Rolle der Anspruchspipeline
Die Anspruchspipeline in Active Directory-Verbunddienste (AD FS) stellt den Pfad dar, den Ansprüche innerhalb des Verbunddiensts durchlaufen müssen, bevor sie ausgestellt werden können. Der Verbunddienst verwaltet den gesamten End-to-End-Prozess des Anspruchsverlaufs in den verschiedenen Phasen der Anspruchspipeline, einschließlich der Verarbeitung von Anspruchsregeln durch die Anspruchsregel-Engine.
Weitere Informationen zu Anspruchsregeln finden Sie unter Die Rolle von Anspruchsregeln. Weitere Informationen zur Verarbeitung von Regeln durch das Anspruchsregelmodul finden Sie unter The Role of the Claims Engine.
Im folgenden Abschnitt wird der vom Verbunddienst verwaltete Prozess ausführlicher beschrieben.
Anspruchspipelineprozess
Der Anspruchspipelineprozess besteht aus drei grundlegenden Phasen. Jede Phase in diesem Prozess initialisiert die Anspruchsregel-Engine, um für diese Phase spezifische Anspruchsregeln zu verarbeiten. Diese Phasen umfassen (in der Reihenfolge ihres Auftretens):
Akzeptieren von eingehenden Ansprüchen: Diese Phase der Anspruchspipeline wird verwendet, um die eingehenden Ansprüche aus dem Token zu extrahieren und nicht erwartete oder nicht vertrauenswürdige Ansprüche zu entfernen. Nach dem Extrahieren werden die Akzeptanzregeln ausgeführt, aus denen sich der Akzeptanztransformations-Regelsatz für eine Anspruchsanbieter-Vertrauensstellung zusammensetzt. Diese Regeln können verwendet werden, um Ansprüche weiterzuleiten oder neue Ansprüche hinzuzufügen, die dann in den nachfolgenden Phasen der Anspruchspipeline verwendet werden können. Die Ausgabe dieser Phase wird als Eingabe für die zweite und dritte Phase verwendet.
Autorisieren des Anspruchsanforderers: Diese Phase wird von der Anspruchs-Engine verwendet, um Zulassungs- oder Verweigerungsansprüche auszustellen. Dies erfolgt in Abhängigkeit davon, ob der Anforderer des Tokens berechtigt ist, ein Token für eine bestimmte vertrauende Seite zu erhalten. Zuvor werden jedoch die Autorisierungsregeln ausgeführt, aus denen sich entweder der Ausstellungsautorisierungs-Regelsatz oder der Delegationsautorisierungs-Regelsatz für eine Vertrauensstellung der vertrauenden Seite zusammensetzt.
Ausstellen von ausgehenden Ansprüchen: Diese Phase wird verwendet, um ausgehende Ansprüche auszustellen und entlang der Pipeline zu senden, wo sie in ein Sicherheitstoken gepackt werden. Zuvor werden jedoch die Ausstellungsregeln ausgeführt, aus denen sich der Ausstellungstransformations-Regelsatz für eine Vertrauensstellung der vertrauenden Seite zusammensetzt. Diese bestimmen, welche Ansprüche als ausgehende Ansprüche ausgestellt werden.
In allen drei oben aufgeführten Phasen werden Anspruchsregeln verarbeitet, jedoch jeweils anhand eines anderen Regelsatzes. Wie oben beschrieben ist jeder Phase ein Regelsatz zugeordnet, der entweder auf dem Aussteller der eingehenden Ansprüche (Akzeptanzregeln) oder auf dem Zieldienst basiert, für den die Ansprüche ausgestellt werden (Autorisierungs- und Ausstellungsregeln).
Ansprüche sind tokenagnostisch, werden jedoch in Sicherheitstoken gekapselt über das Netzwerk übertragen. Die Anspruchsregeln werden unabhängig vom Format des eingehenden oder ausgehenden Sicherheitstokens auf Ansprüche angewendet.
Anspruchsregeln enthalten die vom Administrator definierte Logik, anhand derer die Anspruchs-Engine die eingehenden Ansprüche akzeptiert, Ansprüche basierend auf der Identität des Anforderers autorisiert und Ansprüche ausstellt, die von einer vertrauenden Seite benötigt werden. Letztlich wird durch die Anspruchs-Engine bestimmt, welche Ansprüche in das Sicherheitstoken aufgenommen werden, das ausgestellt wird, nachdem der Anspruch die Anspruchspipeline durchlaufen hat.
Wie in der folgenden Abbildung dargestellt umfasst die Anspruchspipeline den gesamten End-to-End-Prozess des Anspruchsverlaufs in den verschiedenen Phasen der Pipeline. Am Ende der Anspruchspipeline steht die Ausstellung eines Anspruchs, der über eine Vertrauensstellung der vertrauenden Seite gesendet wird. Der ausgehende Anspruch in der Abbildung stellt den ausgestellten Anspruch dar.
Obgleich dies in der Abbildung nicht dargestellt ist, erfolgt die tatsächliche Verarbeitung der Regeln in den einzelnen Phasen durch die Anspruchs-Engine. Weitere Informationen finden Sie unter The Role of the Claims Engine.