Роль утверждений
В модели идентификации на базе утверждений утверждения играют жизненно важную роль в процессе федерирования. Это ключевой компонент, определяющий исход всех запросов на аутентификацию и авторизацию в Интернете. Эта модель позволяет организациям безопасно проецировать права, связанные с цифровыми удостоверениями, и права владельца (или утверждения), невзирая на границы системы безопасности и предприятия с использованием стандартных механизмов.
Что такое утверждения?
Проще говоря, утверждения — это обычные заявления (например, имя, удостоверение, группа) о пользователях, используемые в основном для авторизации доступа к приложениям на базе утверждений, расположенным в любой точке Интернета. Каждое заявление соответствует значению, которое хранится в утверждении.
Источники утверждений
Служба федерации в службы федерации Active Directory (AD FS) (AD FS) определяет, какие утверждения обмениваются между федеративными партнерами. Однако до этого система должна заполнить утверждение извлеченным или вычисленным значением либо найти утверждение с нужным значением. Каждое значение утверждения представляет значение пользователя, группы или сущности. Существуют следующие источники этих значений.
Значение, составляющее утверждение, извлекается из хранилища атрибутов, например, в том случае, когда значение атрибута отдела продаж извлекается из свойств учетной записи пользователя Active Directory. Дополнительные сведения см. в разделе The Role of Attribute Stores.
Значение входящего утверждения трансформируется в другое значение на основании логики, реализованной в правиле. Например, если входящее утверждение со значением "Администраторы домена" преобразуется в новое значение "Администраторы" перед отправкой в качестве исходящего утверждения. Дополнительные сведения см. в разделе The Role of Claim Rules.
Правила могут включать значения, такие как адрес эл. почты, имя участника-пользователя, членство в группе и другие атрибуты учетных записей.
Принципы потока утверждений
Другие стороны используют значения утверждений для выполнения задач авторизации для веб-приложений, которые в них размещены. Эти стороны называются проверяющими сторонами в оснастке управления AD FS. Служба федерации выступает в роли доверителя между различными сторонами. Он предназначен для обработки и потоков доверенного обмена утверждениями из организации, которая изначально источник утверждений, также называется поставщиками утверждений в оснастке управления AD FS, на проверяющую сторону. Затем проверяющая сторона использует эти утверждения для принятия решений об авторизации.
Поток утверждений, осуществляемый по вышеописанной схеме, известен как канал утверждений. Поток утверждений перемещается по каналу утверждений в три этапа.
Утверждения, полученные от поставщика утверждений, обрабатываются правилами преобразования приемки в отношениях доверия с поставщиком утверждений. Эти правила определяют, какие утверждения принимаются от поставщика утверждений.
Вывод правил преобразования приемки используется как ввод для правил авторизации выпуска. Эти правила определяют, разрешен ли пользователю доступ к проверяющей стороне.
Вывод правил преобразования приемки используется как ввод для правил преобразования выпуска. Эти правила определяют, какие утверждения будут отправлены проверяющей стороне.
Дополнительные сведения см. в разделе The Role of the Claims Pipeline
Выпуск утверждений
При создании правил утверждений источник входящих утверждений для правил утверждений варьируется в зависимости от того, пишутся ли правила на основании отношений доверия с поставщиком утверждений или отношений доверия с проверяющей стороной. При создании правил утверждений для отношений доверия с поставщиком утверждений входящие утверждения — это утверждения, отправляемые от доверенного поставщика утверждений в службу федерации. При создании правил для отношений доверия с проверяющей стороной входящие утверждения — это утверждения, выводимые правилами утверждений соответствующих отношений доверия с поставщиком утверждений. Дополнительные сведения о входящих и исходящих утверждениях см. в разделах The Role of the Claims Pipeline и The Role of the Claims Engine.
Что такое типы утверждений?
Тип утверждения предоставляет контекст для значения утверждения. Как правило, он выражается в виде универсального кода ресурсов (URI). AD FS может поддерживать любой тип утверждения, и он настраивается с типами утверждений в следующей таблице по умолчанию.
| Имя | Описание | URI-адрес |
|---|---|---|
| Адрес электронной почты | Адрес эл. почты пользователя | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
| Заданное имя | Заданное имя пользователя | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname |
| Имя. | Уникальное имя пользователя | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
| UPN | Имя участника-пользователя (UPN) этого пользователя | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn |
| Общее имя | Общее имя пользователя | http://schemas.xmlsoap.org/claims/CommonName |
| AD FS 1.x адрес эл. почты | Адрес электронной почты пользователя при взаимодействии с AD FS 1.1 или AD FS 1.0 | http://schemas.xmlsoap.org/claims/EmailAddress |
| Групповой | Группа, членом которой является пользователь | http://schemas.xmlsoap.org/claims/Group |
| AD FS 1.x имя участника-пользователя | Имя участника-пользователя при взаимодействии с AD FS 1.1 или AD FS 1.0 | http://schemas.xmlsoap.org/claims/UPN |
| Role | Роль пользователя | http://schemas.microsoft.com/ws/2008/06/identity/claims/role |
| Surname | Фамилия пользователя | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname |
| PPID | Частный идентификатор пользователя | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier |
| Идентификатор имени | Идентификатор имени SAML пользователя | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
| Метод проверки подлинности | Метод, используемый для аутентификации пользователя | http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod |
| SID группы "только запрет" | ИД безопасности (SID) группы "только запрет" пользователя. | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid |
| Основной SID "только запрет" | Основной ИД безопасности (SID) "только запрет" пользователя | http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid |
| SID основной группы "только запрет" | ИД безопасности (SID) основной группы "только запрет" пользователя. | http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid |
| SID группы | ИД безопасности (SID) группы пользователя | http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid |
| SID основной группы | ИД безопасности (SID) основной группы пользователя | http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid |
| Основной SID | Основной ИД безопасности (SID) пользователя | http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid |
| Имя учетной записи Windows | Имя учетной записи домена пользователя в виде <домена>\<user> | http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname |
Что такое описания утверждений
Описания утверждений представляют список типов утверждений, поддерживаемых AD FS, и которые могут быть опубликованы в метаданных федерации. Типы утверждений, упоминание в предыдущей таблице, настраиваются в качестве описаний утверждений в оснастке управления AD FS.
Коллекция описаний утверждений, которые будут опубликованы в метаданных федерации, хранится в базе данных конфигурации AD FS. Эти описания утверждений используются разными компонентами службы федерации.
Каждое описание утверждения включает универсальный код ресурсов (URI), имя, статус публикации и описание. Вы можете управлять коллекцией описаний утверждений с помощью узла "Описания утверждений" в оснастке управления AD FS. Можно также с помощью этой оснастки изменить статус публикации определения утверждения. Доступны следующие параметры:
Опубликовать это утверждение в метаданных федерации как тип утверждения, принимаемый этой службой федерации (Опубликовать как принятое) — обозначает типы утверждений, которые будут приняты этой службой федерации от других поставщиков утверждений.
Опубликовать это утверждение в метаданных федерации как тип утверждения, отправляемый этой службой федерации (Опубликовать как отправленное) — обозначает типы утверждений, предлагаемые этой службой федерации. Это типы утверждений, публикуемые службой федерации для других сторон как разрешенные к отправке. Типы утверждений, фактически отправляемые поставщиком утверждений, часто представляют собой подмножество этого списка.
Дополнительные сведения о настройке состояния публикации типа утверждения см. в руководстве по развертыванию AD FS.
При создании метаданных федерации
Метаданные федерации включают все описания утверждений, помеченные для публикации.
При обработке правил утверждений
Если сведения конфигурации об описаниях утверждений сохранены, настроить правила об утверждениях проще. Дополнительные сведения о правилах утверждений, которые можно использовать в организации поставщика утверждений, см. в разделе The Role of Claim Rules.