Rolle von AnsprüchenThe Role of Claims

Im Anspruchs - basierten Identitäts Modell spielen Ansprüche eine entscheidende Rolle im Verbund Prozess, Sie sind die wichtigste Komponente, mit der das Ergebnis aller - webbasierten Authentifizierungs-und Autorisierungs Anforderungen bestimmt wird.In the claims-based identity model, claims play a pivotal role in the federation process, They are the key component by which the outcome of all Web-based authentication and authorization requests are determined. Dieses Modell ermöglicht es Organisationen, digitale Identitäten und Bezugsrechte bzw. Ansprüche über Sicherheits- und Unternehmensgrenzen hinweg auf standardisierte Weise sicher zu planen.This model enables organizations to securely project digital identity and entitlement rights, or claims, across security and enterprise boundaries in a standardized way.

Was sind Ansprüche?What are claims?

In seiner einfachsten Form sind Ansprüche einfach Anweisungen ( , z. b. "Name", "Identität", "Gruppe" ) und "Benutzer", die hauptsächlich zum autorialisieren des Zugriffs auf Anspruchs basierte Anwendungen verwendet werden, - die sich an einer beliebigen Stelle im InternetIn its simplest form, claims are simply statements (for example, name, identity, group), made about users, that are used primarily for authorizing access to claims-based applications located anywhere on the Internet. Jede Aussage entspricht einem Wert, der im Anspruch gespeichert wird.Each statement corresponds to a value that is stored in the claim.

Belegen von AnsprüchenHow claims are sourced

Der Verbunddienst in Active Directory-Verbunddienste (AD FS) ( AD FS ) definiert, welche Ansprüche zwischen Verbund Partnern ausgetauscht werden.The Federation Service in Active Directory Federation Services (AD FS) defines which claims are exchanged between federated partners. Dazu muss der Anspruch zunächst mit einem abgerufenen oder berechneten Wert ausgefüllt oder belegt werden.However, before it can do this it must first populate or source the claim with either a retrieved value or a calculated value. Jeder Anspruchswert stellt einen Wert eines Benutzers, einer Gruppe oder Entität dar und es gibt zwei Möglichkeiten, um diesen zu belegen:Each claim value represents a value of a user, group, or entity and is sourced in one of two ways:

  1. Der Wert, der den Anspruch bildet, wird aus einem Attributspeicher abgerufen, z. B. kann ein Attributwert der Vertriebsabteilung aus den Eigenschaften eines Active Directory-Benutzerkontos abgerufen werden.When the value that makes up the claim is retrieved from an attribute store, for example, when an attribute value of Sales Department is retrieved from the properties of an Active Directory user account. Weitere Informationen finden Sie unter Rolle des Attributspeichers.For more information, see The Role of Attribute Stores.

  2. Der Wert eines eingehenden Anspruchs wird auf Basis der in einer Regel angegebenen Logik in einen anderen Wert transformiert.When the value of an incoming claim is transformed into another value based on the logic expressed in a rule. Wenn z. B. ein eingehender Anspruch mit dem Wert "Domänenadministratoren" in den neuen Wert "Administratoren" transformiert wird, bevor dieser als ausgehender Anspruch gesendet wird.For example, when an incoming claim with the value of Domain Admins is transformed into a new value of Administrators before it is sent as an outgoing claim. Weitere Informationen finden Sie unter Rolle von Anspruchsregeln.For more information, see The Role of Claim Rules.

Ansprüche können Werte wie e-Mail- - Adresse, Benutzer Prinzipal Namen ( -UPN ) , Gruppenmitgliedschaft und andere Konto Attribute enthalten.Claims can include values such as an e-mail address, User Principal Name (UPN), group membership, and other account attributes.

Verlauf von AnsprüchenHow claims flow

Andere Parteien basieren auf den Werten der Ansprüche, um Autorisierungs Aufgaben für webbasierte - Anwendungen auszuführen, die Sie hosten.Other parties rely on the values of the claims to perform authorization tasks for Web-based applications that they host. Diese Parteien werden im Snap-in AD FS Verwaltung als vertrauende Seiten bezeichnet - .These parties are referred to as relying parties in the AD FS Management snap-in. Der Verbunddienst ist für das Broker der Vertrauensstellung zwischen vielen verschiedenartigen Parteien verantwortlich.The Federation Service is responsible for brokering trust between many disparate parties. Es ist so konzipiert, dass der vertrauenswürdige Austausch von Ansprüchen aus einer Organisation verarbeitet und durchlaufen wird, die zunächst die Ansprüche, auch als Anspruchs Anbieter im Snap-in AD FS Verwaltung bezeichnet - , an eine vertrauende Seite weitergibt.It is designed to process and flow the trusted exchange of claims from an organization that initially sources the claims, also referred to as claims providers in the AD FS Management snap-in, to a relying party. Eine vertrauende Seite verwendet diese Ansprüche dann zum Treffen von Autorisierungsentscheidungen.A relying party then uses these claims to make authorization decisions.

Der diesen Prozess verwendende Anspruchsverlauf wird als Anspruchspipeline bezeichnet.The flow of claims using this process is known as the claims pipeline. Der Anspruchsverlauf durch die Anspruchspipeline umfasst drei Schritte:There are three steps in the flow of claims through the claims pipeline:

  1. Die vom Anspruchsanbieter empfangenen Ansprüche werden mit Akzeptanztransformationsregeln der Vertrauensstellung des Anspruchsanbieters verarbeitet.The claims that are received from the claims provider are processed by the acceptance transform rules on the claims provider trust. Diese Regeln bestimmen, welche Ansprüche vom Anspruchsanbieter akzeptiert werden.These rules determine which claims are accepted from the claims provider.

  2. Die Ausgabe der Akzeptanztransformationsregeln wird als Eingabe für die Ausstellungsautorisierungsregeln verwendet.The output of the acceptance transform rules is used as input to the issuance authorization rules. Diese Regeln bestimmen, ob dem Benutzer der Zugriff auf die vertrauende Seite gestattet ist.These rules determine whether the user is permitted to access the relying party.

  3. Die Ausgabe der Akzeptanztransformationsregeln wird als Eingabe für die Ausstellungstransformationsregeln verwendet.The output of the acceptance transform rules is used as input to the issuance transform rules. Diese Regeln bestimmen die Ansprüche, die an die vertrauende Seite gesendet werden.These rules determine the claims that will be sent to the relying party.

Weitere Informationen finden Sie unter Rolle der Anspruchspipeline.For more information, see The Role of the Claims Pipeline

Ausstellen von AnsprüchenHow claims are issued

Beim Erstellen von Anspruchsregeln hängt die Quelle der eingehenden Ansprüche für die Anspruchsregeln davon ab, ob Sie die Regeln für die Vertrauensstellung eines Anspruchsanbieters oder einer vertrauenden Seite erstellen.When you write claim rules, the source of the incoming claims for the claim rules varies based on whether you are writing rules on a claims provider trust or a relying party trust. Wenn Sie Anspruchsregeln für eine Anspruchsanbieter-Vertrauensstellung erstellen, entsprechen die eingehenden Ansprüche den Ansprüchen, die vom vertrauenswürdigen Anspruchsanbieter an den Verbunddienst gesendet werden.When you write claim rules for a claims provider trust, the incoming claims are the claims sent from the trusted claims provider to the Federation Service. Wenn Sie Regeln für die Vertrauensstellung der vertrauenden Seite erstellen, entsprechen die eingehenden Ansprüche den Ansprüchen, die von den Anspruchsregeln der maßgeblichen Anspruchsanbieter-Vertrauensstellung ausgegeben werden.When you write rules for a relying party trust, the incoming claims are the claims that are output by the claim rules of the applicable claims provider trust. Weitere Informationen zu ein- und ausgehenden Ansprüchen finden Sie unter Rolle der Anspruchspipeline und Rolle der Anspruchs-Engine.For more information about incoming claims and outgoing claims, see The Role of the Claims Pipeline and The Role of the Claims Engine.

Was sind Anspruchstypen?What are claim types?

Ein Anspruchstyp stellt den Kontext für den Anspruchswert bereit.A claim type provides context for the claim value. Sie wird normalerweise als Uniform Resource Identifier- ( URI ausgedrückt ) .It is usually expressed as a Uniform Resource Identifier (URI). AD FS können jeden Anspruchstyp unterstützen, und er wird standardmäßig mit den Anspruchs Typen in der folgenden Tabelle konfiguriert.AD FS can support any claim type, and it is configured with the claim types in the following table by default.

NameName BeschreibungDescription URIURI
E- - Mail-AdresseE-Mail Address E- - Mail-Adresse des BenutzersThe e-mail address of the user http: / /schemas.xmlSOAP.org / WS / 2005 / 05 / - / identitätforderungs- / EmailAddresshttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
VornameGiven Name Angegebener Name des BenutzersThe given name of the user http: / /schemas.xmlSOAP.org / WS / 2005 / 05 / Identitäts / Ansprüche / givenNamehttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
NameName Eindeutiger Name des BenutzersThe unique name of the user http: / /schemas.xmlSOAP.org / WS / 2005 / 05 / Identitäts / Anspruchs / Namehttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
UPNUPN Der Benutzer Prinzipal Name- ( UPN ) des BenutzersThe user principal name (UPN) of the user http: / /schemas.xmlSOAP.org / WS / 2005 / 05- / Identitäts / Anspruchs- / UPNhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
Allgemeiner NameCommon Name Allgemeiner Name des BenutzersThe common name of the user http: / /schemas.xmlSOAP.org / Claims / CommonNamehttp://schemas.xmlsoap.org/claims/CommonName
E-Mail-Adresse für AD FS 1. x -AD FS 1.x E-Mail Address E- - Mail-Adresse des Benutzers bei der Interaktion mit AD FS 1,1 oder ADFS 1,0The e-mail address of the user when interoperating with AD FS 1.1 or ADFS 1.0 http: / /schemas.xmlSOAP.org / Claims / EmailAddresshttp://schemas.xmlsoap.org/claims/EmailAddress
GroupGroup Eine Gruppe, in der der Benutzer Mitglied istA group that the user is a member of http: / /schemas.xmlSOAP.org- / Anspruchs / Gruppehttp://schemas.xmlsoap.org/claims/Group
AD FS 1.x UPNAD FS 1.x UPN UPN des Benutzers bei der Interaktion mit AD FS 1.1 oder AD FS 1.0The UPN of the user when interoperating with AD FS 1.1 or ADFS 1.0 http: / /schemas.xmlSOAP.org / Anspruchs- / UPNhttp://schemas.xmlsoap.org/claims/UPN
RoleRole Eine Rolle, über die der Benutzer verfügtA role that the user has http: / / Schemas.Microsoft.com / WS / 2008 / 06- / Identitäts / Anspruchs / Rollehttp://schemas.microsoft.com/ws/2008/06/identity/claims/role
SurnameSurname Nachname des BenutzersThe surname of the user http: / /schemas.xmlSOAP.org / WS / 2005 / 05- / Identitäts / Anspruchs / Nachnamehttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
PPIDPPID Private ID des BenutzersThe private identifier of the user http: / /schemas.xmlSOAP.org / WS / 2005 / 05- / Identitäts / Ansprüche / PrivatePersonalIdentifierhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier
NamensbezeichnerName Identifier SAML-Namensbezeichner des BenutzersThe SAML name identifier of the user http: / /schemas.xmlSOAP.org / WS / 2005 / 05 / Identity / Claims / NameIdentifierhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
AuthentifizierungsmethodeAuthentication Method Zur Authentifizierung des Benutzers verwendete MethodeThe method used to authenticate the user http: / / Schemas.Microsoft.com / WS / 2008 / 06- / Identitäts / Ansprüche / AuthenticationMethodhttp://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
Nur Gruppen-SID verweigernDeny Only Group SID Die Gruppen-SID "nur verweigern" - des BenutzersThe deny-only group SID of the user http: / /schemas.xmlSOAP.org / WS / 2005 / 05 / Identitäts / Ansprüche / denyonlysidhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid
Nur primäre SID verweigernDeny only primary SID Die - einzige primäre SID des Benutzers verweigernThe deny-only primary SID of the user http: / / Schemas.Microsoft.com / WS / 2008 / 06 / Identitäts / Ansprüche / denyonlyprimarysidhttp://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid
Nur primäre Gruppen-SID verweigernDeny only primary group SID Die - SID nur der primären Gruppen-SID des Benutzers verweigernThe deny-only primary group SID of the user http: / / Schemas.Microsoft.com / WS / 2008 / 06 / Identitäts / Ansprüche / denyonlyprimarygroupsidhttp://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid
Gruppen-SIDGroup SID Die Gruppen-SID des BenutzersThe group SID of the user http: / / Schemas.Microsoft.com / WS / 2008 / 06 / Identitäts / Anspruchs- / groupsidhttp://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid
Primäre Gruppen-SIDPrimary group SID Primäre Gruppen-SID des BenutzersThe primary group SID of the user http: / / Schemas.Microsoft.com / WS / 2008 / 06 / Identitäts / Ansprüche / primarygroupsidhttp://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid
Primäre SIDPrimary SID Primäre SID des BenutzersThe primary SID of the user http: / / Schemas.Microsoft.com / WS / 2008 / 06 / Identitäts / Ansprüche / primarysidhttp://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
Windows-KontonameWindows account name Der Domänen Konto Name des Benutzers in der Form <domain>\<user>The domain account name of the user in the form of <domain>\<user> http: / / Schemas.Microsoft.com / WS / 2008 / 06 / Identitäts / Ansprüche / windowsaccountnamehttp://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname

Was sind Anspruchsbeschreibungen?What are claim descriptions?

Anspruchs Beschreibungen stellen eine Liste von Anspruchs Typen dar, die von AD FS unterstützt werden und die in Verbund Metadaten veröffentlicht werden können.Claim descriptions represent a list of claims types that AD FS supports and that may be published in federation metadata. Die in der vorherigen Tabelle erwähnten Anspruchs Typen werden im Snap-in AD FS Verwaltung als Anspruchs Beschreibungen konfiguriert - .The claim types mentioned in the previous table are configured as claims descriptions in the AD FS Management snap-in.

Die in Verbundmetadaten veröffentlichte Sammlung von Anspruchsbeschreibungen wird in der AD FS-Konfigurationsdatenbank gespeichert.The collection of claim descriptions that will be published to federation metadata is stored in the AD FS configuration database. Diese Anspruchsbeschreibungen werden von verschiedenen Komponenten des Verbunddiensts verwendet.These claim descriptions are used by various components of the Federation Service.

Jede Anspruchsbeschreibung umfasst einen Anspruchstyp-URI, einen Namen, den Veröffentlichungsstatus und eine Beschreibung.Each claim description includes a claim type URI, name, publishing state, and description. Sie können die Sammlung der Anspruchs Beschreibungen mithilfe des Knotens Anspruchs Beschreibungen im Snap-in AD FS Verwaltung verwalten - .You can manage the claim description collection by using the Claim Descriptions node in the AD FS Management snap-in. Mit dem Snap-in können Sie den Veröffentlichungsstatus einer Anspruchs Beschreibung ändern - .You can modify the publishing state of a claim description using the snap-in. Die folgenden Einstellungen sind verfügbar:The following settings are available:

  • Diesen Anspruch in Verbund Metadaten als Anspruchstyp veröffentlichen, der von diesem Verbunddienst akzeptiert ( werden kann Als akzeptiert veröffentlichen ) – gibt die Anspruchs Typen an, die von diesem Verbunddienst von anderen Anspruchs Anbietern akzeptiert werden.Publish this claim in federation metadata as a claim type that this Federation Service can accept (Publish as Accepted)—Indicates the claim types that will be accepted from other claims providers by this Federation Service.

  • Diesen Anspruch in Verbund Metadaten als Anspruchstyp veröffentlichen, der von diesem Verbunddienst gesendet ( werden kann Als gesendet veröffentlichen ) – gibt die Anspruchs Typen an, die von diesem Verbunddienst angeboten werden.Publish this claim in federation metadata as a claim type that this Federation Service can send (Publish as Sent)—Indicates the claim types that are offered by this Federation Service. Dies sind die Anspruchstypen, die vom Verbunddienst für andere veröffentlicht werden, da er bereit ist, diese zu senden.These are the claim types the Federation Service publishes to others as those it is willing to send. Die tatsächlich vom Anspruchsanbieter gesendeten Anspruchstypen sind häufig eine Teilmenge dieser Liste.The actual claim types sent by the claims provider are often a subset of this list.

Weitere Informationen zum Festlegen des Veröffentlichungs Zustands eines Anspruchs Typs finden Sie unter Hinzufügen einer Anspruchs Beschreibung im AD FS Bereitstellungs Handbuch.For more information about how to set the publishing state of a claim type, see Add a Claim Description in the AD FS Deployment Guide.

Beim Generieren von VerbundmetadatenWhen generating Federation Metadata

Verbundmetadaten umfassen alle Anspruchsbeschreibungen, die für die Veröffentlichung markiert sind.Federation Metadata includes all the claim descriptions that are marked for publishing.

Beim Verarbeiten von AnspruchsregelnWhen claims rules are processed

Wenn Sie Konfigurationsinformationen zu Anspruchsbeschreibungen beibehalten, ist es einfacher für Sie, Regeln für Ansprüche zu konfigurieren.When you keep configuration information about claims descriptions, it is easier for you to configure rules about claims. Weitere Informationen zu den Anspruchsregeln, die in der Anspruchsanbieterorganisation verwendet werden können, finden Sie unter Rolle der Anspruchsregeln.For more information about the claim rules that can be used in the claims provider organization, see The Role of Claim Rules.