Table of contents
TOC
目次を折りたたむ
目次を展開する
Bill Mathers|最終更新日: 2017/03/10
|
1 投稿者

適用対象: Windows Server 2016、Windows Server 2012 R2

AD FSのUriを使用する方法

Uniform Resource Identifier (URI)一意の識別子として使われる文字の文字列です。 AD FSにおいて、Uriを使用して、パートナーのネットワーク アドレスと構成オブジェクトの両方を識別します。 使用すると、パートナーのネットワーク アドレスを識別するURIは常にURLにします。 構成オブジェクトを識別するために使用、つぼまたはURL URIことがあります。 Uriの概要については、次を参照してください。RFC 2396RFC 3986します。

パートナーのネットワーク アドレスとしてUri

次に、AD FSでの管理者によって処理されるほとんどの場合、ネットワーク アドレスUrlを示します。

  • WSを含め、フェデレーション サービスのUrl-フェデレーション、SAML、WS-信頼、フェデレーション メタデータ、WS-MetadataExchange、プライバシー、および組織のUrl

  • WSを含め、証明書利用者パーティ信頼のUrl-フェデレーション、SAML、およびフェデレーション メタデータUrl

  • WSを含め、クレーム プロバイダー信頼のUrl-フェデレーション、SAML、およびフェデレーション メタデータUrl

オブジェクト識別子としてUri

次の表では、ほとんどの場合で、AD FSの管理者によって処理される識別子を示します。

識別子の名前説明比較
フェデレーション サービス識別子この識別子は、フェデレーション サービスの識別に使われます。 このフェデレーション サービスのほか問題がこのフェデレーション サービスを要求する申し立てプロバイダーからの要求を使用する証明書利用者によって使われます。ユーザーは、このフェデレーション サービスのクレーム プロバイダーからの信頼性情報を要求、ときに、要求のターゲットを識別するフェデレーション サービス識別子が使われます。

このフェデレーション サービス クレーム プロバイダーからの要求を受け取ると、そのクレームはそのフェデレーション サービス識別子を探してによってのスコープはことを確認することを確認されます。

証明書利用者は、このフェデレーション サービスから要求を受け取っている、要求の発行者がフェデレーション サービス識別子と一致している、証明書利用者が確認されます。
証明書利用者パーティ識別子この識別子は、このフェデレーション サービス利用者の識別に使われます。 利用者に要求を発行するときに使用されます。ユーザーは、利用者のこのフェデレーション サービスからの信頼性情報を要求、ときに、利用者の要求の対象となるを識別する証明書利用者パーティ識別子が使われます。 この比較ではプレフィックスの照合を使用して(下記参照)します。

利用者は、要求を受信したときにセキュリティ トークンの要求がその対象となることを確認するには、その識別子をチェックします。
クレーム プロバイダーの識別子この識別子を使用して、このフェデレーション サービスに対してクレーム プロバイダーを識別します。 クレーム プロバイダーからの要求を受信する際に使われます。このフェデレーション サービスは、クレーム プロバイダーからの要求を受け取っている、要求の発行者がクレーム プロバイダーの識別子と一致しているこのフェデレーション サービスが確認されます。
要求の種類この識別子を使用して、要求の種類を定義します。 このフェデレーション サービス、クレーム プロバイダー、および信頼性情報を送受信するときに証明書利用者によって使われます。クレーム プロバイダーからフェデレーション サービスが要求を受け取ると、対応するクレーム プロバイダー信頼に関連付けられている要求規則には、管理者が要求の種類を比較し、要求の処理ができるようにします。 証明書利用者パーティ信頼に関連付けられている要求の規則は、管理者は、プロバイダーの信頼の規則のクレームから出ている要求からの要求の種類の比較を許可し、発行すると主張するを決定します。

URIプレフィックスの証明書利用者パーティ識別子の一致

URIのパス構文は、階層構造には、すべてのいずれかで区切られて"\/「の文字またはすべて」:"の文字です。 したがって、パスは、区切り文字に基づくパス セクションに分割することがあります。 プレフィックス対応付けを使用すると、各セクションは一致の規則に従って完全一致である必要があります(これらの規則は一致の大文字小文字の区別)します。 照合ルールについて詳しくは、上記RFCを確認します。

フェデレーション サービスへの要求で証明書利用者が特定されると、AD FSはロジックに一致するプレフィックスを使用して、AD FS構成データベースに一致する証明書利用者パーティ信頼がないか確認します。

たとえば場合、AD FS構成データベースに証明書利用者パーティ識別子(URI1)着信要求の証明書利用者パーティ識別子のプレフィックス(URI2)、以下をtrueにする必要があります。

  • 末尾の区切り文字(スラッシュとコロン)パスのセクションや機関を無視します。

  • URI1とURI2のスキームと機関の部分は、大文字と小文字の完全一致である必要があります。

  • URI1の場合は、各パス セクションは、完全一致である必要があります(選択大文字小文字の区別に基づく)URI2の対応するパス セクションに

  • URI2 URI1より詳しくパス セクションがありますがURI1には、他のパス セクションURI2よりも必要ありません。

  • URI1は、URI2よりもさらにパス セクションを持つことはできません。

  • URI2クエリ文字列を正確に一致する必要がありますURI1にクエリ文字列がある場合は、

  • URI2フラグメントを正確に一致する必要がありますURI1にフラグメントがある場合は、

次の表では、その他の例を示します。

AD FS構成データベースでのパーティ識別子の依存要求メッセージでのパーティ識別子の依存識別子一致構成識別子を要求するか。理由
http:\/\/contoso.comhttp:\/\/contoso.comTRUE完全一致
http:\/\/contoso.com\/http:\/\/contoso.comTRUE末尾のスラッシュは無視されます。
http:\/\/contoso.comhttp:\/\/contoso.com\/TRUE末尾のスラッシュは無視されます。
http:\/\/contoso.comhttp:\/\/contoso.com\/hrTRUEURI1パスと一致するスキームとURI2する権限がありません。
http:\/\/contoso.com\/hrhttp:\/\/contoso.com\/hr\/webTRUEパスの最初のセクションが一致、2番目のパス部分を持たないURI1
http:\/\/contoso.com\/hrhttp:\/\/contoso.com\/hr\/web\/? m=tTRUE上記と同じ理由は、クエリ文字列が変わらないもの
http:\/\/contoso.com\/hr\/http:\/\/contoso.com\/hrw\/メインFALSEURI1パス セクション1でURI2パス セクション1が一致しません。
http:\/\/contoso.com\/hrhttp:\/\/contoso.comFALSEURI1がURI2よりもさらにパス セクション
http:\/\/contoso.com\/hrhttp:\/\/contoso.com\/hrwebFALSEパスの最初のセクションが一致しません。
http:\/\/contoso.com\/? m=thttp:\/\/contoso.com\/? m=fFALSEクエリ文字列の部分が一致しません。
https:\/\/contoso.comhttp:\/\/contoso.comFALSEスキーム部分が一致しません。
http:\/\/sts.contoso.comhttp:\/\/contoso.comFALSE機関部分が一致しません。
http:\/\/contoso.comhttp:\/\/sts.contoso.comFALSE機関部分が一致しません。
© 2017 Microsoft