在宣告型身分識別模型中,宣告在同盟程式中扮演關鍵角色,它們是決定所有 Web 型驗證和授權要求結果的關鍵元件。 此模型可讓組織以標準化的方式安全地投影數位身分識別和權利,或 聲明,跨越安全性和企業邊界。
什麼是索賠?
在其最簡單的形式中,宣告只是談論用戶的語句(例如,名稱、身份識別、群組),主要用於授權存取位於因特網上任何位置的基於宣告的應用程式。 每個語句都會對應至儲存在宣告中的 值 。
主張的來源方法
Active Directory 同盟服務 (AD FS) 中的同盟服務會定義在同盟夥伴之間交換的宣告。 不過,在可以這麼做之前,必須先填入要提供的值,這個值可以是一個擷取的值或計算的值。 每個權限宣告值都代表使用者、群組或實體的值,並以下列兩種來源之一取得:
例如,當從屬性商店擷取宣告的值時,例如從 Active Directory 使用者帳戶的屬性中擷取 Sales Department 的屬性值。 如需詳細資訊,請參閱 屬性存放區的角色。
當傳入宣告的值根據規則所表示的邏輯轉換成另一個值時。 例如,當具有 Domain Admins 值的輸入宣告在被轉換成 Administrators 的新值後傳送為輸出宣告。 如需詳細資訊,請參閱 宣告規則的角色。
宣稱可包含值,例如電子郵件地址、用戶主體名稱(UPN)、群組成員資格及其他帳戶屬性。
索賠流程如何運作
其他合作方依賴權益的值來執行其裝載之 Web 應用程式授權工作。 這些合作對象稱為AD FS管理嵌入式管理單元中的 信賴憑證者 。 聯盟服務負責在許多歧異方之間建立信任。 其設計目的是處理並引導信任的宣告交換,從一開始來源宣告的組織(也稱為 AD FS 管理嵌入式管理單元中的 宣告提供者),到達信賴方。 受信任方接著會使用這些宣告資訊來做出授權決策。
使用此程式的宣告流程稱為 宣告管線。 索賠流程中有三個步驟的索賠作業流程:
從宣告提供者收到的宣告會根據宣告提供者信任中的接受轉換規則進行處理。 這些規則會決定從宣告提供者接受哪些宣告。
接受轉換規則的輸出會做為發行授權規則的輸入。 這些規則會決定使用者是否被允許存取信賴方。
接受轉換規則的輸出會做為發行轉換規則的輸入。 這些規則會決定將傳送給信賴方的宣告。
如需詳細資訊,請參閱 索賠管線的功能
如何發出理賠
當您撰寫宣告規則時,連入宣告的來源會根據您是撰寫宣告提供者信任的規則還是信賴方信任的規則而有所不同。 當您撰寫宣告提供者信任的宣告規則時,傳入宣告是從信任的宣告提供者傳送至同盟服務的宣告。 當您撰寫受信方信任的規則時,傳入的宣告是由相關宣告提供者信任關係的宣告規則所輸出的宣告。 如需傳入宣告和傳出宣告的詳細資訊,請參閱 宣告管線的角色 和 宣告引擎的角色。
什麼是宣告類型?
宣告類型為宣告值提供上下文。 它通常以統一資源標識碼(URI) 表示。 AD FS 可以支援任何宣告類型,而且預設會使用下表中的宣告類型進行設定。
| 名稱 | 說明 | URI(統一資源識別碼) |
|---|---|---|
| 電子郵件位址 | 用戶的電子郵件位址 | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
| 名字 | 使用者指定的名稱 | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname |
| 名稱 | 使用者的唯一名稱 | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
| UPN(前美國電視網絡) | 使用者的使用者主體名稱 (UPN) | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn |
| 一般名稱 | 使用者的一般名稱 | http://schemas.xmlsoap.org/claims/CommonName |
| AD FS 1.x 電子郵件位址 | 與 AD FS 1.1 或 AD FS 1.0 互作時,使用者的電子郵件位址 | http://schemas.xmlsoap.org/claims/EmailAddress |
| 群體 | 用戶所屬的群組 | http://schemas.xmlsoap.org/claims/Group |
| AD FS 1.x UPN | 使用者的 UPN 在與 AD FS 1.1 或 AD FS 1.0 互通時 | http://schemas.xmlsoap.org/claims/UPN |
| 角色 | 用戶擁有的角色 | http://schemas.microsoft.com/ws/2008/06/identity/claims/role |
| Surname | 使用者的姓氏 | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname |
| PPID | 使用者的私人標識碼 | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier |
| 名稱標識碼 | 使用者的 SAML 名稱識別碼 | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
| 驗證方法 | 用來驗證使用者的方法 | http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod |
| 僅拒絕群組安全識別碼 (SID) | 使用者的專屬拒絕群組 SID | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid |
| 僅拒絕主要身份識別號 (SID) | 使用者僅限拒絕的主要 SID | http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid |
| 僅拒絕主要群組的安全識別碼(SID) | 使用者的僅拒絕主要群組 SID | http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid |
| 群組 SID | 使用者的群組 SID | http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid |
| 主要群組 SID | 使用者的主要群組 SID | http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid |
| 主要 SID | 使用者的主要 SID | http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid |
| Windows 帳戶名稱 | 用戶的網域帳戶名稱以<domain>\<user>的形式呈現。 | http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname |
什麼是索賠描述?
宣告描述表示 AD FS 支援的宣告類型,這些類型可能會發佈在同盟中繼資料中。 先前表格中提到的宣告類型在 AD FS 管理控制台中被配置為宣告描述。
將發行至同盟元數據的宣告描述集合會儲存在AD FS組態資料庫中。 聯盟服務的各種元件會使用這些宣告描述。
每個宣告描述都包含宣告類型URI、名稱、發佈狀態和描述。 您可以使用 AD FS 管理嵌入式管理單元中的 [宣告描述 ] 節點來管理宣告描述集合。 您可以使用附加元件來修改索賠描述的發佈狀態。 以下是可用的設定:
將此宣告發佈在同盟元數據中,做為此同盟服務可以接受的宣告類型 (發佈為已接受)—指出此同盟服務將接受的其他宣告提供者所接受的宣告類型。
將此宣告發佈在同盟元數據中,做為此同盟服務可以傳送的宣告類型 (發佈為 Sent)—指出此同盟服務所提供的宣告類型。 這些是聯邦服務向外界發佈的宣告類型,作為它願意傳送的類型。 宣告提供者所傳送的實際宣告類型通常是這份清單的子集。
如需如何設定宣告類型發佈狀態的詳細資訊,請參閱AD FS部署指南中的 新增宣告描述 。
產生同盟元數據時
聯邦元數據包含標示為發佈的所有聲明描述。
處理宣告規則時
當您保留宣告描述的組態資訊時,您可以更輕鬆地設定宣告的相關規則。 如需可在宣告提供者組織中使用之宣告規則的詳細資訊,請參閱 宣告規則的角色。