Les revendications sont des instructions (nom, identité, clé, groupe, privilège ou fonctionnalité, par exemple) concernant des utilisateurs, et comprises par les deux partenaires dans une fédération AD FS (Active Directory Federation Service), qui servent à accorder des autorisations dans une application.

Le service de fédération AD FS répartit une approbation entre de nombreuses entités disparates. Il a été conçu pour permettre un échange approuvé de revendications contenant des valeurs arbitraires. Le tiers de réception (par exemple un partenaire de ressource) utilise ensuite ces revendications pour prendre des décisions d’autorisation.

Le flux des revendications à travers le service de fédération s’effectue selon trois méthodes :

  • depuis le magasin de comptes vers le service de fédération de comptes, puis vers le partenaire de ressource ;

  • depuis le partenaire de compte vers le service de fédération de ressources, puis vers l’application de ressource ;

  • depuis le magasin de comptes vers le service de fédération, puis vers l’application de ressource.

Le service de fédération peut être configuré afin d’intervenir dans l’ensemble de ces trois rôles. Par conséquent, un service de fédération unique peut faciliter l’ensemble de ces trois flux de communication.

Il existe trois types de revendications pris en charge par le service de fédération : revendications d’identité, revendications de groupes et revendications personnalisées. Le tableau suivant décrit chacun de ces types de revendications plus en détail.

Type de revendication Description

Identité

Les revendications de nom UPN, d’identité (courrier électronique) et de nom commun dans AD FS sont des types de revendication d’identité :

  • UPN : indique un nom UPN (User Principal Name) de type Kerberos, par exemple utilisateur@domaine. Une seule revendication peut être de type UPN. Même si plusieurs valeurs de nom UPN doivent être communiquées, un seul peut être de type UPN. Des noms UPN supplémentaires peuvent être configurés en tant que revendications personnalisées.

  • Courrier électronique : indique les noms de courrier électronique selon le style du document RFC (Request For Comments) 2822, au format utilisateur@domaine. Une seule revendication peut être de type Courrier électronique. Même si plusieurs valeurs de courrier électronique doivent être communiquées, une seule peut être de type Courrier électronique. Des identités (courrier électronique) supplémentaires peuvent être configurées en tant que revendications personnalisées.

  • Nom commun : indique une chaîne arbitraire utilisée pour la personnalisation. Par exemple, John Smith ou Employé de Tailspin Toys. Une seule revendication peut être de type Nom commun. Il est important de noter qu’il n’existe aucun mécanisme pour garantir le caractère unique de la revendication de nom commun. Par conséquent, soyez prudent lors de l’utilisation de ce type de revendication pour des décisions d’autorisation.

Groupe

Indique l’appartenance à un groupe ou à un rôle. Des administrateurs définissent des revendications individuelles possédant le type de groupe « Revendications de groupes ». Par exemple, vous pouvez définir l’ensemble de revendications de groupes suivant : [Développeur, Testeur, Chef de projet]. Chaque revendication de groupe constitue une unité d’administration distincte pour le remplissage et le mappage de revendications. Cela s’avère utile pour considérer la valeur d’une revendication de groupe en tant que valeur booléenne indiquant une appartenance.

Personnalisée

Indique une revendication contenant des informations personnalisées sur un utilisateur, par exemple, un numéro d’ID d’employé.

S’il existe plus d’un de ces trois types de revendications d’identité dans un jeton, une priorité est attribuée aux revendications d’identité selon l’ordre suivant :

  1. UPN

  2. Courrier électronique

  3. Nom commun

Au moins un de ces types de revendications d’identité doit être présent pour qu’un jeton soit émis.

Mappage de revendications

AD FS utilise le protocole WS-F PRP (WS-Federation Passive Requestor Protocol), qui transporte les revendications dans des jetons de sécurité émis par le service de fédération. À l’origine, les revendications sont remplies à partir des magasins de comptes, qu’il s’agisse de magasins des services de domaine Active Directory (AD DS) ou AD LDS (Active Directory Lightweight Directory Services).

Le service de fédération peut mapper les revendications lorsqu’elles partent en direction d’un partenaire de fédération ou lorsqu’elles en proviennent. Le mappage de revendications représente l’acte de mappage, de suppression, de filtrage ou de passage de revendications entrantes vers des revendications sortantes. Le mappage de revendications peut être différent pour chaque partenaire de fédération. La définition du remplissage et du mappage de ces revendications est importante pour la configuration de la fédération. Les mappages de revendications utilisent des comparaisons de chaînes qui respectent la casse. Cette illustration explique le processus du mappage de revendications.

Processus de mappage de demande

Ensembles de revendications d’organisations

Toutes les revendications entrantes sont mappées dans des revendications d’organisation. Des revendications d’organisation sont des revendications sous une forme intermédiaire ou normalisée au sein de l’espace de noms d’une organisation. Toutes les actions internes du service de fédération s’effectuent sur l’ensemble de revendications d’organisation. Les revendications d’organisation sont utilisées par les applications des ressources.

Avec les revendications d’organisation, les mappages n’ont pas besoin d’être administrés individuellement entre deux organisations qui ont besoin de communiquer. Chaque organisation définit un mappage unique, que ce soit vers ou à partir de ses revendications d’organisation. La complexité administrative du service AD FS se voit ainsi réduite. Par exemple, si la fédération comporte

x partenaires de comptes

y applications de ressources

la fédération a x + y mappages de revendications.

Un nombre inférieur aux x × y mappages potentiels. Prenons un exemple concret. Si un service de fédération comporte :

3 partenaires de comptes

7 applications de ressources

La fédération n’a besoin que de 10 mappages de revendications, et non 21, lorsque le mappage se produit directement des revendications entrantes vers les revendications sortantes.

Courrier électronique

Les types de revendications de courrier électronique ne peuvent être mappés qu’à des types de revendications de courrier électronique. Dans le cadre de ce mappage, au niveau du service de fédération de comptes, le suffixe du domaine peut être mappé à une valeur constante. Le mappage du suffixe du domaine à une valeur constante permet d’éviter qu’une organisation partenaire ne fournisse par mégarde des informations sur sa structure de forêt interne à une autre organisation. Dans le service de fédération de ressources, le suffixe du domaine peut être filtré par rapport à une liste de valeurs constantes.

L’exemple suivant décrit une fédération AD FS entre deux organisations, Tailspin Toys et Adventure Works. Dans cet exemple, Tailspin Toys est le partenaire de compte et Adventure Works le partenaire de ressource.

  • Tailspin Toys, en tant que service de fédération de comptes, mappe la revendication d’organisation de courrier électronique à la revendication de courrier électronique sortante pour Adventure Works. Dans le cadre de ce mappage, tous les suffixes de courrier électronique sont mappés à tailspintoys.com. Étant donné la revendication de courrier électronique d’organisation (e-mail=jsmith@sales.tailspintoys.com), la revendication de courrier électronique sortante est (e-mail=jsmith@tailspintoys.com).

  • Adventure Works, en tant que service de fédération de ressources, mappe la revendication de courrier électronique entrante Tailspin Toys à la revendication d’organisation de courrier électronique et, dans le cadre de ce mappage, filtre la liste de suffixes par rapport à tailspintoys.com. Ainsi, une revendication de courrier électronique entrante Tailspin Toys (e-mail=jsmith@tailspintoys.com) est acceptée, mais une revendication de courrier électronique entrante Tailspin Toys (e-mail=jsmith@adventure-works.com) est rejetée.

UPN

Les types de revendications de nom UPN sont toujours mappés à des types de revendications de nom UPN. Ils font l’objet de mappages et de filtrages de suffixes de la même manière que les revendications de courrier électronique. Toutefois, comme AD DS accepte les noms UPN sans le symbole @, le service de fédération de comptes ajoute le symbole @, suivi du suffixe si un mappage de suffixes UPN est défini. Sinon, si un suffixe est transmis, le service de fédération transmet le nom UPN tel quel, sans le symbole @. Du côté des ressources, si n’importe quel suffixe UPN est autorisé, les noms UPN sont acceptés sans le symbole @. Sinon, si seul un suffixe UPN spécifique est autorisé, le nom UPN qui n’a pas de symbole @ est rejeté

Nom commun

Les types de revendications de nom commun sont toujours mappés à des types de revendications de nom commun. Ils ne sont soumis à aucune règle supplémentaire.

Personnalisée

Les types de revendications personnalisées ne peuvent être mappés qu’à des types de revendications personnalisées. Par exemple, avec un ensemble de revendications entrantes composées de (UPN, Custom=[EmployeeNumber, TaxPayerID]) et un ensemble de revendications d’organisation composées de (UPN, Custom=[Employee, SSN]), vous pouvez créer des mappages de EmployeeNumber vers Employee et de TaxPayerID vers SSN.

Groupe

Les types de revendications de groupe sont toujours mappés à des types de revendications de groupe. Par exemple, avec un ensemble de revendications entrantes composées de (UPN, Group=[One, Two, Three]) et un ensemble de revendications d’organisation composées de (UPN, Group=[X,Y,Z]), vous pouvez créer des mappages de One vers Y, de Two vers X et de Three vers Z.

Mappage groupe-vers-UPN

Outre les mappages standard décrits précédemment, vous pouvez également utiliser un mappage spécial de revendications de groupe-vers-UPN. Ce mappage groupe-vers-UPN n’est pris en charge que dans le service de fédération de ressources, lorsque les revendications proviennent d’un partenaire de compte. Dans ce cas, les types de revendications UPN ne sont pas mappés à des types de revendications UPN. À la place, vous fournissez une liste ordonnée de mappages de revendications de groupe-vers-UPN.

Par exemple, la liste groupe-vers-UPN pourrait être :

  1. Dev vers developers@internal.tailspintoys.com

  2. Test vers testers@internal.tailspintoys.com

  3. PM vers progmgrs@internal.tailspintoys.com

Avec un ensemble de revendications entrantes composées de (Common name=John Smith, Group=[Dev]), l’ensemble de revendications d’organisation contient (Common name=John Smith, UPN=developers@internal.tailspintoys.com). Souvenez-vous que la liste est ordonnée. Par conséquent, un ensemble de revendications composées de (Common name=John Smith, Group=[Dev,PM]) donne (Common name=John Smith, UPN=developers@internal.tailspintoys.com) comme résultat. De plus, si la revendication entrante a un UPN, celui-ci est remplacé. La règle de ce mappage spécial prend spécifiquement en charge les comptes de ressources à base de groupes qui accèdent à des ressources héritées. L’ordre des mappages groupe-vers-UPN est spécifié dans la stratégie d’approbation du service de fédération.

Audit de revendications

Certaines revendications de groupes et personnalisées sont susceptibles d’être désignées comme pouvant être auditées. Une fois l’audit activé, il autorise l’exposition du nom de la revendication dans le journal des événements de sécurité, mais la valeur de la revendication est omise. Le numéro de sécurité sociale est un exemple de revendication pouvant être auditée. Le nom de revendication Numéro de sécurité sociale est exposé, mais la valeur numérique réelle stockée dans cette revendication n’apparaît pas. La valeur de la revendication n’est pas auditée lorsque la revendication est produite ou mappée.

Remarques

Les types de revendications d’identité peuvent toujours être audités.

Voir aussi

Table des matières