Общее представление о типах приложений для федерации AD FS

Утверждения - это относящиеся к пользователям (и понятные обоим партнерам в службах федерации Active Directory) предложения (например, имя, удостоверение, ключ, группа, привилегия или возможность), которые используются в целях получения разрешений в приложении.

Приложение, поддерживающее утверждения, - это приложение Microsoft ASP.NET, написанное с использованием библиотеки классов служб федерации Active Directory. Приложения этого типа полностью способны использовать утверждения служб федерации Active Directory для непосредственного принятия решения об авторизации. Приложение, поддерживающее утверждения, принимает утверждения, которые служба федерации отправляет в токенах безопасности служб федерации Active Directory. Дополнительные сведения об использовании службой федерации токенов безопасности и утверждений см. в разделе Общее представление о службе роли «Служба федерации».

Сопоставление утверждений - это операция сопоставления, удаления или фильтрации либо передачи входящих утверждений в исходящие утверждения. Если утверждения отправляются в приложение, сопоставление утверждений не выполняется. Вместо этого приложению отправляются только утверждения организации, указанные администратором службы федерации у партнера по ресурсам. (Утверждения организации - это утверждения в промежуточной или нормализованной форме в пределах пространства имен организации). Дополнительные сведения об утверждениях и сопоставлении утверждений см. в разделе Общее представление об утверждениях.

В приводимом ниже списке перечислены утверждения организации, которые могут использоваться приложениями, поддерживающими утверждения.

• Идентификационные утверждения (имя участника-пользователя, электронная почта, общее имя)
  
  При настройке приложения должны быть указаны идентификационные утверждения, которые будут отправляться в приложение. Сопоставление или фильтрация не выполняется.
  
  
• Утверждения о группе
  
  При настройке приложения должны быть указаны утверждения о группе организации, которые будут отправляться в приложение. Утверждения о группе организации, не выбранные для отправки в приложение, будут отвергнуты.
  
  
• Настраиваемые утверждения
  
  При настройке приложения должны быть указаны настраиваемые утверждения организации, которые будут отправляться в приложение. Настраиваемые утверждения организации, не выбранные для отправки в приложение, будут отвергнуты.
  
  

Приложение, использующее токены Windows NT - это приложение служб IIS, предназначенное для применения традиционных встроенных механизмов авторизации Windows. Приложение этого типа не подготовлено для потребления утверждений служб федерации Active Directory.

Приложения, использующие токены Windows NT, могут применять только пользователи Windows из локальной области или из любой области, которой доверяет локальная область, то есть только пользователи, которые могут войти на компьютер с помощью механизмов проверки подлинности на основе токенов Windows NT.

	Примечание
	Это означает, что в схемах федерации для проверки подлинности на основе токенов Windows NT могут потребоваться учетные записи ресурсов или группы ресурсов.

Токен безопасности служб федерации Active Directory, посылаемый агенту, использующему токены Windows NT, может содержать утверждение любого из следующих типов:

• предназначенное для пользователя утверждение на имя участника-пользователя;
  
  
• предназначенное для пользователя утверждение на электронную почту;
  
  
• утверждение о группе;
  
  
• настраиваемое утверждение для пользователя;
  
  
• утверждение на имя участника-пользователя, на электронную почту, о группе или настраиваемое утверждение, содержащее идентификаторы безопасности для учетной записи пользователя. (Этот вариант действует, только когда включен режим Доверие Windows.)
  
  

Веб-сервер с поддержкой служб федерации Active Directory генерирует токен доступа Windows на уровне олицетворения. Токен доступа на уровне олицетворения захватывает сведения о безопасности процесса клиента, что позволяет службе «олицетворять» процесс клиента в операциях безопасности.

Для веб-приложений, использующих токены Windows NT, создание токена Windows NT определяется приводимой ниже последовательностью процессов.

1. Если токен SAML в элементе совета SAML содержит ИД безопасности, для создания токена Windows NT используются ИД безопасности.
   
   
2. Если токен SAML не содержит ИД безопасности, а вместо этого содержит идентификационное утверждение на имя участника-пользователя, для создания токена Windows NT используется утверждение на имя участника-пользователя.
   
   
3. Если токен SAML не содержит ИД безопасности, а в идентификационном утверждении на электронную почту содержится идентификационное утверждение на имя участника-пользователя, оно интерпретируется как имя участника-пользователя и используется для создания токена Windows NT.
   
   

Такой порядок действует независимо от того, указано ли идентификационное утверждение на имя участника-пользователя или утверждение на электронную почту в качестве идентификационного утверждения, которое используется для создания токена Windows NT, когда в службе федерации создают запись политики доверия для веб-приложения.