Роль канала утверждений

Конвейер утверждений в службы федерации Active Directory (AD FS) (AD FS) представляет путь, по которому утверждения должны выполняться через службу федерации, прежде чем их можно будет выпустить. Служба федерации управляет всем процессом передачи утверждений через различные этапы конвейера утверждений, который также включает обработку правил утверждений модулем правил утверждений.

Дополнительные сведения о правилах утверждений см. в разделе "Роль правил утверждений". Подробнее об обработке правил модулем правил утверждений см. в разделе The Role of the Claims Engine.

В следующем подразделе более подробно рассматривается процесс, контролируемый службой федерации.

Процесс конвейера утверждений

Процесс конвейера утверждений состоит из трех общих этапов. На каждом этапе модуль правил утверждений инициализируется для обработки правил утверждений, относящихся к этому этапу. Процессы включает следующие этапы (в хронологическом порядке):

  1. Принятие входящих утверждений — этот этап конвейера утверждений служит для извлечения входящих утверждений из токена и удаления утверждений, не являющихся ожидаемыми или доверенными. После их извлечения выполняются правила принятия, составляющие набор правил преобразования принятия для отношения доверия с поставщиком утверждений. Эти правила могут служить для передачи или добавления новых утверждений, которые затем могут использоваться на последующих этапах конвейера утверждений. Выходные данные этого этапа используются в качестве входных на втором и третьем этапах.

  2. Авторизация инициатора запроса утверждений — этот этап используется модулем утверждений для выдачи разрешающих или запрещающих утверждений в зависимости от того, разрешено ли инициатору запроса токена получить токен для данной проверяющей стороны или нет. Однако перед этим должны быть выполнены правила авторизации, составляющие либо набор правил авторизации выдачи, либо набор правил авторизации делегирования для отношения доверия с проверяющей стороной.

  3. Выдача исходящих утверждений — этот этап служит для выдачи исходящих утверждений и отправки их по конвейеру, где они будут упакованы в токен безопасности. Однако перед этим должны быть выполнены правила выдачи, составляющие набор правил преобразования выдачи для отношения доверия с проверяющей стороной. Они определяют, какие утверждения будут выданы в качестве исходящих.

На всех трех перечисленных выше этапах выполняется обработка правил утверждений, но используются разные наборы правил. Как описано выше, каждый этап имеет связанный набор правил на основе издателя входящих утверждений (правил принятия) или целевой службы, для которой выдаются утверждения (правила авторизации и выдачи).

Утверждения не учитывают токены, но при передаче по сети инкапсулируются в токены безопасности. Правила утверждений применяются к утверждениям независимо от формата входящего или исходящего токена безопасности.

Правила утверждений содержат логику, определяемую администратором, с помощью которой обработчик утверждений будет принимать входящие утверждения, авторизовать утверждения на основе удостоверения запрашивающего и выдавать утверждения, необходимые проверяющей стороне. Наконец, модуль утверждений определяет, какие утверждения будут добавлены в токен безопасности, который будет выдан после прохождения утверждения через конвейер утверждений.

Как показано на рисунке ниже, конвейер утверждений отвечает за весь процесс передачи утверждения через различные этапы конвейера, целью которого является выдача утверждения, которое будет отправлено посредством отношения доверия с проверяющей стороной. Исходящее утверждение на рисунке представляет выданное утверждение.

AD FS roles

Хотя на рисунке этого не показано, именно модуль утверждений выполняет фактическую обработку правил на каждом этапе. Дополнительные сведения см. в разделе The Role of the Claims Engine.