クレーム パイプラインの役割
Active Directory フェデレーション サービス (AD FS) 2.0 のクレーム パイプラインは、クレームを発行する前に、フェデレーション サービスを通してクレームに行う必要がある処理の経路を表します。フェデレーション サービスは、クレーム ルール エンジンによるクレーム ルールの処理を含め、クレーム パイプラインのさまざまなステージを通して、クレームが流れるエンド ツー エンドのプロセス全体を管理します。
クレーム ルールの詳細については、「クレーム ルールの役割」を参照してください。クレーム ルール エンジンによるルールの処理の詳細については、「クレーム エンジンの役割」を参照してください。
次のセクションでは、フェデレーション サービスが管理する処理についてさらに詳しく説明します。
クレーム パイプライン プロセス
クレーム パイプライン プロセスは、3 つの高レベルのステージで構成されます。このプロセスの各ステージでは、クレーム ルール エンジンが初期化され、そのステージに固有のクレーム ルールが処理されます。3 つのステージを以下に示します (発生順)。
受信クレームの受け入れ: クレーム パイプラインのこのステージは、トークンから受信クレームを抽出し、望ましくない、あるいは信頼されないクレームを排除するために使用されます。クレームが抽出されると、クレーム プロバイダーの信頼に対する受け入れ変換ルール セットを構成する受け入れルールが実行されます。これらのルールを使用して、クレームを通過させたり、新しいクレームを追加することができます。処理されたクレームは、クレーム パイプラインのその後のステージで使用できます。このステージの出力は、第 2、第 3 のステージの入力として使用されます。
クレーム要求者の承認: このステージは、トークン要求者が特定の証明書利用者に対するトークンの取得を許可されるかどうかに基づいて、クレーム エンジンがクレームの許可または拒否を発行するために使用します。ただし、この処理を実行する前に、証明書利用者の信頼の発行承認ルール セットまたは委任承認ルール セットのいずれかを構成する承認ルールを実行する必要があります。
送信クレームの発行: このステージは、送信クレームを発行し、セキュリティ トークンへのパッケージ化が行われるパイプラインに沿ってクレームを送信するために使用されます。ただし、この処理を実行する前に、証明書利用者の信頼に対する発行変換ルール セットを構成する発行ルールを実行する必要があります。これにより、送信クレームとして発行されるクレームが決まります。
上記の 3 つのステージはすべて、クレーム ルールの処理を実行します。ただし、使用するルール セットが異なります。前述のように、各ステージには、受信クレームの発行者 (受け入れルール) またはクレーム/トークンが発行されるターゲット サービス (承認ルールおよび発行ルール) に基づいて、いずれかのルール セットが関連付けられています。
クレームはトークンに依存しませんが、セキュリティ トークンにカプセル化されてネットワーク経由で送信されます。クレーム ルールは、受信/送信セキュリティ トークンのフォーマットに関係なく、クレームに対して機能します。
クレーム ルールには、管理者によって定義されたロジックが含まれます。クレーム エンジンは、これを使用して受信クレームを受け入れ、要求者の ID に基づいてクレームを承認し、証明書利用者が必要とするクレームを発行します。最終的に、クレーム パイプラインを通してクレームが処理された後に発行されるセキュリティ トークンにどのクレームを含めるかは、クレーム エンジンによって決定されます。
次の図に示すように、クレーム パイプラインはクレームが流れるエンド ツー エンドのプロセス全体を管理します。パイプラインのさまざまなステージを通してクレームが処理され、最終的には発行されたクレームが証明書利用者の信頼を介して送信されます。この図で、送信クレームは、発行されたクレームを表します。
.gif)
図には示されていませんが、各ステージでルールの実際の処理を実行するのは、クレーム エンジンです。詳細については、「クレーム エンジンの役割」を参照してください。