oświadczeń. Trzy etapy przepływu roszczeń w ramach potoku roszczeń:
Oświadczenia otrzymane od dostawcy są przetwarzane zgodnie z regułami akceptacji zaufania dostawcy oświadczeń. Te reguły określają, które oświadczenia są akceptowane przez dostawcę oświadczeń.
Dane wyjściowe reguł transformacji akceptacji są wykorzystywane jako dane wejściowe reguł autoryzacji wydawania. Te reguły określają, czy użytkownik może uzyskać dostęp do strony polegającej.
Dane wyjściowe reguł transformacji akceptacji są używane jako dane wejściowe reguł transformacji wydawania. Te reguły określają oświadczenia, które zostaną wysłane do strony polegającej na nich.
Aby uzyskać więcej informacji, zobacz Rola procesu obsługi roszczeń
Jak są wystawiane oświadczenia
Podczas pisania reguł oświadczeń źródło oświadczeń przychodzących, które dotyczą reguł oświadczeń, różni się w zależności od tego, czy piszesz reguły dotyczące zaufania dostawcy oświadczeń, czy zaufania strony polegającej. Podczas pisania reguł oświadczeń dla zaufania dostawcy oświadczeń, oświadczenia przychodzące to te wysyłane od zaufanego dostawcy do usługi federacyjnej. Podczas pisania reguł dla relacyjnego zaufania strony, przychodzące roszczenia są roszczeniami, które są wynikiem reguł roszczeń odpowiedniego zaufania dostawcy roszczeń. Aby uzyskać więcej informacji na temat roszczeń przychodzących i roszczeń wychodzących, zobacz Rola potoku roszczeń i Rola aparatu roszczeń.
Co to są typy oświadczeń?
Typ oświadczenia zawiera kontekst dla wartości oświadczenia. Zwykle jest ona wyrażana jako identyfikator URI (Uniform Resource Identifier). Usługa AD FS może obsługiwać dowolny typ oświadczenia i domyślnie jest skonfigurowana z typami oświadczeń w poniższej tabeli.
| Nazwa | Opis | URI |
|---|---|---|
| Adres email | Adres e-mail użytkownika | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
| Imię | Podana nazwa użytkownika | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname |
| Nazwa | Unikatowa nazwa użytkownika | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
| UPN | Główna nazwa użytkownika (UPN) użytkownika | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn |
| Nazwa pospolita | Nazwa pospolita użytkownika | http://schemas.xmlsoap.org/claims/CommonName |
| Adres e-mail usług AD FS 1.x | Adres e-mail użytkownika podczas współdziałania z usługami AD FS 1.1 lub AD FS 1.0 | http://schemas.xmlsoap.org/claims/EmailAddress |
| Grupa | Grupa, do którego należy użytkownik | http://schemas.xmlsoap.org/claims/Group |
| AD FS 1.x UPN | Nazwa UPN użytkownika podczas współdziałania z usługami AD FS 1.1 lub AD FS 1.0 | http://schemas.xmlsoap.org/claims/UPN |
| Rola | Rola, którą ma użytkownik | http://schemas.microsoft.com/ws/2008/06/identity/claims/role |
| Nazwisko | Nazwisko użytkownika | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname |
| IDENTYFIKATOR PPID | Prywatny identyfikator użytkownika | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier |
| Identyfikator nazw | Identyfikator nazwy SAML użytkownika | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
| Metoda uwierzytelniania | Metoda używana do uwierzytelniania użytkownika | http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod |
| Odmów tylko identyfikator SID grupy | Identyfikator SID grupy typu "tylko odmowa" użytkownika | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid |
| Odmów tylko podstawowy SID | SID główny użytkownika, tylko do odmowy | http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid |
| Odmów tylko SID grupy podstawowej | Identyfikator SID grupy podstawowej tylko dla odmowy użytkownika | http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid |
| Identyfikator SID grupy | Identyfikator SID grupy użytkownika | http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid |
| Identyfikator SID grupy podstawowej | Identyfikator SID grupy podstawowej użytkownika | http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid |
| Podstawowy identyfikator SID | Podstawowy identyfikator SID użytkownika | http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid |
| Nazwa konta systemu Windows | Nazwa konta domeny użytkownika w postaci <domeny>\<użytkownika> | http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname |
Co to są opisy roszczeń?
Opisy oświadczeń reprezentują listę typów oświadczeń, które usługi AD FS obsługują i które mogą być publikowane w metadanych federacji. Typy oświadczeń wymienione w poprzedniej tabeli są konfigurowane jako opisy oświadczeń w przystawce zarządzania AD FS.
Kolekcja opisów oświadczeń, które zostaną opublikowane w metadanych federacji, jest przechowywana w bazie danych konfiguracji usług AD FS. Te opisy roszczeń są używane przez różne elementy usługi federacyjnej.
Każdy opis oświadczenia zawiera identyfikator URI typu oświadczenia, nazwę, stan publikowania i opis. Można zarządzać kolekcją opisów oświadczeń za pomocą węzła Opisy oświadczeń w przystawce Zarządzanie usługami AD FS. Możesz zmodyfikować stan publikacji opisu roszczenia przy użyciu przystawki. Dostępne są następujące ustawienia:
Opublikuj to oświadczenie w metadanych federacji jako typ oświadczenia, który ta usługa federacyjna może zaakceptować (Publikuj jako zaakceptowane) — wskazuje typy oświadczeń, które zostaną zaakceptowane przez innych dostawców oświadczeń przez tę usługę federacyjną.
Opublikuj to oświadczenie w metadanych federacji jako typ oświadczenia, który może wysyłać ta usługa federacyjna (Publikowanie jako wysłane) — wskazuje typy oświadczeń, które są oferowane przez tę usługę federacyjną. Są to typy oświadczeń, które usługa federacyjna publikuje dla innych jako te, które jest chętna wysłać. Rzeczywiste typy oświadczeń wysyłane przez dostawcę oświadczeń są często podzbiorem tej listy.
Aby uzyskać więcej informacji na temat ustawiania stanu publikowania typu oświadczenia, zobacz Dodawanie opisu oświadczenia w przewodniku wdrażania usług AD FS.
Podczas generowania metadanych federacji
Metadane federacji zawierają wszystkie opisy oświadczeń oznaczone do publikowania.
Kiedy przetwarzane są reguły roszczeń
Podczas przechowywania informacji o konfiguracji opisów oświadczeń łatwiej jest skonfigurować reguły dotyczące oświadczeń. Aby uzyskać więcej informacji na temat reguł oświadczeń, które mogą być używane w organizacji dostawcy oświadczeń, zobacz Role of Claim Rules (Rola reguł oświadczeń).