クレームの役割
クレーム ベースの ID モデルでは、クレームはフェデレーション プロセスにおいて重要な役割を果たします。すべての Web ベースの認証および承認要求の結果は、主要コンポーネントであるクレームに基づいて判定されます。このモデルでは、組織は、セキュリティや企業の境界を越えて標準化された方法で、デジタル ID と資格権限、つまりクレームを安全に提供できます。
クレームとは
最も単純な形式では、クレームは、ユーザーに関して作成された簡単なステートメント (名前、ID、グループなど) で、主に、インターネット上にあるクレーム ベースのアプリケーションへのアクセスを承認するために使用されます。各ステートメントは、クレームに格納される値に対応します。
クレームの値の供給元
Active Directory フェデレーション サービス (AD FS) 2.0 のフェデレーション サービスは、フェデレーション パートナー間で交換されるクレームを定義します。ただし、この定義を行うには、取得または計算された値を事前にクレームに挿入または供給する必要があります。各クレームの値は、ユーザー、グループ、エンティティなどの値を表し、次の 2 つのいずれかの方法で供給されます。
クレームを構成する値が属性ストアから取得される場合。たとえば、属性値 Sales Department が Active Directory のユーザー アカウントのプロパティから取得される場合。詳細については、「属性ストアの役割」を参照してください。
受信クレームの値が、ルールで表されているロジックに基づいて別の値に変換される場合。たとえば、Domain Admins の値を持つ受信クレームが、送信クレームとして送信される前に新しい値 Administrators に変換される場合。詳細については、「クレーム ルールの役割」を参照してください。
クレームには、電子メール アドレス、ユーザー プリンシパル名 (UPN)、グループ メンバーシップなどのアカウント属性の値を含めることができます。
クレーム フロー
他のパーティは、クレームの値を使用して、自身がホストする Web ベースのアプリケーションの承認タスクを実行します。これらのパーティは、AD FS 2.0 管理スナップインでは、証明書利用者と呼ばれます。フェデレーション サービスは、多くの異なるパーティ間の信頼を仲介します。フェデレーション サービスは、クレームを最初に発行した組織 (AD FS 2.0 管理スナップインではクレーム プロバイダーとも呼ばれる) から証明書利用者への信頼されたクレームのやり取りを処理し、スムーズに送るように設計されています。証明書利用者は、受け取ったクレームを使用して承認の判断を下します。
このプロセスで処理されるクレーム フローをクレーム パイプラインと呼びます。クレーム パイプラインでのクレーム フローは、次の 3 つのステップから構成されます。
クレーム プロバイダーから受け取ったクレームは、クレーム プロバイダーの信頼に関する受け入れ変換ルールによって処理されます。このルールは、クレーム プロバイダーから受け入れるクレームを決定します。
受け入れ変換ルールの出力は、発行承認ルールの入力として使用されます。このルールは、ユーザーが証明書利用者へのアクセスを許可されるかどうかを決定します。
受け入れ変換ルールの出力は、発行変換ルールの入力として使用されます。このルールは、証明書利用者に送信されるクレームを決定します。
詳細については、「クレーム パイプラインの役割」を参照してください。
クレームの発行
クレーム ルールを記述する場合、クレーム ルールの受信クレームの発行元は、クレーム プロバイダーと証明書利用者のどちらの信頼に関するルールを記述するかによって異なります。クレーム プロバイダーの信頼に関するクレーム ルールを記述する場合、受信クレームは、信頼されるクレーム プロバイダーからフェデレーション サービスに送信されるクレームです。証明書利用者の信頼に関するルールを記述する場合、受信クレームは、適用可能なクレーム プロバイダーの信頼に関するクレーム ルールによって出力されたクレームです。受信クレームおよび送信クレームの詳細については、「クレーム パイプラインの役割」と「クレーム エンジンの役割」を参照してください。
クレームの種類とは
クレームの種類は、クレーム値にとってのコンテキストです。クレームの種類は、通常、URI (Uniform Resource Identifier) で表されます。AD FS 2.0 はあらゆる種類のクレームをサポートしますが、デフォルトで構成されている種類は、次の表のとおりです。
名前 | 説明 | URI |
電子メール アドレス | ユーザーの電子メール アドレス | https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
ファースト ネーム | ユーザーのファースト ネーム | https://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname |
名前 | ユーザーの一意の名前 | https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
UPN | ユーザーのユーザー プリンシパル名 (UPN) | https://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn |
共通名 | ユーザーの共通名 | https://schemas.xmlsoap.org/claims/CommonName |
AD FS 1.x 電子メール アドレス | AD FS 1.1 または AD FS 1.0 と相互運用する場合のユーザーの電子メール アドレス | https://schemas.xmlsoap.org/claims/EmailAddress |
グループ | ユーザーが属しているグループ | https://schemas.xmlsoap.org/claims/Group |
AD FS 1.x UPN | AD FS 1.1 または AD FS 1.0 と相互運用する場合のユーザーの UPN | https://schemas.xmlsoap.org/claims/UPN |
ロール | ユーザーが果たす役割 | https://schemas.microsoft.com/ws/2008/06/identity/claims/role |
姓 | ユーザーの姓 | https://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname |
PPID | ユーザーのプライベート識別子 | https://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier |
名前識別子 | ユーザーの SAML 名識別子 | https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
認証方法 | ユーザーの認証に使用される方法 | https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod |
拒否専用のグループ SID | 拒否専用のユーザーのグループ SID | https://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid |
拒否専用のプライマリ SID | 拒否専用のユーザーのプライマリ SID | https://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid |
拒否専用のプライマリ グループ SID | 拒否専用のユーザーのプライマリ グループ SID | https://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid |
グループ SID | ユーザーのグループ SID | https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid |
プライマリ グループ SID | ユーザーのプライマリ グループ SID | https://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid |
プライマリ SID | ユーザーのプライマリ SID | https://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid |
Windows アカウント名 | <domain>\<user> の形式で表されたユーザーのドメイン アカウント名 | https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname |
クレーム記述とは
クレーム記述は、AD FS 2.0 によってサポートされ、フェデレーション メタデータで公開できるクレームの種類のリストです。前記の表で示したクレームの種類は、AD FS 2.0 管理スナップインでクレーム記述として設定されています。
フェデレーション メタデータに公開されるクレーム記述のコレクションは、AD FS 構成データベースに格納されます。これらのクレーム記述は、フェデレーション サービスのさまざまなコンポーネントで使用されます。
各クレーム記述には、クレームの種類の URI、名前、公開状態、説明が含まれます。クレーム記述コレクションは、AD FS 2.0 管理スナップインで [Claim Descriptions] ノードを使用して管理できます。スナップインを使用すると、クレーム記述の公開状態を変更できます。使用できる設定を以下に示します。
Publish this claim in federation metadata as a claim type that this Federation Service can accept (受入済みとして公開): このフェデレーション サービスによって受け入れられる、他のクレーム プロバイダーからのクレームの種類を示します。
Publish this claim in federation metadata as a claim type that this Federation Service can send (送信済みとして公開): このフェデレーション サービスによって提供されるクレームの種類を示します。これらはフェデレーション サービスがクレームを送信しようとするときに公開するクレームの種類です。クレーム プロバイダーによって送信される実際のクレームの種類は、多くの場合、このリストのサブセットとなります。
クレームの種類の公開状態の設定方法については、「AD FS 2.0 展開ガイド」の「クレーム記述の追加」(英語) を参照してください。
フェデレーション メタデータの生成
フェデレーション メタデータには、公開対象としてマークされているすべてのクレーム記述が含まれます。
クレーム ルールの処理
クレーム記述に関する構成情報を保持しておくと、クレームに関するルールの設定を容易に行うことができます。クレーム プロバイダー組織で使用できるクレーム ルールの詳細については、「クレーム ルールの役割」を参照してください。