クレームの役割

クレーム ベースの ID モデルでは、クレームはフェデレーション プロセスにおいて重要な役割を果たします。すべての Web ベースの認証および承認要求の結果は、主要コンポーネントであるクレームに基づいて判定されます。このモデルでは、組織は、セキュリティや企業の境界を越えて標準化された方法で、デジタル ID と資格権限、つまりクレームを安全に提供できます。

クレームとは

最も単純な形式では、クレームは、ユーザーに関して作成された簡単なステートメント (名前、ID、グループなど) で、主に、インターネット上にあるクレーム ベースのアプリケーションへのアクセスを承認するために使用されます。各ステートメントは、クレームに格納される値に対応します。

クレームの値の供給元
Active Directory フェデレーション サービス (AD FS) 2.0 のフェデレーション サービスは、フェデレーション パートナー間で交換されるクレームを定義します。ただし、この定義を行うには、取得または計算された値を事前にクレームに挿入または供給する必要があります。各クレームの値は、ユーザー、グループ、エンティティなどの値を表し、次の 2 つのいずれかの方法で供給されます。

  1. クレームを構成する値が属性ストアから取得される場合。たとえば、属性値 Sales DepartmentActive Directory のユーザー アカウントのプロパティから取得される場合。詳細については、「属性ストアの役割」を参照してください。

  2. 受信クレームの値が、ルールで表されているロジックに基づいて別の値に変換される場合。たとえば、Domain Admins の値を持つ受信クレームが、送信クレームとして送信される前に新しい値 Administrators に変換される場合。詳細については、「クレーム ルールの役割」を参照してください。

クレームには、電子メール アドレス、ユーザー プリンシパル名 (UPN)、グループ メンバーシップなどのアカウント属性の値を含めることができます。

クレーム フロー
他のパーティは、クレームの値を使用して、自身がホストする Web ベースのアプリケーションの承認タスクを実行します。これらのパーティは、AD FS 2.0 管理スナップインでは、証明書利用者と呼ばれます。フェデレーション サービスは、多くの異なるパーティ間の信頼を仲介します。フェデレーション サービスは、クレームを最初に発行した組織 (AD FS 2.0 管理スナップインではクレーム プロバイダーとも呼ばれる) から証明書利用者への信頼されたクレームのやり取りを処理し、スムーズに送るように設計されています。証明書利用者は、受け取ったクレームを使用して承認の判断を下します。

このプロセスで処理されるクレーム フローをクレーム パイプラインと呼びます。クレーム パイプラインでのクレーム フローは、次の 3 つのステップから構成されます。

  1. クレーム プロバイダーから受け取ったクレームは、クレーム プロバイダーの信頼に関する受け入れ変換ルールによって処理されます。このルールは、クレーム プロバイダーから受け入れるクレームを決定します。

  2. 受け入れ変換ルールの出力は、発行承認ルールの入力として使用されます。このルールは、ユーザーが証明書利用者へのアクセスを許可されるかどうかを決定します。

  3. 受け入れ変換ルールの出力は、発行変換ルールの入力として使用されます。このルールは、証明書利用者に送信されるクレームを決定します。

詳細については、「クレーム パイプラインの役割」を参照してください。

クレームの発行
クレーム ルールを記述する場合、クレーム ルールの受信クレームの発行元は、クレーム プロバイダーと証明書利用者のどちらの信頼に関するルールを記述するかによって異なります。クレーム プロバイダーの信頼に関するクレーム ルールを記述する場合、受信クレームは、信頼されるクレーム プロバイダーからフェデレーション サービスに送信されるクレームです。証明書利用者の信頼に関するルールを記述する場合、受信クレームは、適用可能なクレーム プロバイダーの信頼に関するクレーム ルールによって出力されたクレームです。受信クレームおよび送信クレームの詳細については、「クレーム パイプラインの役割」と「クレーム エンジンの役割」を参照してください。

クレームの種類とは

クレームの種類は、クレーム値にとってのコンテキストです。クレームの種類は、通常、URI (Uniform Resource Identifier) で表されます。AD FS 2.0 はあらゆる種類のクレームをサポートしますが、デフォルトで構成されている種類は、次の表のとおりです。

名前 説明 URI
電子メール アドレス ユーザーの電子メール アドレス http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
ファースト ネーム ユーザーのファースト ネーム http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
名前 ユーザーの一意の名前 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
UPN ユーザーのユーザー プリンシパル名 (UPN) http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
共通名 ユーザーの共通名 http://schemas.xmlsoap.org/claims/CommonName
AD FS 1.x 電子メール アドレス AD FS 1.1 または AD FS 1.0 と相互運用する場合のユーザーの電子メール アドレス http://schemas.xmlsoap.org/claims/EmailAddress
グループ ユーザーが属しているグループ http://schemas.xmlsoap.org/claims/Group
AD FS 1.x UPN AD FS 1.1 または AD FS 1.0 と相互運用する場合のユーザーの UPN http://schemas.xmlsoap.org/claims/UPN
ロール ユーザーが果たす役割 http://schemas.microsoft.com/ws/2008/06/identity/claims/role
ユーザーの姓 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
PPID ユーザーのプライベート識別子 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier
名前識別子 ユーザーの SAML 名識別子 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
認証方法 ユーザーの認証に使用される方法 http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
拒否専用のグループ SID 拒否専用のユーザーのグループ SID http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid
拒否専用のプライマリ SID 拒否専用のユーザーのプライマリ SID http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid
拒否専用のプライマリ グループ SID 拒否専用のユーザーのプライマリ グループ SID http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid
グループ SID ユーザーのグループ SID http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid
プライマリ グループ SID ユーザーのプライマリ グループ SID http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid
プライマリ SID ユーザーのプライマリ SID http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
Windows アカウント名 <domain>\<user> の形式で表されたユーザーのドメイン アカウント名 http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname

クレーム記述とは

クレーム記述は、AD FS 2.0 によってサポートされ、フェデレーション メタデータで公開できるクレームの種類のリストです。前記の表で示したクレームの種類は、AD FS 2.0 管理スナップインでクレーム記述として設定されています。

フェデレーション メタデータに公開されるクレーム記述のコレクションは、AD FS 構成データベースに格納されます。これらのクレーム記述は、フェデレーション サービスのさまざまなコンポーネントで使用されます。

各クレーム記述には、クレームの種類の URI、名前、公開状態、説明が含まれます。クレーム記述コレクションは、AD FS 2.0 管理スナップインで [Claim Descriptions] ノードを使用して管理できます。スナップインを使用すると、クレーム記述の公開状態を変更できます。使用できる設定を以下に示します。

  • Publish this claim in federation metadata as a claim type that this Federation Service can accept (受入済みとして公開): このフェデレーション サービスによって受け入れられる、他のクレーム プロバイダーからのクレームの種類を示します。

  • Publish this claim in federation metadata as a claim type that this Federation Service can send (送信済みとして公開): このフェデレーション サービスによって提供されるクレームの種類を示します。これらはフェデレーション サービスがクレームを送信しようとするときに公開するクレームの種類です。クレーム プロバイダーによって送信される実際のクレームの種類は、多くの場合、このリストのサブセットとなります。

クレームの種類の公開状態の設定方法については、「AD FS 2.0 展開ガイド」の「クレーム記述の追加」(英語) を参照してください。

フェデレーション メタデータの生成
フェデレーション メタデータには、公開対象としてマークされているすべてのクレーム記述が含まれます。

クレーム ルールの処理
クレーム記述に関する構成情報を保持しておくと、クレームに関するルールの設定を容易に行うことができます。クレーム プロバイダー組織で使用できるクレーム ルールの詳細については、「クレーム ルールの役割」を参照してください。