Rolle von Ansprüchen
Im anspruchsbasierten Identitätsmodell spielen Ansprüche eine Schlüsselrolle im Verbundprozess. Sie stellen die Schlüsselkomponente dar, nach der die Ergebnisse aller webbasierten Authentifizierungs- und Autorisierungsanforderungen bestimmt werden. Dieses Modell ermöglicht es Organisationen, digitale Identitäten und Bezugsrechte bzw. Ansprüche über Sicherheits- und Unternehmensgrenzen hinweg auf standardisierte Weise sicher zu planen.
Was sind Ansprüche?
In ihrer einfachsten Form sind Ansprüche einfach Aussagen (z. B. Name, Identität, Gruppe) zu Benutzern, die hauptsächlich zur Autorisierung des Zugriffs auf anspruchsbasierte Anwendungen angegeben werden, die sich an beliebiger Stelle im Internet befinden. Jede Aussage entspricht einem Wert, der im Anspruch gespeichert wird.
Belegen von Ansprüchen
Der Verbunddienst in Active Directory-Verbunddienste (AD FS) bestimmt, welche Ansprüche zwischen Verbundpartnern ausgetauscht werden. Dazu muss der Anspruch zunächst mit einem abgerufenen oder berechneten Wert ausgefüllt oder belegt werden. Jeder Anspruchswert stellt einen Wert eines Benutzers, einer Gruppe oder Entität dar und es gibt zwei Möglichkeiten, um diesen zu belegen:
Der Wert, der den Anspruch bildet, wird aus einem Attributspeicher abgerufen, z. B. kann ein Attributwert der Vertriebsabteilung aus den Eigenschaften eines Active Directory-Benutzerkontos abgerufen werden. Weitere Informationen finden Sie unter Rolle des Attributspeichers.
Der Wert eines eingehenden Anspruchs wird auf Basis der in einer Regel angegebenen Logik in einen anderen Wert transformiert. Wenn z. B. ein eingehender Anspruch mit dem Wert "Domänenadministratoren" in den neuen Wert "Administratoren" transformiert wird, bevor dieser als ausgehender Anspruch gesendet wird. Weitere Informationen finden Sie unter Rolle von Anspruchsregeln.
Ansprüche können Werte wie E-Mail-Adressen, Benutzerprinzipalnamen, Gruppenmitgliedschaften und andere Kontoattribute einbeziehen.
Verlauf von Ansprüchen
Andere Parteien sind auf die Werte der Ansprüche angewiesen, um Autorisierungsaufgaben für von ihnen gehostete webbasierte Anwendungen durchzuführen. Diese Parteien werden im Snap-In „Verwaltung“ von AD FS als vertrauende Seiten bezeichnet. Der Verbunddienst ist für die Vermittlung der Vertrauensstellung zwischen vielen verschiedenartigen Seiten zuständig. Er ist dafür vorgesehen, den vertrauenswürdigen Austausch von Ansprüchen zwischen einer Organisation, die die Ansprüche anfänglich ausstellt und im Snap-In „Verwaltung“ von AD FS als Anspruchsanbieter bezeichnet wird, und einer vertrauenden Seite zu verarbeiten und zu steuern. Eine vertrauende Seite verwendet diese Ansprüche dann zum Treffen von Autorisierungsentscheidungen.
Der diesen Prozess verwendende Anspruchsverlauf wird als Anspruchspipeline bezeichnet. Der Anspruchsverlauf durch die Anspruchspipeline umfasst drei Schritte:
Die vom Anspruchsanbieter empfangenen Ansprüche werden mit Akzeptanztransformationsregeln der Vertrauensstellung des Anspruchsanbieters verarbeitet. Diese Regeln bestimmen, welche Ansprüche vom Anspruchsanbieter akzeptiert werden.
Die Ausgabe der Akzeptanztransformationsregeln wird als Eingabe für die Ausstellungsautorisierungsregeln verwendet. Diese Regeln bestimmen, ob dem Benutzer der Zugriff auf die vertrauende Seite gestattet ist.
Die Ausgabe der Akzeptanztransformationsregeln wird als Eingabe für die Ausstellungstransformationsregeln verwendet. Diese Regeln bestimmen die Ansprüche, die an die vertrauende Seite gesendet werden.
Weitere Informationen finden Sie unter Rolle der Anspruchspipeline.
Ausstellen von Ansprüchen
Beim Erstellen von Anspruchsregeln hängt die Quelle der eingehenden Ansprüche für die Anspruchsregeln davon ab, ob Sie die Regeln für die Vertrauensstellung eines Anspruchsanbieters oder einer vertrauenden Seite erstellen. Wenn Sie Anspruchsregeln für eine Anspruchsanbieter-Vertrauensstellung erstellen, entsprechen die eingehenden Ansprüche den Ansprüchen, die vom vertrauenswürdigen Anspruchsanbieter an den Verbunddienst gesendet werden. Wenn Sie Regeln für die Vertrauensstellung der vertrauenden Seite erstellen, entsprechen die eingehenden Ansprüche den Ansprüchen, die von den Anspruchsregeln der maßgeblichen Anspruchsanbieter-Vertrauensstellung ausgegeben werden. Weitere Informationen zu ein- und ausgehenden Ansprüchen finden Sie unter Rolle der Anspruchspipeline und Rolle der Anspruchs-Engine.
Was sind Anspruchstypen?
Ein Anspruchstyp stellt den Kontext für den Anspruchswert bereit. Er wird normalerweise als URI (Uniform Resource Identifier) angegeben. AD FS kann beliebige Anspruchstypen unterstützten und ist standardmäßig mit den Anspruchstypen in der folgenden Tabelle konfiguriert.
| Name | Beschreibung | URI |
|---|---|---|
| E-Mail-Adresse | E-Mail-Adresse des Benutzers | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
| Vorname | Angegebener Name des Benutzers | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname |
| Name | Eindeutiger Name des Benutzers | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
| UPN | Der Benutzerprinzipalname (UPN) des Benutzers. | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn |
| Allgemeiner Name | Allgemeiner Name des Benutzers | http://schemas.xmlsoap.org/claims/CommonName |
| AD FS 1.x-E-Mail-Adresse | E-Mail-Adresse des Benutzers bei Interaktion mit AD FS 1.1 oder AD FS 1.0 | http://schemas.xmlsoap.org/claims/EmailAddress |
| Group | Eine Gruppe, in der der Benutzer Mitglied ist | http://schemas.xmlsoap.org/claims/Group |
| AD FS 1.x UPN | UPN des Benutzers bei Interaktion mit AD FS 1.1 oder AD FS 1.0 | http://schemas.xmlsoap.org/claims/UPN |
| Rolle | Eine Rolle, über die der Benutzer verfügt | http://schemas.microsoft.com/ws/2008/06/identity/claims/role |
| Surname | Nachname des Benutzers | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname |
| PPID | Private ID des Benutzers | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier |
| Namensbezeichner | SAML-Namensbezeichner des Benutzers | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
| Authentifizierungsmethode | Zur Authentifizierung des Benutzers verwendete Methode | http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod |
| Nur Gruppen-SID verweigern | Die Gruppen-SID "Nur verweigern" des Benutzers | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid |
| Nur primäre SID verweigern | Die primäre SID "Nur verweigern" des Benutzers | http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid |
| Nur primäre Gruppen-SID verweigern | Die primäre Gruppen-SID "Nur verweigern" des Benutzers | http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid |
| Gruppen-SID | Die Gruppen-SID des Benutzers | http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid |
| Primäre Gruppen-SID | Primäre Gruppen-SID des Benutzers | http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid |
| Primäre SID | Primäre SID des Benutzers | http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid |
| Windows-Kontoname | Domänenkontoname des Benutzers in der Form <Domäne>\<Benutzer> | http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname |
Was sind Anspruchsbeschreibungen?
Anspruchsbeschreibungen stellen eine Liste von Anspruchstypen dar, die von AD FS unterstützt und möglicherweise in Verbundmetadaten veröffentlicht werden. Die in der vorherigen Tabelle aufgeführten Anspruchstypen werden im Snap-In „Verwaltung“ von AD FS als Anspruchsbeschreibungen konfiguriert.
Die in Verbundmetadaten veröffentlichte Sammlung von Anspruchsbeschreibungen wird in der AD FS-Konfigurationsdatenbank gespeichert. Diese Anspruchsbeschreibungen werden von verschiedenen Komponenten des Verbunddiensts verwendet.
Jede Anspruchsbeschreibung umfasst einen Anspruchstyp-URI, einen Namen, den Veröffentlichungsstatus und eine Beschreibung. Sie können die Anspruchsbeschreibungssammlung verwalten, indem Sie den Knoten Anspruchsbeschreibungen im Snap-In „Verwaltung“ von AD FS verwenden. Sie können den Veröffentlichungsstatus einer Anspruchsbeschreibung mithilfe des Snap-Ins ändern. Die folgenden Einstellungen sind verfügbar:
Diesen Anspruch in Verbundmetadaten als Anspruchstyp veröffentlichen, der von diesem Verbunddienst akzeptiert werden kann (Als "Akzeptiert" veröffentlichen) – Gibt die Anspruchstypen an, die von diesem Verbunddienst von anderen Anspruchsanbietern akzeptiert werden.
Diesen Anspruch in Verbundmetadaten als Anspruchstyp veröffentlichen, der von diesem Verbunddienst gesendet werden kann (Als "Gesendet" veröffentlichen) – Gibt die Anspruchstypen an, die von diesem Verbunddienst angeboten werden. Dies sind die Anspruchstypen, die vom Verbunddienst für andere veröffentlicht werden, da er bereit ist, diese zu senden. Die tatsächlich vom Anspruchsanbieter gesendeten Anspruchstypen sind häufig eine Teilmenge dieser Liste.
Weitere Informationen zum Festlegen des Veröffentlichungsstatus von Anspruchstypen finden Sie im Bereitstellungsleitfaden für AD FS unter Hinzufügen einer Anspruchsbeschreibung.
Beim Generieren von Verbundmetadaten
Verbundmetadaten umfassen alle Anspruchsbeschreibungen, die für die Veröffentlichung markiert sind.
Beim Verarbeiten von Anspruchsregeln
Wenn Sie Konfigurationsinformationen zu Anspruchsbeschreibungen beibehalten, ist es einfacher für Sie, Regeln für Ansprüche zu konfigurieren. Weitere Informationen zu den Anspruchsregeln, die in der Anspruchsanbieterorganisation verwendet werden können, finden Sie unter Rolle der Anspruchsregeln.