Anspråk är uppgifter (t.ex. namn, identitet, nyckel, grupp, privilegium eller funktion) om användare. Uppgifterna förstås av båda parter i en AD FS-federation (Active Directory Federation Service) som används för auktorisering i ett program.

AD FS-federationstjänsten förmedlar förtroenden mellan många olika enheter. Den är utformad att tillåta utbyten av anspråk med valfria värden under förtroende. Den mottagande parten (t.ex. en resurspartner) använder sedan de här anspråken vid auktoriseringbeslut.

Det finns tre sätt för anspråk att passera genom federationstjänsten:

  • Från kontoarkivet till kontots federationstjänst till resurspartnern.

  • Från kontopartnern till resursens federationstjänst till resursprogrammet.

  • Från kontoarkivet till federationstjänsten till resursprogrammet.

Federationstjänsten kan konfigureras att fungera i alla tre rollerna. På så vis kan en enda federationstjänst underlätta alla tre kommunikationsflödena.

Det finns tre typer av anspråk som stöds av federationstjänsten: identitetsanspråk, gruppanspråk och anpassade anspråk. Följande tabell beskriver de här anspråkstyperna mer detaljerat.

Anspråkstyp Beskrivning

Identitet

UPN, e-post och eget namn benämns i AD FS som typer av identitetsanspråk.

  • UPN: indikerar ett UPN (User Principal Name) av Kerberos-typ, t.ex. användare@sfär. Bara ett anspråk kan vara av typen UPN. Även om flera UPN-värden måste kommuniceras kan bara ett av dem vara av UPN-typen. Ytterligare UPN-värden kan konfigureras som anpassade anspråkstyper.

  • E-post: indikerar e-postnamn i RFC 2822-stil (Request for Comments) i formatet användare@sfär. Bara ett anspråk får vara av typen e-post. Även om flera e-postvärden måste kommuniceras kan bara ett vara av e-posttypen. Ytterligare e-postvärden kan konfigureras som anpassade anspråkstyper.

  • Eget namn: indikerar en valfri sträng som används för personlig anpassning. Det kan t.ex. vara Johan Svensson eller Anställd på Larssons Leksaker. Bara ett anspråk kan vara av typen eget namn. Det är viktigt att veta att det inte finns någon metod som garanterar att anspråket för eget namn är unikt. Du bör därför vara försiktig när du använder den här anspråkstypen vid auktorisering.

Grupp

Indikerar medlemskap i en grupp eller roll. Administratörer definierar enskilda anspråk som har grupptypen Gruppanspråk. Du kan t.ex. definiera följande uppsättning med gruppanspråk: [Utvecklare, Testare, Projektledare]. Varje gruppanspråk är en separat administrativ enhet för ifyllnad och mappning av anspråk. Värdet på ett gruppanspråk kan betraktas som ett booleskt värde som indikerar medlemskap.

Anpassad

Indikerar ett anspråk som innehåller anpassad information om en användare, t.ex. en anställds ID-nummer.

Om mer än en av de tre typerna av identitetsanspråk finns i en token prioriteras identitetsanspråken i följande ordning:

  1. UPN

  2. E-post

  3. Eget namn

Minst en av de här tre typerna av identitetsanspråk måste finnas med för att en token ska utfärdas.

Anspråksmappning

AD FS använder WS-F PRP (WS-Federation Passive Requester Protocol) som transporterar anspråk i säkerhetstoken utfärdade av federationstjänsten. Anspråken fylls inledningsvis från antingen AD DS- (Active Directory Domain Services) eller AD LDS-kontoarkiv (Active Directory Lightweight Directory Services).

Federationstjänsten kan mappa anspråk när de skickas till eller mottas från en federationspartner. Anspråksmappning innebär mappning, borttagning, filtrering eller överföring av inkommande anspråk till utgående anspråk. Anspråksmappning utförs eventuellt på olika sätt på olika federationspartner. Det är viktigt för konfigurationen av federationen att definiera ifyllnad och mappning av dessa anspråk. Anspråksmappningar använder strängjämförelser som är skiftlägeskänsliga. Följande illustration visar anspråksmappningsprocessen.

Anspråksmappningsprocessen

Uppsättningar av organisationsanspråk

Alla inkommande anspråk mappas till organisationsanspråk. Organisationsanspråk är anspråk i mellanliggande eller normaliserad form inom en organisations namnområde. Alla interna federationstjänståtgärder utförs på uppsättningen med organisationsanspråk. Organisatoriska anspråk används av resursprogram.

Med organisationsanspråk behöver inte mappningar administreras individuellt mellan två organisationer som behöver kommunicera med varandra. Varje organisation definierar en enda mappning antingen till eller från dess organisationsanspråk. Detta minskar den administrativa komplexiteten av AD FS. Om federationen t.ex. har:

x kontopartner

y resursprogram

har federationen x + y anspråksmappningar.

Detta minskas från potentiella x × y anspråksmappningar. Ett konkret exempel: om en federationstjänst har:

3 kontopartner

7 resursprogram

behöver federationen bara tio anspråksmappningar, jämfört med 21 anspråksmappningar om mappning sker direkt från de inkommande anspråken till de utgående anspråken.

E-post

E-postanspråkstyper mappar alltid till e-postanspråkstyper. Som en del i mappningen kan domänsuffixet mappas till ett konstant värde på kontots federationstjänst. Om domänsuffixet mappas till ett konstant värde skyddar det en partnerorganisation från att tillhandahålla information om sin interna skogstruktur till en annan organisation av misstag. I resursens federationstjänst kan domänsuffixet filtreras med en lista med konstanta värden.

Följande exempel beskriver en AD FS-federation mellan två organisationer, Tailspin Toys och Adventure Works. I exemplet är Tailspin Toys kontopartner och Adventure Works resurspartner.

  • Tailspin Toys, som fungerar som kontofederationstjänst, mappar e-postorganisationsanspråket till det utgående e-postanspråket för Adventure Works. Som en del i mappningen mappas alla e-postsuffix till tailspintoys.com. Utifrån organisationens e-postanspråk (e-mail=jsmith@sales.tailspintoys.com) är det utgående e-postanspråket (e-mail=jsmith@tailspintoys.com).

  • Adventure Works, som fungerar som resursfederationstjänst, mappar det inkommande e-postanspråket från Tailspin Toys med organisationens e-postanspråk. Dessutom filtreras suffixlistan mot tailspintoys.com. Därför accepteras ett inkommande e-postanspråk från Tailspin Toys (e-mail=jsmith@tailspintoys.com) medan ett inkommande e-postanspråk från Tailspin Toys (e-mail=jsmith@adventure-works.com) förkastas.

UPN

UPN-anspråkstyper mappas alltid till UPN-anspråkstyper. De omfattas av suffixmappningar och filtrering på samma sätt som e-postanspråk. Men eftersom AD DS tillåter UPN utan @-tecken lägger kontofederationstjänsten till tecknet @ följt av suffixet om det finns en UPN-suffixmappning definierad. Annars, om ett suffix skickas vidare så skickar federationstjänsten UPN som det är, utan @-tecken. På resurssidan, om något UPN-suffix tillåts, accepteras UPN utan symbolen @. Annars, om ett specifikt UPN-suffix är tillåtet, förkastas UPN utan @-tecken.

Eget namn

Anspråkstyper för egna namn mappas alltid till anspråkstyper för egna namn. De omfattas inte av några ytterligare regler.

Anpassad

Anpassade anspråkstyper mappas alltid till andra anpassade anspråkstyper. Om det t.ex. finns en uppsättning inkommande anspråk (UPN, Custom=[EmployeeNumber, TaxPayerID]) och en uppsättning organisationsanspråk (UPN, Custom=[Employee, SSN]) kan du skapa mappningar från EmployeeNumber till Employee och från TaxPayerID till SSN.

Grupp

Gruppanspråkstyper mappas alltid till andra gruppanspråkstyper. Om det t.ex. finns en uppsättning inkommande anspråk av (UPN, Group=[One, Two, Three]) och en uppsättning organisationsanspråk (UPN, Custom=[Employee, SSN]) kan du skapa mappningar från One till Y, från Two till X och från Three till Z.

Grupp-till-UPN-mappning

Utöver de standardmappningar som beskrivs i föregående avsnitt kan du också använda en speciell grupp-till-UPN-anspråksmappning. Grupp-till-UPN-anspråksmappning stöds bara på resursfederationstjänsten när anspråk kommer från en kontopartner. I det här fallet mappar inte UPN-anspråkstyper till UPN-anspråkstyper. I stället anger du en lista med grupp-till-UPN-anspråksmappningar i ordningsföljd.

T.ex. kan grupp-till-UPN-listan vara:

  1. Dev till developers@internal.tailspintoys.com.

  2. Test till testers@internal.tailspintoys.com.

  3. PM till progmgrs@internal.tailspintoys.com.

Utifrån en viss uppsättning inkommande anspråk med (Common name=John Smith, Group=[Dev]) innehåller uppsättningen med organisationsanspråk (Common name=John Smith, UPN=developers@internal.tailspintoys.com). Kom ihåg att listan är i ordningsföljd. Därför leder en anspråksuppsättning med (Common name=John Smith, Group=[Dev,PM]) till (Common name=John Smith, UPN=developers@internal.tailspintoys.com). Dessutom, om det inkommande anspråket har ett UPN, skrivs UPN över. Den här speciella mappningsregeln stöder gruppbaserade resurskonton med åtkomst till äldre resurser. Ordningen för grupp-till-UPN-mappningarna anges i förtroendeprincipen för federationstjänsten.

Granska anspråk

Vissa gruppanspråk och anpassade anspråk kan vara utvalda som granskningsbara. När granskning är aktiverad tillåts att anspråkets namn visas i säkerhetshändelseloggen men anspråkets värde utelämnas. Ett exempel på ett granskningsbart anspråk är personnummer. Anspråksnamnet Personnummer visas men det numeriska värde som lagras i anspråket visas inte. Anspråkets värde granskas inte när anspråket skapas eller mappas.

OBS

Identitetsanspråkstyper är alltid granskningsbara.

Se även


Innehåll