Ansprüche und TokenClaims and Tokens

Dieses Thema beschreibt die verschiedenen Anspruchstypen, die Windows Communication Foundation (WCF) aus den Standardtoken erstellt, die es unterstützt.This topic describes the various claim types that Windows Communication Foundation (WCF) creates from the default tokens that it supports.

Sie können die Ansprüche von Clientanmeldeinformationen prüfen, indem Sie die ClaimSet-Klasse und die Claim-Klasse verwenden.You can examine the claims of a client credential by using the ClaimSet and Claim classes. ClaimSet enthält eine Auflistung von Claim-Objekten.The ClaimSet contains a collection of Claim objects. Jeder Claim verfügt über die folgenden wichtigen Member:Each Claim has the following important members:

  • Die ClaimType-Eigenschaft gibt einen Uniform Resource Identifier (URI) zurück, der den Typ des erhobenen Anspruches angibt.The ClaimType property returns a Uniform Resource Identifier (URI) that specifies the type of claim being made. Beispielsweise kann es sich bei einem Anspruchstypen um einen Fingerabdruck eines Zertifikats handeln. In diesem Fall ist der URI http:schemas.microsoft.com/ws/20005/05/identity/claims/thumprint.For example, a claim type may be a thumbprint of a certificate, in which case the URI is http:schemas.microsoft.com/ws/20005/05/identity/claims/thumprint.

  • Die Right-Eigenschaft gibt einen URI zurück, der das Recht des Anspruchs angibt.The Right property returns a URI that specifies the right of the claim. Vordefinierte Rechte befinden sich in der Rights-Klasse (Identity, PossessProperty).Predefined rights are found in the Rights class (Identity, PossessProperty).

  • Die Resource-Eigenschaft gibt die dem Anspruch zugeordnete Ressource zurück.The Resource property returns the resource associated with the claim.

Jeder ClaimSet verfügt auch über eine Issuer-Eigenschaft, die den ClaimSet des Issuer darstellt.Each ClaimSet also has an Issuer property, which represents the ClaimSet of the Issuer.

Windows-KontenWindows Accounts

Wo einem Windows-Benutzerkonto Clientanmeldeinformationen zugeordnet werden, weist der resultierende ClaimSet die folgenden Werte auf:Where a client credential maps to a Windows user account, the resulting ClaimSet has the following values:

  • Der Issuer ist der von der statischen Windows-Eigenschaft der ClaimSet-Klasse zurückgegebene Wert.The Issuer is the value returned by the static Windows property of the ClaimSet class.

  • In der Auflistung sind folgende Ansprüche enthalten:The claims in the collection are:

    • Ein Claim mit einem ClaimType-Wert der Sicherheits-ID (SID), einem Right-Eigenschaftswert von Identity und einer Resource, die den tatsächlichen SID-Wert zurückgibt.A Claim with a ClaimType value of security identifier (SID), a Right property value of Identity, and a Resource that returns the actual SID value. Eine SID ist ein eindeutiger Wert, den der Domänencontroller jedem Benutzer angibt.A SID is a unique value the domain controller issues to every user. Die SID wird verwendet, um den Benutzer in Interaktionen mit Windows-Sicherheit zu identifizieren.The SID is used to identify the user in interactions with Windows security.

    • Ein Claim mit einem ClaimType-Wert der SID, einem Right von PossessProperty und einer Resource des SID-Werts.A Claim with a ClaimType value of SID, a Right of PossessProperty, and a Resource of the SID value.

    • Ein Claim mit einem ClaimType von Name, einem Right von PossessProperty und einer Resource der den Benutzernamen enthaltenden Zeichenfolge (beispielsweise "MYMACHINE\Bob").A Claim with a ClaimType of Name, a Right of PossessProperty and a Resource of string containing the user name (for example, "MYMACHINE\Bob").

    • Zusätzliche SID-Ansprüche bei PossessProperty für die verschiedenen Gruppen, zu denen der Benutzer gehört.Additional SID claims with PossessProperty for the various groups the user belongs to.

ZertifikateCertificates

Wenn es sich bei den Clientanmeldeinformationen um ein Zertifikat handelt, verfügt der resultierende ClaimSet über die folgenden Werte:Where the client credential is a certificate, the resulting ClaimSet has the following values:

  • Bei selbst herausgegebenen Zertifikaten ist Issuer der ClaimSet selbst.For self-issued certificates, the Issuer is the ClaimSet itself. ClaimSet gibt einen ClaimType von Thumbprint, ein Right von Identity und einen Resource-Wert zurück, bei dem es sich um einen Byte-Array handelt, der den Fingerabdruck des Zertifikats beinhaltet.The ClaimSet returns a ClaimType of Thumbprint, a Right of Identity, and a Resource value that is a Byte array containing the thumbprint of the certificate.

  • Für ein von einer Zertifizierungsstelle ausgestelltes Zertifikat ist der Aussteller der ClaimSet, der das Zertifikat der Zertifizierungsstelle darstellt.For a certificate issued by a certification authority, the issuer is the ClaimSet representing the certification authority’s certificate.

  • Die Claims in der Auflistung beinhalten folgende Elemente:The Claims in the collection include:

    • Ein Claim mit dem ClaimType Fingerabdruck, einem Right von PossessProperty und einer Resource, bei der es sich um ein Bytearray handelt, das den Fingerabdruck des Zertifikats beinhaltet.A Claim with a ClaimType of Thumbprint, a Right of PossessProperty, and a Resource that is a byte array containing the thumbprint of the certificate

    • Zusätzliche PossessProperty-Ansprüche verschiedener Typen, einschließlich X500DistinguishedName, DNS, Name, UPN und RSA sind verschiedene Eigenschaften des Zertifikats.Additional PossessProperty claims of various types, including X500DistinguishedName, Dns, Name, Upn, and Rsa, represent various properties of the certificate. Die Ressource für den Rsa-Anspruch ist der öffentliche Schlüssel mit dem Zertifikat verknüpft ist. Hinweis , in dem der Typ der Clientanmeldeinformationen ein Zertifikat ist, der Dienst Windows zugeordnet, zu berücksichtigen, zwei ClaimSet -Objekte generiert.The resource for the Rsa claim is the public key associated with the certificate.Note Where the client credential type is a certificate that the service maps to a Windows account, two ClaimSet objects are generated. Die erste Ressource beinhaltet alle Ansprüche in Zusammenhang mit dem Windows-Konto, und die zweite Ressource beinhaltet alle Ansprüche, die mit dem Zertifikat in Zusammenhang stehen.The first contains all the claims related to the Windows account and the second contains all the claims related to the certificate.

Benutzername/KennwortUser Name/Password

Handelt es sich bei den Clientanmeldeinformationen um einen Benutzernamen bzw. ein Kennwort (oder Äquivalent), der bzw. das keinem Windows-Konto zugeordnet ist, wird der daraus resultierende ClaimSet von der statischen System-Eigenschaft der ClaimSet-Klasse ausgestellt.Where the client credential is a user name/password (or equivalent) that does not map to a Windows account, the resulting ClaimSet is issued by the static System property of the ClaimSet class. Die ClaimSet enthält ein Identity Anspruch des Typs Name enthält, deren Ressourcen der Benutzername des Clients ist.The ClaimSet contains an Identity claim of type Name whose resource is the user name the client provides. Ein entsprechender Anspruch besitzt einRight von PossessProperty.A corresponding claim has a Right of PossessProperty.

RSA-SchlüsselRSA Keys

Während ein RSA-Schlüssel, die nicht mit einem Zertifikat verknüpfte verwendet wird, das resultierende ClaimSet selbst-herausgegeben und enthält eine Identity Anspruch des Typs Rsa , deren Ressourcen ist die RSA-Schlüssel.Where an RSA key not associated with a certificate is used, the resulting ClaimSet is self-issued and contains an Identity claim of type Rsa whose resource is the RSA key. Ein entsprechender Anspruch besitzt einRight von PossessProperty.A corresponding claim has a Right of PossessProperty.

SAMLSAML

Wird der Client mit einem Security Assertions Markup Language (SAML)-Token authentifiziert, wird der resultierende ClaimSet von der Entität ausgestellt, von der das SAML-Token signiert wurde. Oftmals handelt es sich dabei um das Zertifikat des Sicherheitstokendiensts (STS), von dem das SAML-Token ausgestellt wurde.Where the client authenticates with a Security Assertions Markup Language (SAML) token, the resulting ClaimSet is issued by the entity that signed the SAML token, often the certificate of the security token service (STS) that issued the SAML token. ClaimSet enthält verschiedene Ansprüche, die sich im SAML-Token befinden.The ClaimSet contains various claims as found in the SAML token. Beinhaltet das SAML-Token einen SamlSubject mit einem Nicht-null-Namen, werden ein Identity-Anspruch mit dem Typ NameIdentifier und ein Ressourcentyp von SamlNameIdentifierClaimResource erstellt.If the SAML token contains a SamlSubject with a non-null name, then an Identity claim with a type of NameIdentifier and a resource type of SamlNameIdentifierClaimResource are created.

Identitätsansprüche und ServiceSecurityContext.IsAnonymousIdentity Claims and ServiceSecurityContext.IsAnonymous

Wenn keines der ClaimSet Objekte, die aus den Clientanmeldeinformationen resultierende enthalten einen Anspruch mit einer Right von Identity, und dann die IsAnonymous -Eigenschaft gibt true.If none of the ClaimSet objects resulting from the client credentials contain a claim with a Right of Identity, then the IsAnonymous property returns true. Ist mindestens ein derartiger Anspruch vorhanden, gibt die IsAnonymous-Eigenschaft false zurück.If one or more such claims are present, the IsAnonymous property returns false.

Siehe auchSee Also

ClaimSet
Claim
Rights
ClaimTypes
Verwalten von Ansprüchen und Autorisierung mit dem IdentitätsmodellManaging Claims and Authorization with the Identity Model