Table of contents
TOC
De inhoudsopgave samenvouwen
De inhoudsopgave uitvouwen
Bill Mathers|Laatst bijgewerkt: 10-3-2017
|
1 Inzender

Van toepassing op: Windows Server 2016, Windows Server 2012 R2, WindowsServer 2012

De rol van Claims

In de claims-gebaseerde identiteitsmodel spelen claims een belangrijke rol in de federation-proces, zijn het belangrijkste onderdeel waarmee het resultaat van alle Web-gebaseerde verificatie en autorisatie aanvragen worden bepaald. Dit model stelt organisaties in staat veilig digitale identiteits- en geschiktheidsrechten, of claims, binnen de grenzen van de onderneming in een gestandaardiseerde manier en beveiliging.

Wat zijn claims?

In de meest eenvoudige vorm zijn claims simpelweg instructies(bijvoorbeeld naam, identiteit, groep), over gebruikers, die voornamelijk gebruikt worden om toegang tot claims autoriseren en-klare-op basis van toepassingen die zich ergens op Internet bevinden. Elke verklaring komt overeen met een waarde die is opgeslagen in de claim.

Hoe inhoud van claims bepalen

De Federation-Service in Active Directory Federation Services (AD FS) bepaalt welke claims worden uitgewisseld tussen federatieve partners. Echter, voordat u kunt dit doen het moet eerst vullen of bron van de claim met een opgehaalde waarde of een berekende waarde. Elke claimwaarde vertegenwoordigt een waarde van een gebruiker, groep of entiteit en wordt geleverd op twee manieren:

  1. Wanneer de waarde die de claim wordt opgehaald uit een kenmerkarchief, bijvoorbeeld wanneer een kenmerkwaarde verkoopafdeling wordt opgehaald uit de eigenschappen van een Active Directory-gebruikersaccount. Zie voor meer informatie de rol van kenmerk winkels.

  2. Wanneer de waarde van een binnenkomende claim wordt omgezet in een andere waarde op basis van de logica die wordt uitgedrukt in een regel. Bijvoorbeeld, wordt wanneer een binnenkomende claim met de waarde van Domeinadministrators omgezet in een nieuwe waarde beheerders voordat deze als een uitgaande claim wordt verzonden. Zie voor meer informatie de rol van Claimregels.

Claims kunnen waarden bevatten, zoals een e-e-mailadres, User Principal-naam (UPN), groepslidmaatschap en andere kenmerken.

Het traject van claims

Andere partijen zijn afhankelijk van de waarden van de claims voor het uitvoeren van autorisatietaken voor Web-op basis van toepassingen die ze hosten. Deze partijen worden aangeduid als relying party's in de module Beheer van AD FS-in. De Federation-Service is verantwoordelijk voor het uitgeven van de vertrouwensrelatie tussen vele verschillene partijen. Het is ontworpen om te verwerken en de vertrouwde uitwisseling van claims van een organisatie die in eerste instantie de waarden in de claims, ook wel flow providers claims in de module Beheer van AD FS-in, naar een relying party. Een relying party gebruikt deze claims vervolgens om autorisatiebeslissingen te nemen.

De stroom van claims via dit proces wordt ook wel de claimpijplijn. Er zijn drie stappen in de stroom van claims via de claimpijplijn:

  1. De claims die afkomstig zijn van de claimprovider worden verwerkt door de regels voor acceptatietransformatie in de claims provider vertrouwensrelatie. Deze regels bepalen welke claims worden geaccepteerd van de claimprovider.

  2. De uitvoer van de regels voor acceptatietransformatie wordt gebruikt als invoer voor de autorisatieregels voor uitgifte. Deze regels bepalen of de gebruiker is toegestaan voor toegang tot de relying party.

  3. De uitvoer van de regels voor acceptatietransformatie wordt gebruikt als invoer voor de transformatieregels voor uitgifte. Deze regels bepalen de claims die worden verzonden naar de relying party.

Zie voor meer informatie de rol van de pijplijn Claims

De uitgifte van claims

Wanneer u claimregels schrijft, varieert de bron van de binnenkomende claims voor de claimregels op basis van of u regels op de vertrouwensrelatie van een claimprovider of een relying party trust schrijft. Wanneer u claimregels voor een claimprovider schrijft, zijn de binnenkomende claims de claims die van de vertrouwde claimprovider worden verzonden naar de Federation-Service. Wanneer u regels voor een relying party trust schrijft, zijn de binnenkomende claims de claims die worden uitgevoerd door de claimregels van de vertrouwensrelatie met claimproviders die van toepassing zijn. Zie voor meer informatie over binnenkomende en uitgaande claims de rol van de pijplijn Claims en de rol van de Engine.

Wat zijn claimtypen?

Een claimtype levert de context voor de claimwaarde. Deze wordt meestal uitgedrukt als een Uniform Resource Identifier (URI). AD FS kunt ondersteuning voor elk claimtype en deze standaard is geconfigureerd met de claimtypen in de volgende tabel.

NaamBeschrijvingURI
E-e-mailadresDe e-e-mailadres van de gebruikerhttp:\/\/schemas.xmlsoap.org\/ws\/2005\/05\/identiteit\/claims\/emailaddress
VoornaamDe voornaam van de gebruikerhttp:\/\/schemas.xmlsoap.org\/ws\/2005\/05\/identiteit\/claims\/givenname
NaamDe unieke naam van de gebruikerhttp:\/\/schemas.xmlsoap.org\/ws\/2005\/05\/identiteit\/claims\/naam
UPNDe user principal name (UPN) van de gebruikerhttp:\/\/schemas.xmlsoap.org\/ws\/2005\/05\/identiteit\/claims\/upn
Algemene naamDe algemene naam van de gebruikerhttp:\/\/schemas.xmlsoap.org\/claims\/CommonName
AD FS 1.x E-e-mailadresDe e-e-mailadres van de gebruiker bij het werken met AD FS 1.1 of AD FS 1.0http:\/\/schemas.xmlsoap.org\/claims\/EmailAddress
GroepEen groep die de gebruiker lid van ishttp:\/\/schemas.xmlsoap.org\/claims\/groep
AD FS 1.x UPNDe UPN van de gebruiker bij het werken met AD FS 1.1 of AD FS 1.0http:\/\/schemas.xmlsoap.org\/claims\/UPN
FunctieEen functie die de gebruiker heefthttp:\/\/schemas.microsoft.com\/ws\/2008\/06\/identiteit\/claims\/rol
AchternaamDe achternaam van de gebruikerhttp:\/\/schemas.xmlsoap.org\/ws\/2005\/05\/identiteit\/claims\/achternaam
PPIDDe persoonlijke id van de gebruikerhttp:\/\/schemas.xmlsoap.org\/ws\/2005\/05\/identiteit\/claims\/privatepersonalidentifier
Naam-idDe SAML-naam-id van de gebruikerhttp:\/\/schemas.xmlsoap.org\/ws\/2005\/05\/identiteit\/claims\/nameidentifier
Methode voor netwerkverificatieDe methode die wordt gebruikt om de gebruiker te verifiërenhttp:\/\/schemas.microsoft.com\/ws\/2008\/06\/identiteit\/claims\/authenticationmethod
Weigeren groeps-SID voor alleenDe weigeren-alleen groeps-SID van de gebruikerhttp:\/\/schemas.xmlsoap.org\/ws\/2005\/05\/identiteit\/claims\/denyonlysid
Primaire SID voor alleen weigerenDe weigeren-alleen primaire SID van de gebruikerhttp:\/\/schemas.microsoft.com\/ws\/2008\/06\/identiteit\/claims\/denyonlyprimarysid
Alleen primaire groeps-SID weigerenDe weigeren-alleen primaire groeps-SID van de gebruikerhttp:\/\/schemas.microsoft.com\/ws\/2008\/06\/identiteit\/claims\/denyonlyprimarygroupsid
Groeps-SIDDe groeps-SID van de gebruikerhttp:\/\/schemas.microsoft.com\/ws\/2008\/06\/identiteit\/claims\/groupsid
Primaire groeps-SIDDe primaire groeps-SID van de gebruikerhttp:\/\/schemas.microsoft.com\/ws\/2008\/06\/identiteit\/claims\/primarygroupsid
Primaire SIDDe primaire SID van de gebruikerhttp:\/\/schemas.microsoft.com\/ws\/2008\/06\/identiteit\/claims\/primarysid
Windows-accountnaamDe domeinaccountnaam van de gebruiker in de vorm van \http:\/\/schemas.microsoft.com\/ws\/2008\/06\/identiteit\/claims\/windowsaccountname

Wat zijn claimbeschrijvingen?

Claimbeschrijvingen vertegenwoordigen een lijst van claims typen dat AD FS ondersteunt en die kunnen worden gepubliceerd in federatiemetagegevens. In de vorige tabel genoemde claimtypen zijn geconfigureerd als claimbeschrijvingen in de module Beheer van AD FS-in.

De verzameling claimbeschrijvingen die wordt gepubliceerd naar federatiemetagegevens wordt opgeslagen in de AD FS-configuratiedatabase. Deze claim beschrijvingen worden gebruikt door verschillende onderdelen van de Federation-Service.

Elke claimbeschrijving bevat een claimtype URI, naam, publicatiestatus en beschrijving. U kunt de verzameling claimbeschrijvingen beheren met behulp van de Claimbeschrijvingen knooppunt in de module Beheer van AD FS-in. U kunt de publicatiestatus van een beschrijving van de claim met behulp van de module wijzigen-in. De volgende instellingen zijn beschikbaar:

  • Deze claim publiceren in federatiemetagegevens als claimtype die deze Federation-Service kan accepteren(publiceren als geaccepteerd), geeft de claimtypen die door deze Federation-Service van andere claimproviders worden geaccepteerd.

  • Deze claim publiceren in federatiemetagegevens als claimtype die deze Federation-Service kunt verzenden(publiceren als verzonden), geeft de claimtypen die door deze Federation-Service worden aangeboden. Dit zijn de claimtypen die de Federation-Service naar anderen als die bereid publiceert te verzenden. De daadwerkelijke claimtypen die door de claimprovider worden verzonden zijn vaak een subset van deze lijst.

Zie voor meer informatie over het instellen van de publicatiestatus van een claimtype een Claimbeschrijving toevoegen in de AD FS Deployment Guide.

Bij het genereren van Federatiemetagegevens

Federatiemetagegevens omvatten alle claimbeschrijvingen die zijn gemarkeerd voor publicatie.

Wanneer claimregels worden verwerkt

Wanneer u configuratie-informatie over claimbeschrijvingen bewaart, is het eenvoudiger voor regels over claims te configureren. Zie voor meer informatie over de claimregels die kunnen worden gebruikt in de organisatie van de claimprovider de rol van een Claimregels.

© 2017 Microsoft