Bij het ontwerpen van uw AD FS-implementatie (Active Directory Federation Services), moet u aangeven welk type federatieve toepassing u wilt beveiligen met AD DS. Een toepassing is federatief als de toepassing een van de toepassingstypen is die in de volgende secties worden beschreven.

Zie de pagina met nieuwe functies van AD FS in Windows Server 2008 (https://go.microsoft.com/fwlink/?LinkId=85684) voor meer informatie over de verbeterde toepassingsondersteuning in deze versie van AD FS. (Deze pagina is mogelijk Engelstalig.)

Claimbewuste toepassingen

Claims zijn instructies (bijvoorbeeld naam, identiteit, sleutel, groep, bevoegdheid of mogelijkheid) over gebruikers en worden door beide partners in een AD FS-federatie herkend. Deze claims worden in een toepassing gebruikt voor autorisaties.

Een claimbewuste toepassing is een toepassing van Microsoft ASP.NET die is geschreven aan de hand van de AD FS-bibliotheek. Dit type toepassing kan op basis van de claims van AD FS rechtstreeks autorisaties verlenen. In een claimbewuste toepassing worden de claims geaccepteerd die de Federation-service heeft verzonden in AD FS-beveiligingstokens. Zie Wat is de rolservice Federation-service? voor meer informatie over het gebruik van beveiligingstokens en claims in de Federation-service.

Claimtoewijzing is de bewerking waarmee claims worden toegewezen, verwijderd of gefilterd of waarmee binnenkomende claims worden omgezet in uitgaande claims. Claimtoewijzing vindt niet plaats wanneer claims naar een toepassing worden verzonden. Alleen de organisatieclaims die door de beheerder van Federation-service in de bronpartner worden opgegeven, worden naar de toepassing gestuurd. (Organisatieclaims zijn claims in een tussenliggende of genormaliseerde vorm binnen de naamruimte van een organisatie). Zie Wat zijn claims? voor meer informatie over claims en het toewijzen van claims.

De volgende lijst bevat de organisatieclaims die kunnen worden gebruikt in claimbewuste toepassingen:

  • Identiteitsclaims (UPN, e-mail, algemene naam)

    Bij het configureren van de toepassing moet u opgeven welke van deze identiteitsclaims naar de toepassing worden verzonden. Er worden geen toewijzings- of filterbewerkingen uitgevoerd.

  • Groepclaims

    Bij het configureren van de toepassing moet u de organisatiegroepclaims opgeven die naar de toepassing worden verzonden. Organisatiegroepclaims die niet opgegeven zijn om naar de toepassing te worden verzonden, worden genegeerd.

  • Aangepaste claims

    Bij het configureren van de toepassing moet u de aangepaste claims voor organisaties opgeven die naar de toepassing worden verzonden. Aangepaste claims voor organisaties die niet opgegeven zijn om naar de toepassing te worden verzonden, worden genegeerd.

Claimbewuste autorisatie

Claimbewuste autorisatie bestaat uit een HTTP-module (Hypertext Transfer Protocol ) en objecten voor het zoeken naar claims binnen het AD FS-beveiligingstoken. Claimbewuste autorisatie wordt alleen ondersteund voor toepassingen van Microsoft ASP.NET.

De HTTP-module verwerkt AD FS-protocolberichten op basis van configuratie-instellingen in het bestand Web.config van de webtoepassing. De taken voor autorisatie en verificatie worden door de webpagina's uitgevoerd. Met de HTTP-module worden bovendien cookies geverifieerd en claims uit cookies verkregen.

Op tokens gebaseerde Windows NT-toepassing

Een toepassing op basis van Windows NT-tokens is een IIS-toepassing (Internet Information Services) die is geschreven om gebruik te kunnen maken van traditionele autorisatiemechanismen van Windows. Dit type toepassing is niet voorbereid voor het gebruik van AD FS-claims.

Toepassingen op basis van Windows NT-tokens kunnen worden gebruikt door Windows-gebruikers uit de lokale realm of uit een realm die door de lokale realm wordt vertrouwd. Dit zijn dus alleen gebruikers die zich kunnen aanmelden op een computer waarop verificatiemechanismen op basis van Windows NT-tokens zijn geïnstalleerd.

Opmerking

In Federation-ontwerpen betekent dit dat er bronaccounts of brongroepen kunnen zijn vereist voor verificatie op basis van Windows NT-tokens.

Het AD FS-beveiligingstoken dat naar de op Windows NT-tokens gebaseerde agent wordt verzonden kan de volgende typen claims bevatten:

  • Een UPN-claim (User Principal Name) voor de gebruiker

  • Een e-mailclaim voor de gebruiker

  • Een groepclaim

  • Een aangepaste claim voor de gebruiker

  • Een UPN-claim, e-mailclaim, groepclaim of een aangepaste claim die de beveiligings-id's (SID's) van het gebruikersaccount bevat. (Dit is alleen van toepassing wanneer de optie Windows-vertrouwensrelatie is ingeschakeld).

De AD FS-webserver genereert een Windows-toegangstoken op imitatieniveau. In een toegangstoken op imitatieniveau worden de beveiligingsgegevens voor een clientproces vastgelegd, waardoor een service het clientproces bij beveiligingsbewerkingen kan 'imiteren'.

Bij toepassingen op basis van Windows NT-tokens bepaalt de volgende procesvolgorde op welke wijze een Windows NT-token wordt gemaakt:

  1. Als het SAML-token (Security Assertion Markup Language) SID's bevat in het SAML-adviesonderdeel, worden de SID's gebruikt om het Windows NT-token te genereren.

  2. Als het SAML-token geen SID's bevat, maar een UPN-identiteitsclaim, wordt de UPN-claim gebruikt om het Windows NT-token te genereren.

  3. Als het SAML-token geen SID's bevat en de identiteitsclaim van de UPN-naam in de identiteitsclaim van de e-mail aanwezig is, wordt deze claim als UPN-naam beschouwd en gebruikt om het Windows NT-token te genereren.

Dit proces vindt plaats ongeacht de vraag of de UPN- of e-mailidentiteitsclaim wordt opgegeven als de identiteitsclaim die wordt gebruikt om het Windows NT-token genereren wanneer u het vertrouwensbeleid maakt voor de webtoepassing in de Federation-service.

Traditionele autorisatie op basis van Windows

Er zijn een aantal onderdelen nodig om een AD FS-beveiligingstoken te kunnen omzetten in een Windows NT-toegangstoken op imitatieniveau:

  • ISAPI-extensie (Internet Server Application Programming Interface): Met dit onderdeel worden AD FS-cookies en -beveiligingstokens uit de Federation-service gecontroleerd, worden protocollen omgeleid en worden de vereiste cookies geschreven om AD FS te laten functioneren.

  • AD FS-verificatiepakket: Als voor een domeinaccount een UPN-naam bestaat, wordt door het AD FS-verificatiepakket een toegangstoken op imitatieniveau gegenereerd. Daartoe moet de aanroeper over het TCB-toegangsrecht (Trusted Computing Base) beschikken.

  • De eigenschappenbladen Webagent voor AD FS en URL van Federation-service in de module IIS-beheer: Op deze eigenschappenbladen kunt u het beleid en de certificaten beheren voor de verificatie van AD FS-beveiligingstoken en -cookies.

  • Verificatieservice van de webagent voor AD FS: De verificatieservice van de webagent voor AD FS wordt als lokaal systeem uitgevoerd om een token te genereren met behulp van S4U (Service-for-User) of het AD FS-verificatiepakket. De IIS-toepassingsgroep (Internet Information Services) hoeft niet noodzakelijk als lokaal systeem te worden uitgevoerd. De verificatieservice van de webagent voor AD FS bevat interfaces die alleen met LRPC (Local Remote Procedure Call) kunnen worden aangeroepen en niet met RPC (Remote Procedure Call). De service retourneert een Windows NT-toegangstoken op imitatieniveau als de service een AD FS-beveiligingstoken of een AD FS-cookie heeft ontvangen.

  • ISAPI-filter van de webagent voor AD FS: Bepaalde traditionele IIS-webtoepassingen maken gebruik van een ISAPI-filter dat binnenkomende gegevens, zoals URL's (Uniform Resource Locators), kan wijzigen. Als dit het geval is, moet het ISAPI-filter van de webagent voor AD FS worden ingeschakeld en als het filter met de hoogste prioriteit worden geconfigureerd. Dit filter is niet standaard ingeschakeld.


Inhoudsopgave