AD FS での URI の使用How URIs Are Used in AD FS

Uniform Resource Identifier ( URI ) は、一意の識別子として使用される文字列です。A Uniform Resource Identifier (URI) is a string of characters that is used as a unique identifier. AD FS では、パートナー ネットワークのアドレスと構成オブジェクトの両方を識別するために URI を使用します。In AD FS, URIs are used to identify both partner network addresses and configuration objects. パートナー ネットワーク アドレスの識別に使用されるときは、URI は常に URL です。When used to identify partner network addresses, the URI is always a URL. 構成オブジェクトの識別に使用されるときは、URI は URN または URL の場合があります。When used to identify configuration objects, the URI may be a URN or a URL. URI についての一般的な情報については、RFC 2396 および RFC 3986 を参照してください。For more general information about URIs, see RFC 2396 and RFC 3986.

パートナー ネットワーク アドレスとしての URIURIs as partner network addresses

以下は、AD FS で管理者がもっともよく処理するネットワーク アドレスの URL です。The following are the network address URLs that are most often handled by administrators in AD FS.

  • フェデレーションサービスの Url (WS - フェデレーション、SAML、ws-trust - 、フェデレーションメタデータ、ws - ws-metadataexchange、プライバシー、組織の url を含む)The URLs of the Federation Service, including WS-Federation, SAML, WS-Trust, Federation Metadata, WS-MetadataExchange, Privacy and Organization URLs

  • 証明書利用者信頼の Url (WS-FEDERATION - 、SAML、フェデレーションメタデータ url を含む)The URLs of a relying party trust, including WS-Federation, SAML, and Federation Metadata URLs

  • 要求プロバイダー信頼の Url (WS-FEDERATION - 、SAML、フェデレーションメタデータ url を含む)The URLs of a claims provider trust, including WS-Federation, SAML, and Federation Metadata URLs

オブジェクト識別子としての URIURIs as object identifiers

以下の表では、AD FS で管理者がもっともよく処理する ID について説明します。The following table describes the identifiers that are most often handled by administrators in AD FS.

識別子名Identifier name 説明Description 比較Comparisons
フェデレーション サービスの識別子Federation Service identifier この識別子は、フェデレーション サービスを識別するために使用されます。This identifier is used to identify the Federation Service. このフェデレーション サービスからの要求を使用する証明書利用者、およびこのフェデレーション サービスに要求を発行する要求プロバイダーによって使用されます。It is used by relying parties that use claims from this Federation Service, as well as claims providers that issue claims to this Federation Service. ユーザーがこのフェデレーション サービスの要求プロバイダーからの要求を要求するとき、フェデレーション サービス識別子が要求の対象を識別するために使用されます。When a user requests claims from a claims provider for this Federation Service, the Federation Service identifier will be used to identify the target for the claims.

このフェデレーション サービスが要求プロバイダーからの要求を受信するとき、フェデレーション サービス識別子を調べることで要求のスコープ設定を確認します。When this Federation Service receives the claims from a claims provider, it will check to ensure the claims are scoped for it by looking for its Federation Service identifier.

証明書利用者がこのフェデレーション サービスからの要求を受信するとき、証明書利用者は、要求の発行者がフェデレーション サービスの識別子と一致することを確認します。When a relying party is receiving claims from this Federation Service, the relying party will check that the issuer of the claims matches the Federation Service identifier.

証明書利用者の識別子Relying party identifier この識別子は、このフェデレーション サービスに対して証明書利用者を識別するために使用されます。This identifier is used to identify the relying party to this Federation Service. 証明書利用者に要求を発行する際に使用されます。It is used when issuing claims to the relying party. ユーザーがこのフェデレーション サービスから証明書利用者の要求を要求するときは、証明書利用者の識別子が要求の対象の証明書利用者を識別するために使用されます。When a user requests claims from this Federation Service for the relying party, the relying party identifier will be used to identify the relying party for which the claims should be targeted. この比較を行うには ( 、以下を参照してください ) 。This comparison is done using prefix matching (see below).

証明書利用者は要求を受信すると、セキュリティ トークン内の ID を調べて要求が自分宛であることを確認します。When the relying party receives the claims, it will check for its identifier in the security token to ensure the claims are targeted for it.

要求プロバイダー識別子Claims provider identifier この識別子は、このフェデレーション サービスに対する証明書利用者を識別するために使用されます。This identifier is used to identify the claims provider to this Federation Service. 要求プロバイダーから要求を受信するときに使用されます。It is used when receiving claims from the claims provider. このフェデレーション サービスが要求プロバイダーから要求を受信するとき、このフェデレーション サービスは、要求の発行者が要求プロバイダーの識別子と一致することを確認します。When this Federation Service is receiving claims from the claims provider, this Federation Service will check that the issuer of the claims matches the claims provider identifier.
要求の種類Claim type この識別子は、要求の種類を定義するために使用されます。This identifier is used to define the type of claim. このフェデレーション サービス、要求プロバイダー、および証明書利用者によって要求を送受信するときに使用されます。It is used by this Federation Service, claims providers, and relying parties when sending and receiving claims. フェデレーション サービスが要求プロバイダーから要求を受け取るとき、対応する要求プロバイダー信頼に関連付けられている要求規則により、管理者は要求の種類を比較して、要求を処理できます。When the Federation Service receives claims from a claims provider, the claim rules associated with the corresponding claims provider trust allow the administrator to compare claim types and process claims. 証明書利用者信頼に関連付けられている要求規則によっても、管理者は要求プロバイダー信頼規則からの要求から要求の種類を比較して、発行する要求を決定できます。The claim rules associated with a relying party trust also allow the administrator to compare claim types from the claims coming out of the claims provider trust rules, and decide which claims to issue.

証明書利用者の識別子と一致する URI プレフィックスURI prefix matching for relying party identifiers

URI のパス構文は階層的に編成され、すべて " / " 文字またはすべて ":" 文字で区切られます。The path syntax of a URI is organized hierarchically and is delimited by either all "/" characters or all ":"characters. したがって、パスは区切り文字に基づいてパス セクションに分割される場合があります。Thus the path may be split into path sections based on the delimiting character. プレフィックスが一致する場合、各セクションは照合規則に従って完全一致である必要があり ( ます。これらの規則は一致の大文字と小文字の区別を制御し ) ます。When prefix matching, each section must be a full match according to the matching rules (these rules govern the casing of matches). 照合ルールの詳細については、前述の RFC を参照してください。For more information about matching rules, see the RFC's mentioned above.

証明書利用者がフェデレーション サービスへの要求で識別されたとき、AD FS は、プレフィックス一致ロジックを使用して、AD FS 構成データベースに一致する証明書利用者の信頼があるかどうかを判断します。When a relying party is identified in a request to the Federation Service, AD FS uses prefix matching logic to determine if there is a matching relying party trust in the AD FS configuration database.

たとえば、AD FS 構成データベース URI1 の証明書利用者識別子 ( ) が受信要求 URI2 の証明書利用者識別子のプレフィックスである場合、 ( ) 次の条件を満たす必要があります。For example, if the relying party identifier in the AD FS configuration database (URI1) is a prefix to the relying party identifier in the incoming request (URI2), then the following must be true:

  • 末尾の区切り記号 ( スラッシュと ) パスセクションまたは機関のコロンは無視する必要がありますTrailing delimiters (slashes and colons) of path sections or authorities must be ignored

  • URI1 と URI2 のスキームと機関の部分は大文字と小文字が正確に一致する必要があります。The scheme and authority parts of URI1 and URI2 must be a case insensitive exact match

  • URI1 の各パスセクションは、 ( ) URI2 の対応するパスセクションに対して選択された大文字と小文字の区別に基づいて完全に一致する必要があります。Each path section of URI1 must be an exact match (based on the case sensitivity chosen) to the corresponding path section of URI2

  • URI2 には URI1 より多くのパス セクションがあってもかまいませんが、URI1 に URI2 より多くのパス セクションがあってはなりません。URI2 may have more path sections than URI1, but URI1 must not have more path sections than URI2

  • URI1 は、URI2 より多くのパス セクションを持つことはできません。URI1 cannot have more path sections than URI2

  • URI1 にフラグメントがある場合、URI2 のフラグメントと正確に一致する必要があります。If URI1 has a fragment, it must match exactly to a URI2 fragment

注意

クエリ文字列パラメーターはサポートされていないため、証明書利用者識別子では無視されます。Query string parameters are not supported and will be ignored in relying party identifiers.

次の表にその他の例を示します。The following table provides additional examples.

AD FS 構成データベース内の証明書利用者識別子Relying party identifier in AD FS configuration database 要求メッセージ内の証明書利用者識別子Relying party identifier in request message 要求の識別子と構成の識別子は一致するかRequest identifier matches the configuration identifier? 理由Reason
http: / / contoso.comhttp://contoso.com http: / / contoso.comhttp://contoso.com TRUETRUE 完全一致Exact match
http: / / contoso.com/http://contoso.com/ http: / / contoso.comhttp://contoso.com TRUETRUE 末尾のスラッシュは無視されますTrailing slashes are ignored
http: / / contoso.comhttp://contoso.com http: / / contoso.com/http://contoso.com/ TRUETRUE 末尾のスラッシュは無視されますTrailing slashes are ignored
http: / / contoso.comhttp://contoso.com http: / / contoso.com / hrhttp://contoso.com/hr TRUETRUE URI1 にパスはなく、スキームと機関を URI2 に一致させますURI1 has no path and matches scheme and authority to URI2
http: / / contoso.com / hrhttp://contoso.com/hr http: / / contoso.com / hr / webhttp://contoso.com/hr/web TRUETRUE 最初のパス セクションが一致し、URI1 には 2 番目のパス セクションがありませんFirst path sections match, URI1 has no second path section
http: / / contoso.com / hr/http://contoso.com/hr/ http: / / contoso.com / hrw / mainhttp://contoso.com/hrw/main FALSEFALSE URI1 のパス セクション 1 は、URI2 のパス セクション 1 と一致しませんURI1 path section 1 does not match URI2 path section 1
http: / / contoso.com / hrhttp://contoso.com/hr http: / / contoso.comhttp://contoso.com FALSEFALSE URI1 には、URI2 より多くのパス セクションがありますURI1 has more path sections than URI2
http: / / contoso.com / hrhttp://contoso.com/hr http: / / contoso.com / hrwebhttp://contoso.com/hrweb FALSEFALSE 最初のパス セクションが一致しませんFirst path sections do not match
https: / / contoso.comhttps://contoso.com http: / / contoso.comhttp://contoso.com FALSEFALSE スキーム部分が一致しませんScheme parts do not match
http: / / sts.contoso.comhttp://sts.contoso.com http: / / contoso.comhttp://contoso.com FALSEFALSE 機関部分が一致しませんAuthority parts do not match
http: / / contoso.comhttp://contoso.com http: / / sts.contoso.comhttp://sts.contoso.com FALSEFALSE 機関部分が一致しませんAuthority parts do not match