Deklarace jsou prohlášení (například název, identita, klíč, skupina, oprávnění nebo funkce) o uživatelích, která jsou přijímána oběma partnery ve federaci služby AD FS (Active Directory Federation Service) a slouží pro účely ověření v aplikaci.

Služba AD FS Federation Service zprostředkovává vztah důvěryhodnosti mezi mnoha různými entitami. Je navržena tak, aby umožňovala důvěryhodnou výměnu deklarací, které obsahují libovolné hodnoty. Přijímající strana (například partner poskytující prostředky) potom používá tyto deklarace k provedení rozhodnutí o ověření.

Existují tři způsoby toku deklarací přes službu Federation Service:

  • z úložiště účtů do služby Federation Service poskytující účty k partnerovi poskytujícímu prostředky,

  • od partnera poskytujícího účty do služby Federation Service poskytující prostředky k aplikaci poskytující prostředky,

  • z úložiště účtů do služby Federation Service k aplikaci poskytující prostředky.

Služba Federation Service může být nakonfigurována, aby vystupovala ve všech třech těchto rolích. Jedna jediná služba Federation Service může usnadnit všechny tři komunikační toky.

Existují tři typy deklarací, které jsou podporované službou Federation Service: deklarace identity, deklarace skupiny a vlastní deklarace. Následující tabulka obsahuje podrobnější informace o každém z těchto tří typů deklarací.

Typ deklarace Popis

Identita

Hlavní název uživatele (UPN), e-mail a běžný název jsou ve službě AD FS označovány jako typy deklarací identity:

  • Hlavní název uživatele (UPN): označuje hlavní název uživatele (UPN) pomocí protokolu Kerberos, například: uživatel@sféra. Pouze jedna deklarace může být typu hlavní název uživatele. I v případě, kdy pro komunikaci musí být použito více hodnot UPN, může být pouze jedna typu hlavní název uživatele. Další hlavní názvy uživatele mohou být nakonfigurovány jako typy vlastní deklarace.

  • E-mail: označuje e-mailové názvy pomocí dokumentu RFC (Request for Comments) 2822 ve formě uživatel @doména. Pouze jedna deklarace může být typu e-mail. I v případě, kdy pro komunikaci musí být použito více e-mailových hodnot, může být pouze jedna typu e-mail. Další e-maily mohou být nakonfigurovány jako typy vlastní deklarace.

  • Běžný název: označuje libovolný řetězec, který je použit pro označení uživatele. Příklady zahrnují názvy Petr Novák nebo zaměstnanec společnosti Válcovny. Pouze jedna deklarace může být typu běžný název. Je důležité si uvědomit, že neexistuje žádný mechanizmus, který by zaručil jedinečnost deklarace běžného názvu. Proto při použití toho typu deklarace pro rozhodnutí o ověření je potřeba postupovat opatrně.

Skupina

Označuje členství ve skupině nebo roli. Správci definují jednotlivé deklarace, jejichž typ skupiny je deklarace skupiny. Můžete například definovat následující sadu deklarací skupiny: [Vývojář, Tester, Správce programů]. Každá deklarace skupiny je samostatná správní jednotka pro naplnění a mapování deklarací. Je vhodné považovat hodnotu deklarace skupiny za logickou hodnotu označující členství.

Vlastní

Označuje deklaraci, která obsahuje vlastní informace o uživateli, například číslo ID zaměstnance.

Pokud token obsahuje více než jeden z těchto tří typů deklarací identity, jsou deklaracím identity přiřazeny priority v tomto pořadí:

  1. Hlavní název uživatele (UPN)

  2. E-mail

  3. Běžný název

Aby mohl být token vydán, musí obsahovat alespoň jeden z těchto typů deklarace identity.

Mapování deklarací

Služba AD FS používá protokol WS-F PRP (WS-Federation Passive Requester Protocol), který obsahuje tokeny zabezpečení vydané službou Federation Service. Deklarace jsou na počátku naplněny z úložišť účtů, a to buď úložišť účtů služby AD DS (Active Directory Domain Services) nebo služby AD LDS (Active Directory Lightweight Directory Services).

Služba Federation Service umožňuje mapování deklarací při jejich odchodu k federačnímu partnerovi nebo při jejich příchodu od federačního partnera. Mapování deklarací je proces mapování, odebrání nebo filtrování, případně předávání příchozích deklarací do odchozích deklarací. Mapování deklarací se může u jednotlivých federačních partnerů lišit. Definování populace a mapování těchto deklarací je důležité pro konfiguraci federace. Mapování deklarací používá porovnání řetězců, kde jsou rozlišována velká a malá písmena. Proces mapování deklarací je vidět na následujícím obrázku.

Proces mapování nároku

Sady deklarací organizací

Všechny příchozí deklarace jsou mapovány do deklarací organizací. Deklarace organizací jsou deklarace ve zprostředkující nebo normalizované formě v oboru názvů organizace. Všechny akce interní služby Federation Service se provádějí v sadě deklarací organizace. Deklarace organizace spotřebovávají aplikace prostředků.

S deklaracemi organizace není nutné mezi libovolnými dvěma organizacemi, které potřebují komunikovat, spravovat přiřazení jednotlivě. Jednotlivé organizace definují jediné mapování směrem k svým deklaracím organizace nebo od nich. Tím je snížena složitost správy služby AD FS. Pokud například federace obsahuje

x partnerů poskytujících účty,

y aplikací prostředků,

má federace x + y mapování deklarací.

Představuje to snížení potenciálního počtu x × y mapování přiřazení. Máme-li uvést konkrétní příklad, pak tedy: Má-li služba Federation Service

3 partnery poskytující účty,

7 aplikací poskytujících prostředky.

Potřebuje federace pouze 10 mapování deklarací ve srovnání s možnými 21 mapováními deklarací, pokud by mapování bylo prováděno přímo z příchozích deklarací do odchozích deklarací.

E-mail

E-mailové typy deklarací se vždy mapují k e-mailovým typům deklarací. Jako součást tohoto mapování může být u účtu služby Federation Service přípona domény mapována ke konstantní hodnotě. Mapování přípony domény ke konstantní hodnotě chrání organizaci partnera před neúmyslným poskytnutím informací o interní doménové struktuře jiné organizaci. Ve službě Federation Service poskytující prostředky může být přípona domény filtrována oproti seznamu konstantních hodnot.

Následující příklad popisuje federaci služby AD FS mezi dvěma organizacemi Strojírny a Válcovny. V tomto příkladu je společnost Válcovny partner poskytující účty a společnost Strojírny partner poskytující prostředky.

  • Společnost Válcovny, která funguje jako služba Federation Service pro poskytování účtů, mapuje e-mailovou deklaraci organizace k odchozí e-mailové deklaraci pro společnost Strojírny. Jako součást tohoto mapování jsou všechny e-mailové přípony mapovány k doméně válcovny.com. S danou e-mailovou deklarací organizace (e-mail=pnovak@prodej.valcovny.com) bude odchozí e-mailová deklarace (e-mail=pnovak@valcovny.com).

  • Společnost Strojírny představuje službu Federation Service poskytující prostředky a mapuje příchozí e-mailové deklarace společnosti Válcovny do e-mailové deklarace organizace a jakou součást tohoto mapování filtruje seznam přípon oproti seznamu valcovny.com. Příchozí e-mailová deklarace společnosti Válcovny (e-mail = pnovak@valcovny.com) je proto přijata, ale příchozí e-mailová deklarace společnosti Strojírny (a-mail pnovak@strojirny.com) je odmítnuta.

Hlavní název uživatele (UPN)

Typy deklarací Hlavní název uživatele se vždy mapují k typům deklarací Hlavní název uživatele. Podléhají mapování přípon a filtrování stejně jako e-mailové deklarace. Vzhledem k tomu, že služba AD DS však povoluje hlavní názvy uživatele bez symbolu @, připojí služba Federation Service poskytující účty symbol @ následovaný příponou, pokud je definováno mapování přípony hlavního názvu uživatele. V opačném případě, pokud je předána jakákoli přípona, předá služba Federation Service hlavní název uživatele tak, jak je, bez symbolu @. Pokud je na straně prostředku povolena libovolná přípona hlavního názvu uživatele, bude přijat hlavní název uživatele bez symbolu @. V opačném případě, pokud je povolena určitá přípona hlavního názvu uživatele, bude hlavní název uživatele bez symbolu @ odmítnut.

Běžný název

Deklarace typu Běžný název jsou vždy mapovány k deklaracím typu Běžný název. Nepodléhají žádným dalším pravidlům.

Vlastní

Vlastní typy deklarací se vždy mapují k jiným vlastním typům deklarací. Pokud například máte příchozí sadu deklarací (UPN, Vlastní= [Číslo_zaměstnance, ID_plátce_daně] ) a sadu deklarací organizace (UPN, Vlastní= [Zaměstnanec, číslo_sociálního_zabezpečení] ), můžete vytvořit mapování od Čísla_zaměstnance k Zaměstnanci a od ID_plátce_daně k Číslu_sociálního_zabezpečení.

Skupina

Skupinové typy deklarací se vždy mapují k jiným skupinovým typům deklarací. Máte-li například příchozí sadu deklarací (UPN, Skupina= [Jedna, Dvě, Tři] ) a sadu deklarací organizace (UPN, Skupina= [X,Y,Z] ), můžete vytvořit mapování od Jedna k Y, od Dvě k X a od Tři k Z.

Mapování skupina-hlavní název uživatele

Kromě standardních mapování popsaných v předchozích částech je možné použít také speciální mapování deklarace skupina-hlavní název uživatele. Mapování deklarace typu skupina-hlavní název uživatele je podporováno pouze u služby Federation Service, pokud deklarace přicházejí od partnera poskytujícího účty. V tomto případě se deklarace typu hlavní název uživatele nemapují k deklaracím typu hlavní název uživatele. Namísto toho vytvoříte seřazený seznam mapování deklarace typu skupina-hlavní název uživatele.

Seznam pro typ skupina-hlavní název uživatele může být například:

  1. Výv k vyvojari@interni.valcovny.com

  2. Test k testeri@interni.valcovny.com

  3. PM k progrmanaz@interni.valcovny.com

Za předpokladu příchozí sady deklarací (Běžný název=Petr Volf, Skupina= [Výv] ) obsahuje sada deklarací organizace (Běžný název=Petr Volf, UPN=vyvojari@interni.valcovny.com). Je třeba mít na paměti, že seznam je seřazený. Proto výsledkem sady deklarací (Běžný název=Petr Volf, Skupina= [Výv,PM] ) bude (Běžný název=Petr Volf, UPN=vyvojari@interni.valcovny.com). Kromě toho, pokud má příchozí deklarace hlavní název uživatele (UPN), bude tento název přepsán. Toto speciální pravidlo mapování podporuje výslovně účty prostředků založené na skupině, které mají přístup k starším prostředkům. Pořadí pro mapování typu skupina-hlavní název uživatele je stanoveno v zásadách důvěryhodnosti pro službu Federation Service.

Auditování deklarací

Některé deklarace skupiny a vlastní deklarace mohou být označeny jako auditovatelné. Pokud je auditování povoleno, audit umožňuje, aby byl název deklarace zveřejněn v protokolu událostí zabezpečení, hodnota deklarace však není uvedena. Příkladem auditovatelné deklarace je číslo sociálního zabezpečení. Název deklarace Číslo sociálního zabezpečení je vystaven, ale aktuální číselná hodnota uložená v této deklaraci není uvedena. Hodnota deklarace není auditována po vytvoření nebo mapování deklarace.

Poznámka

Typy deklarace identity jsou vždy auditovatelné.

Další odkazy

Obsah