Роль конвейера утверждений

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Конвейер утверждений в службах федерации Active Directory (AD FS) представляет путь, который должны пройти утверждения через службу федерации, прежде чем их можно будет выпустить. Служба федерации управляет всем комплексным процессом потоков утверждений через различные этапы конвейера утверждений, который также включает обработку правил утверждений подсистемой правил утверждений.

Дополнительные сведения о правилах утверждений см. в разделе Роль правил утверждений. Дополнительные сведения о том, как обработчик правил утверждений обрабатывает правила, см. в разделе Роль подсистемы утверждений.

В следующем разделе рассматривается процесс, который служба федерации контролирует более подробно.

Процесс обработки заявок

Процесс обработки заявлений состоит из трех основных этапов. Каждый этап этого процесса инициализирует обработчик правил утверждений для обработки правил утверждений, относящихся к этому этапу. Эти этапы включают (в порядке их возникновения):

1. Принятие входящих утверждений — этот этап в конвейере утверждений используется для извлечения входящих утверждений из токена и устранения утверждений, которые не ожидались или не являются доверенными. После извлечения выполняются правила преобразования принятия, составляющие набор правил для доверительного отношения к поставщику утверждений. Эти правила можно использовать для передачи или добавления новых утверждений, которые затем можно использовать на последующих этапах конвейера утверждений. Выходные данные этого этапа используются в качестве входных данных для второго и третьего этапа.

2. Авторизация запрашивающего права — этот этап используется обработчиком утверждений для выдачи разрешения или отказа в утверждениях на основе того, разрешен ли запрашивающий токен для указанной стороны, на которую полагаются, или нет. Однако прежде чем это может произойти, выполняются правила авторизации, составляющие набор правил авторизации выдачи или правило авторизации делегирования для доверия проверяющей стороны.

3. Выдача исходящих утверждений— этот этап используется для выдачи исходящих утверждений и отправки их вдоль конвейера, где они будут упаковываться в маркер безопасности. Тем не менее, прежде чем это может произойти, выполняются правила выдачи, составляющие набор правил преобразования выдачи для доверенного партнера, что определяет, какие утверждения будут выданы в качестве исходящих.

Все три этапа выше выполняют обработку правил утверждений, но используют другой набор правил. Как описано выше, каждый этап имеет связанный набор правил, основанных либо на источнике входящих утверждений (правила принятия), либо на целевой службе, для которой утверждения выдаются (правила авторизации и выдачи).

Утверждения не зависят от токенов, но передаются по сети, инкапсулированной в маркерах безопасности. Правила претензий работают с претензиями независимо от формата входящего или исходящего токена безопасности.

Правила утверждений содержат логику, определяемую администратором, с помощью которой обработчик утверждений будет принимать входящие утверждения, авторизовать утверждения на основе удостоверения запрашивающего и выдавать утверждения, необходимые проверяющей стороне. В конечном счете, это обработчик утверждений, определяющий, какие утверждения войдут в токен безопасности, который будет выдан после прохождения утверждения через конвейер утверждений.

Как показано на следующем рисунке, процесс обработки утверждений отвечает за весь комплексный процесс прохождения утверждения через различные этапы, чтобы в конечном итоге получить выданное утверждение, которое будет отправлено доверительной стороне. Исходящая заявка на рисунке представляет выданную заявку.

роли AD FS

Хотя на рисунке он не показан, это обработчик утверждений, который выполняет фактическую обработку правил на каждом этапе. Дополнительные сведения см. в разделе Роль подсистемы утверждений.