A jogcímek olyan felhasználókkal kapcsolatos ténymegállapítások (például név, identitás, kulcs, csoport, jogosultság vagy képesség), amelyeket egy AD FS-összevonásban mindkét partner értelmezni tud, és amelyeket hitelesítési célra használnak az alkalmazások.

Az AD FS összevonási szolgáltatásának átvitelszervezői számos különálló entitás között tartanak fenn megbízhatósági kapcsolatokat. Ez lehetővé teszi a tetszőleges értékekkel rendelkező jogcímek megbízható cseréjét. A fogadó fél (például egy erőforráspartner) ezen jogcímeket használja az engedélyezési döntések meghozatalához.

A jogcímek három módon juthatnak át az összevonási szolgáltatáson:

  • A fióktárolótól a fiók összevonási szolgáltatásán át az erőforráspartnerhez

  • A fiókpartnertől az erőforrás összevonási szolgáltatásán át az erőforrás-alkalmazáshoz

  • A fióktárolótól az összevonási szolgáltatáson át az erőforrás-alkalmazáshoz

Az összevonási szolgáltatás mindhárom szerepkör betöltésére beállítható. Ezért egyetlen összevonási szolgáltatás futtatása elegendő mindhárom kommunikációs feladat ellátására.

Az összevonási szolgáltatás háromféle jogcímet támogat: az identitásjogcímeket, a csoportjogcímeket és az egyéni jogcímeket. A következő táblázat részletesen ismerteti ezeket a jogcímtípusokat.

Jogcím típusa Leírás

Identitás

Az egyszerű felhasználónév, az e-mail és a köznapi név identitás típusú jogcímek az AD FS szolgáltatásban.

  • Egyszerű felhasználónév: Kerberos stílusú egyszerű felhasználónév, például: felhasználó@tartomány. Csak egy jogcím lehet egyszerű felhasználónév típusú még abban az esetben is, ha több egyszerű felhasználónevet kell továbbítani. A további egyszerű felhasználónevek egyéni jogcímtípusként konfigurálhatók.

  • E-mail: A 2822-es RFC-dokumentumban meghatározott felhasználó@tartomány formátumú e-mail név. Csak egyetlen jogcím lehet e-mail típusú még abban az esetben is, ha több e-mail nevet kell továbbítani. A további e-mail nevek egyéni jogcímtípusként konfigurálhatók.

  • Köznapi név: Személyes azonosításra használt tetszőleges karakterlánc, például Barkóczi Miklós vagy Dejójáték-alkalmazott. Csak egyetlen jogcím lehet köznapi név típusú. Fontos tudni, hogy a köznapi név típusú jogcímek egyedisége semmilyen módon nem garantálható, ezért ennek a jogcímtípusnak a használatakor körültekintően kell eljárni.

Csoport

Csoporton vagy szerepkörön belüli tagság jelzése. A rendszergazdák csoportjogcímként definiálhatnak egyedi jogcímeket, mint például a következőket: [Fejlesztő, Tesztelő, Programvezető]. Mindegyik csoportjogcím külön felügyeleti egységként használható a jogcímfeltöltéshez és -leképezéshez. A csoportjogcímeket tagsági viszonyt jelző logikai értékekként is fel lehet fogni.

Egyéni

Olyan jogcímet jelöl, amely egyéni felhasználói információkat tartalmaz, például egy alkalmazott azonosítószámát.

Ha egy jogkivonat a három identitás-jogcímtípus közül többet is tartalmaz, a jogcímtípusok fontossági sorrendje a következő:

  1. Egyszerű felhasználónév

  2. E-mail

  3. Köznapi név

Jogkivonat kibocsátásához a három identitástípus legalább egyikére szükség van.

Jogcímleképezés

Az AD FS a WS-F PRP protokollt használja, amely az összevonási szolgáltatás által kibocsátott biztonsági jogkivonatokban lévő jogcímeket továbbítja. A rendszer először az Active Directory tartományi szolgáltatások (AD DS) vagy az Active Directory Lightweight Directory-szolgáltatások (AD LDS) fióktárolóiból tölti fel adatokkal a jogcímeket.

Az összevonási szolgáltatás az összevonási partnereknek történő küldéskor vagy az azoktól történő fogadáskor képezi le a jogcímeket. A jogcímek leképezése a leképezési, az eltávolítási és a szűrési műveletek összessége, de magában foglalhatja a bejövő jogcímek kimenő jogcímként történő továbbítását is. A leképezés összevonási partnerenként eltérő lehet, a jogcímek adatokkal való feltöltésének és leképezésének definiálása pedig az összevonás beállítása szempontjából fontos. A jogcímek leképezéséhez a kis- és a nagybetűk között különbséget tevő karakterlánc-összehasonlításokat alkalmaz a rendszer. Az alábbi példa a jogcímek leképezésének folyamatát szemlélteti.

Az igénymegfeleltetési folyamat

Szervezetijogcím-készletek

A rendszer az összes bejövő jogcímet szervezeti jogcímre képezi le. a szervezeti jogcímek egy adott szervezet névterén belül található közbenső vagy normalizált formátumú jogcímek. Az összevonási szolgáltatás minden belső műveletet a szervezeti jogcímkészleten hajt végre. A szervezeti jogcímeket az erőforrás-alkalmazások használják.

A szervezeti jogcímek alkalmazásával elkerülhető az egymással kommunikáló szervezetek között továbbított leképezések egyenként történő kezelése. Minden szervezet egyetlen leképezést definiál a bejövő és kimenő szervezeti jogcímekhez. Ezzel csökkenthető az AD FS szolgáltatás felügyeleti teendőinek száma. Ha például az összevonás

x fiókpartnert és

y erőforrás-alkalmazást

foglal magában, az összevonás x + y jogcímleképezéssel rendelkezik.

Ez kevesebb, mint a lehetséges x × y számú jogcímleképezés. Konkrét számokat használva, ha az összevonás

3 fiókpartnert és

7 erőforrás-alkalmazást

foglall magában, az összevonásnak a 21 jogcímleképezés helyett csak 10 leképezésre van szüksége a bejövő jogcímek közvetlenül kimenő jogcímekre történő leképezésekor.

E-mail

Az e-mail jogcímtípusok leképezése minden esetben e-mail jogcímtípusokra történik. A leképezés részeként a fiók összevonási szolgáltatásában a tartományutótag leképezhető egy állandó értékre. Ezzel elkerülhető, hogy egy partnerszervezet akaratlanul információt szolgáltasson belső erdőstruktúrájáról egy másik szervezetnek. Az erőforrás összevonási szolgáltatásában egy állandó értékeket tartalmazó lista alapján is szűrni lehet a tartományutótagot.

A következő példa két szervezet (Dejójáték Kft. és Kalandorbolt) közötti AD FS-összevonást szemléltet. Ebben a példában a Dejójáték Kft. a fiók-, a Kalandorbolt pedig az erőforráspartner.

  • A fiók összevonási szolgáltatásként működő Dejójáték Kft. leképezi az e-mail típusú szervezeti jogcímet a Kalandorbolt e-mail típusú kimenő jogcímére, és a leképezés részeként valamennyi e-mail utótagot leképezi a kbolt.hu tartománynévre. A szervezeti e-mail jogcím (e-mail=valaki@ertekesites.de-jo-jatek.hu) alapján a kimenő e-mail jogcím (e-mail=valaki@de-jo-jatek.hu) lesz.

  • Az erőforrás összevonási szolgáltatásaként működő Kalandorbolt leképezi a Dejójáték Kft. bejövő e-mail típusú jogcímét az e-mail típusú szervezeti jogcímre, és a leképezési folyamat részeként az e-jo-jatek.hu tartomány alapján szűri az utótagok listáját. Ebből az következik, hogy a rendszer a Dejójáték Kft. bejövő e-mail típusú jogcímeit (email=valaki@e-jo-jatek.hu) elfogadja, a Kalandorbolt bejövő e-mail típusú jogcímeit (e-mail=valaki@kbolt.hu) azonban nem.

Egyszerű felhasználónév

A rendszer az egyszerű felhasználónév típusú jogcímeket mindig egyszerű felhasználónév típusú jogcímre képezi le. Az utótagok leképezése és szűrése ugyanúgy történik, mint az e-mail típusú jogcímek esetében. Mivel azonban az AD DS lehetővé teszi a @ jel nélküli egyszerű felhasználónevek használatát, a fiók összevonási szolgáltatása beszúrja a @ jelet, és elhelyezi utána az utótagot – feltéve, hogy definiálva van az egyszerű felhasználónevek utótagjainak leképezése. Minden egyéb olyan esetben, amikor a rendszer utótagot továbbít, az összevonási szolgáltatás változtatás nélkül (azaz a @ jel nélkül) továbbítja az egyszerű felhasználónevet. Ha az erőforrásoldalon bármilyen UPN-utótag használható, a rendszer elfogadja az @ jel nélküli egyszerű felhasználónevet. Ha viszont csak meghatározott UPN-utótag használható, a rendszer visszautasítja a @ jel nélküli egyszerű felhasználónevet.

Köznapi név

A rendszer a köznapi név típusú jogcímeket minden esetben köznapi név típusú jogcímre képezi le. Erre a jogcímtípusra nem vonatkoznak egyéb szabályok.

Egyéni

A rendszer az egyéni jogcímtípusokat minden esetben más egyéni jogcímtípusra képezi le. Ha például adva van egy bejövőjogcím-készlet (Egyszerű felhasználónév, Egyéni=[AlkalmazottAzonosítója, Adószám]) és egy szervezetijogcím-készlet (Egyszerű felhasználónév, Egyéni=[Alkalmazott, TAJSzám]), az AlkalmazottAzonosítója leképezhető az Alkalmazott jogcímre, az Adószám pedig a TAJSzám jogcímre.

Csoport

A rendszer a csoport típusú jogcímeket mindig más típusú csoportjogcímekre képezi le. Ha például adva van egy bejövőjogcím-készlet (Egyszerű felhasználónév, Csoport=[Egy, Kettő, Három]) és egy szervezetijogcím-készlet (Egyszerű felhasználónév, Csoport=[X,Y,Z]), leképezheti az Egy jogcímet az Y jogcímre, a Kettő jogcímet az X jogcímre, valamint a Három jogcímet a Z jogcímre.

Csoport egyszerű felhasználónévre történő leképezése

Az előző részekben ismertetett szokásos leképezések mellett egy speciális módszer, a csoport egyszerű felhasználónévre történő leképezése is alkalmazható. Ezt a leképezési módszert csak abban az esetben támogatja az erőforrások összevonási szolgáltatása, ha fiókpartnertől érkeznek bejövő jogcímek. Ilyen esetben a rendszer az egyszerű felhasználónév típusú jogcímeket nem képezi le egyszerű felhasználónév típusú jogcímekre. Ehelyett a felhasználónak meg kell adnia azt a rendezett listát, amely a csoport–UPN típusú jogcímleképezéseket tartalmazza.

Ilyen listák lehetnek például a következők:

  1. Fejl – fejlesztok@belso.de-jo-jatek.hu

  2. Teszt – tesztelok@belso.de-jo-jatek.hu

  3. PM – projektvezetok@belso.de-jo-jatek.hu

Ha például adva van egy (Köznapi név=Ambrus Zsolt, Csoport=[Fejl]) bejövőjogcím-készlet, a szervezetijogcím-készlet a (Köznapi név=Ambrus Zsolt, Egyszerű felhasználónév=fejlesztok@belso.de-jo-jatek.hu) készletet fogja tartalmazni. Ne feledje, hogy a lista rendezve van, tehát a (Köznapi név=Ambrus Zsolt, Csoport=[Fejl,PM]) jogcímkészlet eredménye (Köznapi név=Ambrus Zsolt, Egyszerű felhasználónév=fejlesztok@belso.de-jo-jatek.hu) lesz. Ha a bejövő jogcím rendelkezik egyszerű felhasználónévi jogcímmel, a rendszer felülírja azt. Ez a speciális leképezési szabály kimondottan a csoportalapú, örökölt erőforrásokhoz hozzáférő erőforrásfiókokat támogatja. A csoport–UPN típusú leképezések sorrendjét az összevonási szolgáltatás megbízhatósági házirendje határozza meg.

Jogcímek naplózása

Egyes csoportjogcímek és egyéni jogcímek kijelölhetők naplózásra. Ha a naplózás engedélyezve van, a biztonsági eseménynapló tartalmazhatja a jogcím nevét, a jogcím értékét azonban nem. Naplózható jogcím például a társadalombiztosítási szám. A naplóban megjelenik a Társadalombiztosítási szám név, de a jogcímben tárolt tényleges érték nem. A jogcím értékét nem naplózza a rendszer a jogcím létrehozásakor és leképezésekor.

Megjegyzés

Az identitás típusú jogcímek mindig naplózhatók.

Lásd még


Tartalom