Claims zijn beweringen over gebruikers (bijvoorbeeld naam, identiteit, sleutel, groep, bevoegdheid of mogelijkheid) en worden door beide partners in een AD FS-federatie (Active Directory Federation Services) herkend. Deze claims worden in een toepassing gebruikt voor autorisaties.

De Federation-service van AD FS bemiddelt bij het vertrouwen tussen afzonderlijke entiteiten. De service is zo ontworpen dat de vertrouwde uitwisseling van willekeurige claims met willekeurige waarden wordt toegestaan. De ontvangende partij (bijvoorbeeld een bronpartner) gebruikt deze claims vervolgens om autorisatiebeslissingen te nemen.

Er zijn drie manieren waarop claims de Federation-service passeren:

  • Vanaf het accountarchief naar de Federation-service van het account en dan naar de bronpartner

  • Vanaf de accountpartner naar de Federation-service van de bronpartner en dan naar de brontoepassing

  • Vanaf het accountarchief naar de Federation-service en dan naar de brontoepassing

De Federation-service kan voor deze drie functies worden geconfigureerd. Daarom kunnen alle drie de communicatiestromen mogelijk zijn in één Federation-service.

Er zijn drie claimtypen die door de Federation-service worden ondersteund: identiteitsclaims, groepclaims en aangepaste claims. In de volgende tabel worden deze claimtypen nader beschreven.

Claimtype Beschrijving

Identiteit

UPN, e-mail en algemene naam worden in AD FS typen identiteitsclaims genoemd.

  • UPN: geeft een Kerberos-achtige UPN-naam (User Principal Name) aan, bijvoorbeeld: gebruiker@realm. Slechts één claim kan van het type UPN zijn. Zelfs als meerdere UPN-waarden moeten worden doorgegeven, kan er slechts een van het type UPN zijn. Aanvullende UPB's kunnen als het type Aangepaste claim worden geconfigureerd.

  • E-mail: geeft e-mailnamen aan in de stijl van RFC 2822 (Request for Comments) of in de vorm gebruiker@domein. Slechts één claim kan van het type E-mail zijn. Zelfs als meerdere e-mailwaarden moeten worden doorgegeven, kan er slechts één van het type E-mail zijn. Aanvullende e-mails kunnen als het type Aangepaste claim worden geconfigureerd.

  • Algemene naam: geeft een willekeurige tekenreeks aan die voor personalisatie wordt gebruikt. Voorbeelden zijn Ted Bremer of Medewerker van Tailspin Toys. Slechts één claim kan van het type Algemene naam zijn. Onthoud dat er geen methode bestaat om de uniciteit van de algemene-naamclaim te garanderen. Wees daarom voorzichtig wanneer u dit claimtype gebruikt in autorisatiebeslissingen.

Groep

Geeft het lidmaatschap in een groep of functie aan. Beheerders definiëren afzonderlijke claims die tot het groeptype Groepclaims behoren. U kunt bijvoorbeeld de volgende set groepclaims definiëren: [Ontwikkelaar, Tester, Programmabeheerder]. Elke groepclaim is een aparte beheereenheid voor het vullen en toewijzen van claims. Het is handig om de waarde van een groepclaim als booleaanse waarde te zien waarmee een lidmaatschap wordt aangegeven.

Aangepast

Geeft een claim met aangepaste gegevens over een gebruiker aan, bijvoorbeeld een personeelsnummer.

Als een token meer dan een van de drie typen identiteitsclaims bevat, worden de identiteitsclaims in de volgende volgorde van belangrijkheid geplaatst:

  1. UPN

  2. E-mail

  3. Algemene naam

Minimaal een van deze typen identiteitsclaims moet aanwezig zijn voor een token die u wilt afgeven.

Claims toewijzen

In AD FS wordt het WS-F PRP-protocol (WS-Federation Passive Requester Protocol) gebruikt, waarmee claims worden doorgegeven via beveiligingstokens die zijn afgegeven door de Federation-service. De claims worden in eerste instantie samengesteld vanuit de accountarchieven van AD DS (Active Directory Domain Services) of AD LDS (Active Directory Lightweight Directory Services).

De Federation-service kan claims toewijzen wanneer ze uitgaan naar een Federation-partner of wanneer ze binnenkomen vanaf een Federation-partner. Claimtoewijzing is de bewerking waarmee claims worden toegewezen, verwijderd of gefilterd of waarmee binnenkomende claims worden omgezet in uitgaande claims. Claimtoewijzing kan verschillen per Federation-partner. Voor de configuratie van de Federation-service is het belangrijk dat het invullen en toewijzen van deze claims wordt gedefinieerd. Bij claimtoewijzingen worden hoofdlettergevoelige tekenreeksen vergeleken. De volgende illustratie bevat het proces voor claimtoewijzing.

Het toewijzingsproces voor claims

Organisatieclaimsets

Alle binnenkomende claims worden toegewezen aan organisatieclaims. Organisatieclaims zijn claims in een tussenliggende of genormaliseerde vorm binnen de naamruimte van een organisatie. Alle interne bewerkingen van de Federation-service worden uitgevoerd op de organisatieclaimset. Organisatieclaims worden gebruikt door brontoepassingen.

Bij organisatieclaims hoeven toewijzingen niet afzonderlijk te worden beheerd tussen twee willekeurige organisaties die moeten communiceren. Elke organisatie definieert één toewijzing naar of vanaf de betreffende organisatieclaims. Hierdoor wordt het beheer van AF DS minder complex. Stel dat voor de Federation-service het volgende geldt:

x accountpartners

y brontoepassingen

De Federation-service heeft x + y claimtoewijzingen.

Dit wordt afgetrokken van een potentieel aantal van x × y claimtoewijzingen. In het volgende concrete voorbeeld heeft een Federation-service:

3 accountpartners

7 brontoepassingen

De Federation-service heeft slechts 10 claimtoewijzingen nodig, in tegenstelling tot 21 mogelijke claimtoewijzingen, wanneer de toewijzing direct plaatsvindt van de binnenkomende claims naar de uitgaande claims.

E-mail

Typen e-mailclaims worden altijd toegewezen aan typen e-mailclaims. Als onderdeel van deze toewijzing voor de Federation-service van de accountpartner kan een constante waarde worden toegewezen aan het domeinachtervoegsel. Als het domeinachtervoegsel wordt toegewezen aan een constante waarde, kan een partnerorganisatie niet per ongeluk informatie over de interne foreststructuur aan een andere organisatie verstrekken. In de Federation-service van de bronaccount kan het domeinachtervoegsel worden gefilterd op basis van een lijst met constante waarden.

In het volgende voorbeeld wordt een AD FS-federatie tussen twee organisaties beschreven, Tailspin Toys en Adventure Works. In dit voorbeeld is Tailspin Toys de accountpartner en Adventure Works de bronpartner.

  • Tailspin Toys, dat fungeert als Federation-service van de accountpartner, wijst de e-mailorganisatieclaim toe aan de uitgaande e-mailclaim voor Adventure Works. Als onderdeel van deze toewijzing worden alle e-mailachtervoegsels toegewezen aan tailspintoys.com. Bij de e-mailclaim van de organisatie (e-mail=tbremer@sales.tailspintoys.com) behoort de uitgaande e-mailclaim (e-mail=tbremer@tailspintoys.com).

  • Adventure Works, dat als Federation-service van de bronpartner fungeert, wijst de binnenkomende e-mailclaim van Tailspin Toys toe aan de e-mailorganisatieclaim en filtert als onderdeel van de toewijzing de lijst met achtervoegsels voor tailspintoys.com. Daarom wordt een binnenkomende e-mailclaim van Tailspin Toys (e-mail=tbremer@tailspintoys.com) geaccepteerd, maar wordt een binnenkomende e-mailclaim van Adventure Works (e-mail=tbremer@adventure-works.com) geweigerd.

UPN

UPN-claimtypen worden altijd toegewezen aan UPN-claimtypen. Ze zijn gebonden aan het toewijzen en filteren van achtervoegsels, net zoals e-mailclaims. Omdat in AD DS echter UPN's zonder apenstaartje zijn toegestaan, koppelt de Federation-service van de accountpartner aan de UPN's een apenstaartje gevolgd door het achtervoegsel als er een toewijzing van een UPN-achtervoegsel is gedefinieerd. Anders geeft de Federation-service de UPN ongewijzigd door (zonder het apenstaartje) als er een achtervoegsel wordt doorgegeven. Aan de bronzijde wordt de UPN zonder apenstaartje geaccepteerd als een UPN-achtervoegsel is toegestaan. Anders wordt de UPN zonder apenstaartje geweigerd als een specifiek UPN-achtervoegsel is toegestaan.

Algemene naam

Typen algemene-naamclaims worden altijd toegewezen aan typen algemene-naamclaims. Ze zijn niet gebonden aan aanvullende regels.

Aangepast

Typen aangepaste claims worden altijd toegewezen aan andere typen aangepaste claims. Bij een binnenkomende claimset (UPN, Custom= [Werknemernummer, Belasting-id]) en een organisatieclaimset (UPN, Custom= [Werknemer, BSN]) kunt u bijvoorbeeld Werknemernummer aan Werknemer en Belasting-id aan BSN toewijzen.

Groep

Typen groepclaims worden altijd toegewezen aan andere typen groepclaims. Bij de binnenkomende claimset (UPN, Group= [Een, Twee, Drie]) en de organisatieclaimset (UPN, Group= [X,Y,Z]) kunt u bijvoorbeeld Een aan Y, Twee aan X en Drie aan Z toewijzen.

Groep-aan-UPN-toewijzing

Naast de standaardtoewijzingen die in de vorige gedeelten zijn beschreven, kunt u ook een speciale groep-aan-UPN-toewijzing gebruiken. De groep-aan-UPN-toewijzing voor claims wordt alleen ondersteund voor de Federation-service van de bronaccount wanneer claims binnenkomen vanaf een accountpartner. In dit geval worden UPN-claimtypen niet toegewezen aan UPN-claimtypen. In plaats daarvan geeft u een gesorteerde lijst met groep-aan-UPN-toewijzingen op.

De lijst met groep-aan-UPN-toewijzingen kan er bijvoorbeeld als volgt uitzien:

  1. Ontw voor ontwikkelaars@intern.tailspintoys.com

  2. Test voor testers@intern.tailspintoys.com

  3. Prgb voor progbeheer@intern.tailspintoys.com

Bij de binnenkomende claimset (Common name=Ted Bremer, Group= [Ontw]) bevat de organisatieclaimset (Common name=Ted Bremer, UPN=ontwikkelaars@intern.tailspintoys.com). Onthoud dat de lijst is gesorteerd. Daarom geeft de claimset (Common name=Ted Bremer, Group= [Ontw,Prgb]) als resultaat (Common name=Ted Bremer, UPN=ontwikkelaars@intern.tailspintoys.com). Als de binnenkomende claim bovendien een UPN heeft, wordt de UPN overschreven. Deze speciale toewijzingsregels ondersteunt met name op groepen gebaseerde bronaccounts die toegang hebben tot oudere bronnen. De volgorde van de groep-aan-UPN-toewijzingen is gedefinieerd in het vertrouwensbeleid voor de Federation-service.

Claims controleren

Sommige groepclaims en aangepaste claims kunnen worden gemarkeerd als controleerbaar. Wanneer controle is ingeschakeld, kan de naam van de claim worden opgenomen in het beveiligingslogboek, maar de waarde van de claim wordt weggelaten. Een voorbeeld van een controleerbare claim is Burgerservicenummer. De claimnaam Burgerservicenummer wordt vermeld, maar de werkelijke waarde die in deze claim is opgeslagen, wordt niet weergegeven. De claimwaarde wordt niet gecontroleerd wanneer de claim wordt gemaakt of toegewezen.

Opmerking

Typen identiteitsclaims kunnen altijd worden gecontroleerd.

Zie ook


Inhoudsopgave