As afirmações são declarações (por exemplo, nome, identidade, chave, grupo, privilégio ou capacidade) efectuadas sobre utilizadores e compreendidas por parceiros numa federação do Serviço de Federação do Active Directory (AD FS), utilizadas por motivos de autorização numa aplicação.
Os mediadores do Serviço de Federação AD FS utilizam a fidedignidade entre várias entidades diferentes. Foi concebido para permitir a troca fidedigna de afirmações contendo valores arbitrários. A parte que efectua a recepção (por exemplo, um parceiro de recursos) utiliza essas afirmações para tomar decisões de autorização.
Existem três formas de transmitir afirmações através do Serviço de Federação:
-
A partir do arquivo de contas para o Serviço de Federação da conta para o parceiro de recurso
-
A partir do parceiro de conta para o Serviço de Federação de recurso para a aplicação de recurso
-
A partir do arquivo de contas para um Serviço de Federação para a aplicação de recurso
O Serviço de Federação pode ser configurado para actuar nestas três funções. Assim, um único Serviço de Federação pode facilitar os três fluxos de comunicação.
Existem três tipos de afirmações suportadas pelo Serviço de Federação: afirmações de identidade, afirmações de grupo e afirmações personalizadas. A seguinte tabela descreve cada um destes tipos de afirmação mais detalhadamente.
| Tipo de afirmação | Descrição |
|---|---|
|
Identidade |
UPN, correio electrónico e nomes comuns são referidos no ADFS como tipos de afirmações de identidade:
|
|
Grupo |
Indica associação a um grupo ou função. Os administradores definem afirmações individuais com o tipo de grupo “Afirmações de grupo”. Por exemplo, pode definir o seguinte conjunto de afirmações de grupo: [Programador, Técnico de Teste, Gestor de Programas]. Cada afirmação de grupo é uma unidade em separado de administração para população e mapeamento de afirmações. É útil pensar no valor de uma afirmação de grupo como um valor boleano indicando associação. |
|
Personalizar |
Indica uma afirmação que contém informações personalizadas sobre um utilizador, por exemplo, um número de ID do funcionário. |
Se mais do que um dos três tipos de afirmação de identidade estiver presente num token, as afirmações de identidade são prioritizadas pela seguinte ordem:
-
UPN
-
Correio electrónico
-
Nome comum
Pelo menos um destes tipos de afirmação de identidade tem de estar presente para que seja possível emitir um token.
Mapeamento de afirmações
O AD FS utiliza o protocolo WS-F PRP (WS-Federation Passive Requester Protocol), que transporta afirmações em tokens de segurança emitidos pelo Serviço de Federação. As afirmações são inicialmente preenchidas de arquivos de contas, arquivos de contas do Serviço de Domínio do Active Directory (AD DS) ou arquivos de contas Serviços LDS do Active Directory (AD LDS).
O Serviço de Federação pode mapear essas afirmações quando saem para um parceiro de federação ou quando entram de um parceiro de federação. O mapeamento de afirmações é o acto de mapear, remover ou filtrar, ou transmitir afirmações de entrada para afirmações de saída. O mapeamento de afirmações pode ser diferente para cada parceiro de federação. Definir a população e o mapeamento destas afirmações é importante para a configuração da federação. Os mapeamentos de afirmações utilizam comparações de cadeias que são sensíveis a maiúsculas e minúsculas. A seguinte ilustração mostra o processo de mapeamento de afirmações.
Conjuntos de afirmações de organização
Todas as afirmações de entrada são mapeadas para afirmações de organização. As afirmações de organização são afirmações na forma intermédia ou normalizada num espaço de nomes de uma organização. Todas as acções do Serviço de Federação internas são executadas no conjunto de afirmações de organização. As afirmações organizacionais são consumidas por aplicações de recurso.
Com as afirmações de organização, os mapeamentos não têm de ser administrados individualmente entre duas organizações que precisem de comunicar. Cada organização define um único mapeamento para ou de afirmações da organização. Isto reduz a complexidade administrativa do AD FS. Por exemplo, se a federação tiver
x parceiros de conta
y aplicações de recurso
a federação tem x + y mapeamentos de afirmações.
Isto é reduzido de uma situação potencial de x × y mapeamentos de afirmações. Como um exemplo concreto, se um Serviço de Federação tiver:
3 parceiros de conta
7 aplicações de recurso
A federação precisa apenas de 10 mapeamentos de afirmações, em comparação com os potenciais 21 mapeamentos de afirmações, quando o mapeamento ocorre directamente das afirmações de entrada para as afirmações de saída.
Correio Electrónico
Os tipos de afirmações de correio electrónico fazem sempre o mapeamento para tipos de afirmações de correio electrónico. Como parte deste mapeamento, no Serviço de Federação de conta, o sufixo de domínio poderá ser mapeado para um valor constante. Mapear o sufixo do domínio a um valor constante protege a organização do parceiro de fornecer informações inadvertidamente sobre a sua estrutura de floresta interna a outra organização. No Serviço de Federação de recurso, o sufixo de domínio pode ser filtrado de acordo com uma lista de valores constantes.
O exemplo seguinte descreve uma federação de AD FS entre duas organizações, Tailspin Toys e Adventure Works. Neste exemplo, Tailspin Toys é o parceiro de conta e Adventure Works é o parceiro de recursos.
-
A Tailspin Toys, agindo como um Serviço de Federação de conta, faz o mapeamento da afirmação de organização de correio electrónico para a afirmação de saída para a Adventure Works. Como parte desse mapeamento, mapeia todos os sufixos de correio electrónico para tailspintoys.com. Com a afirmação de correio electrónico da organização (e-mail=jsmith@sales.tailspintoys.com), a afirmação de correio electrónico de saída é (e-mail=jsmith@tailspintoys.com).
-
A Adventure Works, agindo como um Serviço de Federação de recurso, faz o mapeamento da afirmação de correio electrónico da Tailspin Toys de entrada para a afirmação de organização de correio electrónico e, como parte desse mapeamento, filtra a lista de sufixos de acordo com tailspintoys.com. Por conseguinte, uma afirmação de correio electrónico da Tailspin Toys de entrada (e-mail=jsmith@tailspintoys.com) é aceite, mas uma afirmação de correio electrónico da Tailspin Toys de entrada (e-mail=jsmith@adventure-works.com) é rejeitada.
UPN
Os tipos de afirmações de UPN fazem sempre o mapeamento para outros tipos de afirmações de UPN. Estão sujeitos a mapeamentos de sufixos e filtragem da mesma forma que as afirmações de correio electrónico. No entanto, uma vez que o AD DS permite UPNs sem o símbolo @, o Serviço de Federação de conta liga o símbolo @, seguido do sufixo se existir um mapeamento de sufixo de UPN definido. Caso contrário, se algum sufixo for transmitido, o Serviço de Federação transmite o UPN tal como é, sem o símbolo @. No lado do recurso, se algum sufixo de UPN for permitido, o UPN sem o símbolo @ é aceite. Caso contrário, se um sufixo de UPN específico for permitido, o UPN sem o símbolo @ é rejeitado.
Nome comum
Os tipos de afirmações de nome comum fazem sempre o mapeamento para tipos de afirmações de nome comum. Não estão sujeitos a regras adicionais.
Personalizar
Os tipos de afirmações personalizadas fazem sempre o mapeamento para outros tipos de afirmações personalizadas. Por exemplo, com um conjunto de afirmações de entrada de (UPN, Custom=[EmployeeNumber, TaxPayerID]) e um conjunto de afirmações de organização de (UPN, Custom=[Employee, SSN]), pode criar mapeamentos de EmployeeNumber para Employee e de TaxPayerID para SSN.
Grupo
Os tipos de afirmações de grupo fazem sempre o mapeamento para outros tipos de afirmações de grupo. Por exemplo, com um conjunto de afirmações de entrada de (UPN, Group=[One, Two, Three]) e um conjunto de afirmações de organização de (UPN, Group=[X,Y,Z]), pode criar mapeamentos de One para Y, de Two para X e de Three para Z.
Mapeamento de grupo para UPN
Além dos mapeamentos padrão descritos nas secções anteriores, também pode utilizar um mapeamento especial de afirmações de grupo para UPN. O mapeamento de afirmações de grupo para UPN é suportado apenas no Serviço de Federação de recurso quando as afirmações são de entrada de um parceiro de conta. Neste caso, os tipos de afirmações de UPN não fazem o mapeamento para tipos de afirmações de UPN. Como alternativa, fornece uma lista ordenada de mapeamentos de afirmações de grupo para UPN.
Por exemplo, a lista de grupo para UPN pode ser:
-
Dev para developers@internal.tailspintoys.com
-
Test para testers@internal.tailspintoys.com
-
PM para progmgrs@internal.tailspintoys.com
Com um conjunto de afirmações de entrada de (Common name=John Smith, Group=[Dev]), o conjunto de afirmações de organização contém (Common name=John Smith, UPN=developers@internal.tailspintoys.com). Não se esqueça de que a lista é ordenada. Por conseguinte, o conjunto de afirmações de (Common name=John Smith, Group=[Dev,PM]) resulta em (Common name=John Smith, UPN=developers@internal.tailspintoys.com). Além disso, se a afirmação de entrada tiver um UPN, este UPN é substituído. Esta regra de mapeamento especial suporta especificamente contas de recursos com base em grupos que acedem a recursos legacy. A ordem dos mapeamentos de grupo para UPN é especificada na política de fidedignidade para o Serviço de Federação.
Afirmações de auditoria
Algumas afirmações de grupo e afirmações personalizadas podem ser concebidas como auditáveis. Quando a auditoria está activada, a auditoria permite que o nome da afirmação seja exposto no registo de eventos de segurança, mas o valor da afirmação é omitido. Um exemplo de uma afirmação auditável é o Número da Segurança Social. O nome da afirmação Número da Segurança Social está exposto, mas o valor do número real armazenado nessa afirmação não está exposto. O valor da afirmação não é auditado quando a afirmação é produzida ou mapeada.
 | Nota |
|
Os tipos de afirmação de identidade são sempre auditáveis. |