Talepler, bir uygulamada yetkilendirme amacıyla kullanılan, kullanıcılar hakkında yapılan ve Active Directory Federasyon Hizmeti (AD FS) federasyonundaki her iki ortak tarafından anlaşılan açıklamalardır (örneğin ad, kimlik, anahtar, grup, ayrıcalık veya yetenek).

AD FS Federasyon Hizmeti aracıları, birçok farklı varlık arasında güven oluşturur. Rasgele değerler içeren taleplerin güvenli bir şekilde değiştirilmesine olanak verecek şekilde tasarlanmıştır. Alıcı taraf (örneğin, bir kaynak ortağı) bu talepleri yetkilendirme kararları vermek için kullanır.

Taleplerin Federasyon Hizmeti üzerinden akışı üç şekilde olur:

  • Hesap deposundan hesap Federasyon Hizmeti'ne ve kaynak ortağına

  • Hesap ortağından kaynak Federasyon Hizmeti'ne ve kaynak uygulamasına

  • Hesap deposundan Federasyon Hizmeti'ne ve kaynak uygulamasına

Federasyon Hizmeti her üç rolde çalışacak şekilde yapılandırılabilir. Bu nedenle, tek bir Federasyon Hizmeti, üç iletişim akışını da kolaylaştırabilir.

Federasyon Hizmeti'nin desteklediği üç talep türü vardır: kimlik talepleri, grup talepleri ve özel talepler. Aşağıdaki tabloda bu talep türlerinin her biri ayrıntılı olarak açıklanır.

Talep türü Description

Kimlik

UPN, e-posta ve ortak ad, ADFS'de kimlik talebi türleri olarak adlandırılır:

  • UPN: bir Kerberos stili kullanıcı asıl adı (UPN) belirtir, örneğin: kullanıcı@bölge. Yalnızca tek bir talep UPN türü olabilir. Birden çok UPN değeri ile iletişim kurulması gerekse bile, bunlardan yalnızca biri UPN türünde olabilir. Ek UPN'ler özel talep türleri olarak yapılandırılabilir.

  • E-posta: Kullanıcı@etkialanı biçimindeki Açıklama İsteği (RFC) 2822 stili e-posta adlarını belirtir. Yalnızca tek bir talep e-posta türünde olabilir. Birden çok e-posta değeri ile iletişim kurulması gerekse bile, bunlardan yalnızca biri e-posta türünde olabilir. Ek e-postalar özel talep türleri olarak yapılandırılabilir.

  • Ortak ad: kişiselleştirme için kullanılan rasgele bir dizeyi belirtir. John Smith veya Tailspin Toys Çalışanı örnek olarak verilebilir. Yalnızca tek bir talep ortak ad türünde olabilir. Ortak ad talebinin benzersizliğini güvenceye alacak bir mekanizma olmadığını belirtmekte yarar vardır. Bu nedenle, yetkilendirme kararları için bu talep türünü kullanırken dikkatli olun.

Grup

Bir grup veya roldeki üyeliği belirtir. Yöneticiler, grup türü "Grup talepleri" olan bireysel talepler tanımlar. Örneğin aşağıdaki grup talepleri kümesini tanımlayabilirsiniz: [Geliştirici, Sınayıcı, Program Yöneticisi]. Her grup talebi, talep doldurma ve eşleme için ayrı bir yönetim birimidir. Grup talebinin değerini, üyelik belirten bir Boole değeri olarak düşünmek yararlı olur.

Özel

Kullanıcı hakkında özel bilgi içeren bir talebi gösterir; örneğin çalışan kimlik numarası.

Belirteçte üç kimlik talebi türünden birden fazlası varsa, kimlik taleplerinin önceliği aşağıdaki sırayla belirlenir:

  1. UPN

  2. E-posta

  3. Ortak ad

Belirtecin verilmesi için bu kimlik talebi türlerinden en az birinin olması gerekir.

Talep eşleme

AD FS, talepleri Federasyon Hizmeti tarafından verilen güvenlik belirteçlerinde taşıyan WS Federasyon Edilgen İstek Sahibi Protokolü'nü (WS-F PRP) kullanır. Talepler, başlangıçta Active Directory Etki Alanı Hizmetleri (AD DS) hesap depoları veya Active Directory Basit Dizin Hizmetleri (AD LDS) hesap depoları kullanılarak hesap depolarından doldurulur.

Federasyon Hizmeti talepleri, bir federasyon ortağına gittiklerinde veya bir federasyon ortağından geldiklerinde eşleyebilir. Talep eşleme; eşleme, kaldırma veya filtreleme ya da gelen talepleri giden taleplere geçirme işlemidir. Talep eşlemesi her federasyon ortağı için farklı olabilir. Bu taleplerin doldurulmasının ve eşlenmesinin tanımlanması, federasyonun yapılandırılması için önemlidir. Talep eşlemeleri, büyük/küçük harf duyarlı dize karşılaştırmalarını kullanır. Aşağıdaki şekil talep eşleme işlemini gösterir.

Talep eşleme işlemi

Kuruluş talebi kümeleri

Tüm gelen talepler kuruluş taleplerine eşlenir. Kuruluş talepleri, bir kuruluşun ad alanındaki ara veya normalleştirilmiş biçimde olan taleplerdir. Tüm iç Federasyon Hizmeti eylemleri kuruluş talep kümesinde gerçekleştirilir. Kuruluş talepleri, kaynak uygulamaları tarafından kullanılır.

Kuruluş taleplerinde, eşlemelerin, iletişim kurması gereken iki kuruluş arasında ayrı ayrı yönetilmesi gerekmez. Her kuruluş, kendi taleplerine veya taleplerinden tek bir eşleme tanımlar. Bu, AD FS yönetiminin karmaşıklığını azaltır. Örneğin, federasyonda aşağıdakiler varsa:

x hesap ortağı

y kaynak uygulaması

federasyonun x + y miktarında talep eşlemesi vardır.

Olası x × y talep eşlemesi sayısı bu değere düşürülür. Somut örnek olarak bir Federasyon Hizmeti'nde aşağıdakiler varsa:

3 hesap ortağı

7 kaynak uygulaması

Gelen taleplerden giden taleplere doğrudan eşleme yapıldığında, federasyonun olası 21 talep eşlemesine değil yalnızca 10 talep eşlemesine gereksinimi vardır.

E-posta

E-posta talep türleri her zaman e-posta talep türlerine eşlenir. Bu eşlemenin bir parçası olarak, hesap Federasyon Hizmeti'nde etki alanı soneki sabit bir değere eşlenebilir. Etki alanı sonekinin sabit bir değerle eşlenmesi, bir ortak kuruluşun yanlışlıkla kendi iç orman yapısıyla ilgili bilgileri başka bir kuruluşa vermesini önler. Kaynak Federasyon Hizmeti'nde, etki alanı sonekine sabit değerler listesine göre filtre uygulanabilir.

Aşağıdaki örnekte, iki kuruluş (Tailspin Toys ve Adventure Works) arasındaki AD FS federasyonu açıklanmıştır. Bu örnekte Tailspin Toys hesap ortağı, Adventure Works ise kaynak ortağıdır.

  • Hesap Federasyon Hizmeti olarak davranan Tailspin Toys, e-posta kuruluş talebini, Adventure Works için giden e-posta talebine eşler. Bu eşlemenin parçası olarak, tüm e-posta soneklerini tailspintoys.com'a eşler. Kuruluş e-posta talebi (e-posta=jsmith@satis.tailspintoys.com) ise, giden e-posta talebi (e-posta=jsmith@tailspintoys.com) olur.

  • Kaynak Federasyon Hizmeti olarak davranan Adventure Works, gelen Tailspin Toys e-posta talebini e-posta kuruluş talebine eşler ve bu eşlemenin parçası olarak, sonek listesine tailspintoys.com'a göre filtre uygular. Bu nedenle, (e-posta=jsmith@tailspintoys.com) gelen Tailspin Toys e-posta talebi kabul edilirken (e-posta=jsmith@adventure-works.com) gelen Tailspin Toys e-posta talebi reddedilir.

UPN

UPN talebi türleri her zaman diğer UPN talebi türlerine eşlenir. Bu talep türlerine, e-posta talepleriyle aynı sonek eşleme ve filtre uygulama işlemleri uygulanır. Bununla birlikte, AD DS @ simgesi olmayan UPN'lere izin verdiğinden, hesap Federasyon Hizmeti @ simgesini ve tanımlanmış bir UPN sonek eşlemesi varsa ardından da bu soneki ekler. Tersi durumda, herhangi bir sonek geçirilirse, Federasyon Hizmeti UPN'yi @ simgesi olmadan, olduğu gibi geçirir. Kaynak tarafında, herhangi bir UPN sonekine izin veriliyorsa, @ simgesi olmayan UPN kabul edilir. Tersi durumda, belirli bir UPN sonekine izin veriliyorsa, @ simgesi olmayan UPN reddedilir.

Ortak ad

Ortak ad talep türleri her zaman ortak ad talep türlerine eşlenir. Ek kural uygulanmaz.

Özel

Özel talep türleri her zaman diğer özel talep türlerine eşlenir. Örneğin, (UPN, Custom=[ÇalışanNo, VergiÖdeyenKimliği]) şeklinde bir gelen talep kümesi ve (UPN, Custom=[Çalışan, SSN]) şeklinde bir kuruluş talebi kümesi olduğunda, ÇalışanNo'dan Çalışan'a ve VergiÖdeyenKimliği'nden SSN'ye eşlemeler oluşturabilirsiniz.

Grup

Grup talebi türleri her zaman diğer grup talebi türlerine eşlenir. Örneğin, (UPN, Group=[Bir, İki, Üç]) şeklinde bir gelen talep kümesi ve (UPN, Group=[A,B,C]) şeklinde bir kuruluş talebi kümesi olduğunda, Bir'den A'ya, İki'den B'ye ve Üç'ten C'ye eşlemeler oluşturabilirsiniz.

Grup-UPN eşlemesi

Önceki bölümlerde açıklanan standart eşlemelere ek olarak, özel bir grup-UPN talep eşlemesi de kullanabilirsiniz. Talepler bir hesap ortağından geldiğinde, grup-UPN talep eşlemesi yalnızca kaynak Federasyon Hizmeti'nde desteklenir. Bu durumda, UPN talep türleri UPN talep türlerine eşlenmez. Bunun yerine, grup-UPN talep eşlemelerinin sıralı bir listesini sağlarsınız.

Örneğin, grup-UPN listesi aşağıdaki gibi olabilir:

  1. Gel ile gelistiriciler@dahili.tailspintoys.com

  2. Sna ile sinayicilar@dahili.tailspintoys.com

  3. PY ile Programynt@dahili.tailspintoys.com

(Common name=John Smith, Group=[Gel]) şeklinde bir gelen talep kümesi olduğunda, kuruluş talebi kümesinde (Common name=John Smith, UPN=gelistiriciler@dahili.tailspintoys.com) bulunur. Listenin sıralı olduğunu unutmayın. Bu nedenle, (Common name=John Smith, Group=[Gel,PY]) şeklindeki talep kümesinin sonucu (Common name=John Smith, UPN=gelistiriciler@dahili.tailspintoys.com) olur. Ayrıca, gelen talebin UPN'si varsa, UPN'nin üzerine yazılır. Bu özel eşleme kuralı, eski kaynaklara erişen grup tabanlı kaynak hesaplarını destekler. Grup-UPN eşlemelerinin sırası, Federasyon Hizmeti'nin güven ilkesinde belirtilir.

Talepleri denetleme

Bazı grup talepleri ve özel talepler, denetlenebilir biçimde tanımlanabilir. Denetleme etkinleştirildiğinde, denetim, talebin adının güvenlik olay günlüğünde gösterilmesine izin verir, ancak talebin değeri atlanır. Denetlenebilir talebe örnek olarak Sosyal Güvenlik Numarası verilebilir. Talep adı olarak Sosyal Güvenlik Numarası gösterilir, ancak söz konusu talepte depolanan gerçek sayı değeri gösterilmez. Talebin üretilmesi veya eşlenmesi sırasında talep değeri denetlenmez.

Not

Kimlik talebi türleri her zaman denetlenebilir.

Ayrıca Bkz.


İçindekiler