Ruolo delle attestazioni
Nel modello di identità basata sulle attestazioni, queste ultime svolgono un ruolo fondamentale nel processo di federazione, in quanto rappresentano il componente chiave che determina l'esito di tutte le richieste di autenticazione e di autorizzazione basate sul Web. Questo modello consente alle organizzazioni di proiettare in modo sicuro identità digitali, diritti o attestazioni attraverso limiti di sicurezza aziendali in modo standardizzato.
Cosa sono le attestazioni?
Nella forma più semplice, le attestazioni sono semplicemente istruzioni (ad esempio nome, identità, gruppo), formulate riguardo a utenti e usate principalmente per autorizzare l'accesso ad applicazioni basate su attestazioni presenti in qualsiasi ubicazione di Internet. Ogni istruzione corrisponde a un valore archiviato nell'attestazione.
Come vengono ottenute le attestazioni
Il servizio federativo in Active Directory Federation Services (AD FS) definisce quali attestazioni vengono scambiate tra partner federati. Prima che ciò sia possibile, tuttavia, il servizio deve prima popolare od ottenere l'attestazione tramite un valore recuperato o calcolato. Ogni valore dell'attestazione rappresenta un valore di un utente, gruppo o entità e può essere recuperato in uno di due modi:
Quando il valore che costituisce l'attestazione viene recuperato da un archivio di attributi, ad esempio il valore dell'attributo Sales Department recuperato dalle proprietà di un account utente Active Directory. Per altre informazioni, vedere Ruolo degli archivi attributi.
Quando il valore di un'attestazione in ingresso viene trasformata in un altro valore basato sulla logica espressa in una regola. Quando ad esempio un'attestazione in ingresso con il valore di Domain Admins viene trasformata in un nuovo valore di Administrators prima di essere inviata come attestazione in uscita. Per altre informazioni, vedere Ruolo delle regole attestazione.
Le attestazioni possono includere valori come un indirizzo di posta elettronica, il nome dell'entità utente (UPN), l'appartenenza a gruppi e altri attributi dell'account.
Flusso delle attestazioni
Altre parti si affidano ai valori delle attestazioni per eseguire attività di autorizzazione per le applicazioni basate sul Web che ospitano. Queste parti vengono definite relying party nello snap-in Gestione di AD FS. Il servizio federativo è responsabile dell’intermediazione fiduciaria tra molte parti diverse. Esso è progettato per elaborare e convogliare lo scambio attendibile delle attestazioni tra un'organizzazione che inizialmente recupera le attestazioni, anche nota come provider di attestazioni nello snap-in Gestione di AD FS, a una relying party. Una relying party usa quindi queste attestazioni per operare decisioni in merito alle autorizzazioni.
Il flusso di attestazioni che usa questo processo è noto come pipeline delle attestazioni. Vi sono tre passaggi nel flusso di attestazioni attraverso la pipeline delle attestazioni:
Le attestazioni ricevute dal provider di attestazioni vengono elaborate dalle regole di trasformazione accettazione nel trust del provider di attestazioni. Queste regole determinano quali attestazioni vengono accettate dal provider di attestazioni.
L'output delle regole di trasformazione accettazione viene usato come input per le regole di autorizzazione rilascio. Tali regole determinano se l'utente è autorizzato ad accedere alla relying party.
L'output delle regole di trasformazione accettazione viene usato come input per le regole di trasformazione rilascio. Tali regole determinano quali attestazioni verranno inviate alla relying party.
Per altre informazioni, vedere Ruolo delle pipeline delle attestazioni
Come vengono emesse le attestazioni
Quando si scrivono regole attestazione, l'origine delle attestazioni in ingresso per le regole attestazione varia in base alla scrittura o meno di regole nel trust del provider di attestazioni o nel trust della relying party. Quando si scrivono regole attestazione per un trust del provider di attestazioni, le attestazioni in ingresso sono quelle inviate dal provider di attestazioni attendibile al servizio federativo. Quando si scrivono regole per un trust della relying party, le attestazioni in ingresso sono quelle provenienti dalle regole attestazione del trust del provider di attestazioni applicabile. Per altre informazioni sulle attestazioni in ingresso e in uscita, vedere Ruolo delle pipeline delle attestazioni e Ruolo del motore delle attestazioni.
Cosa sono i tipi di attestazioni?
Un tipo di attestazione fornisce contesto per il valore dell'attestazione. Viene in genere espresso come Uniform Resource Identifier (URI). AD FS può supportare qualsiasi tipo di attestazione ed è configurato per impostazione predefinita con i tipi di attestazioni riportati nella tabella seguente.
| Nome | Descrizione | URI |
|---|---|---|
| Indirizzo di posta elettronica | Indirizzo di posta elettronica dell'utente | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
| Nome | Nome (di battesimo) dell'utente | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname |
| Nome | Nome univoco dell'utente | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
| UPN | Il nome dell'entità utente (UPN) dell'utente | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn |
| Nome comune | Nome comune dell'utente | http://schemas.xmlsoap.org/claims/CommonName |
| Indirizzo di posta elettronica AD FS 1.x | Indirizzo di posta elettronica dell'utente quando interagisce con AD FS 1.1 o AD FS 1.0 | http://schemas.xmlsoap.org/claims/EmailAddress |
| Raggruppa | Gruppo a cui appartiene l'utente | http://schemas.xmlsoap.org/claims/Group |
| UPN AD FS 1.x | UPN dell'utente quando interagisce con AD FS 1.1 o AD FS 1.0 | http://schemas.xmlsoap.org/claims/UPN |
| Ruolo | Ruolo dell'utente | http://schemas.microsoft.com/ws/2008/06/identity/claims/role |
| Surname | Cognome dell'utente | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname |
| PPID | Identificatore privato dell'utente | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier |
| Identificatore nome | Identificatore nome SAML dell'utente | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
| Metodo di autenticazione | Metodo usato per autenticare l'utente | http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod |
| SID gruppo di sola negazione | SID di gruppo di sola negazione dell'utente | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid |
| SID primario di sola negazione | SID primario di sola negazione dell'utente | http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid |
| SID gruppo primario di sola negazione | SID di gruppo primario di sola negazione dell'utente | http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid |
| SID gruppo | SID di gruppo dell'utente | http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid |
| SID gruppo primario | SID di gruppo primario dell'utente | http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid |
| SID primario | SID primario dell'utente | http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid |
| Nome account Windows | Nome account di dominio dell'utente in formato <dominio>\<utente> | http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname |
Cosa sono le descrizioni di attestazioni?
Le descrizioni di attestazioni sono rappresentate da un elenco di tipi di attestazioni supportati da AD FS e che possono essere pubblicati nei metadati federativi. I tipi di attestazioni menzionati nella tabella precedente vengono configurati come descrizioni di attestazioni nello snap-in Gestione di AD FS.
La raccolta di descrizioni di attestazioni che verrà pubblicata nei metadati federativi è archiviata nel database di configurazione di ADFS. Tali descrizioni di attestazioni vengono usate da vari componenti del servizio federativo.
Ogni descrizione di attestazione include URI, nome, stato di pubblicazione e descrizione per il tipo di attestazione. È possibile gestire la raccolta di descrizioni attestazioni usando il nodo Descrizioni attestazioni nello snap-in Gestione di AD FS. È possibile modificare lo stato di pubblicazione di una descrizione di un'attestazione usando lo snap-in. Sono disponibili le impostazioni seguenti:
Pubblica l'attestazione nei metadati federativi come tipo di attestazione accettabile da questo servizio federativo (pubblica come accettato) - Indica i tipi di attestazione che verranno accettati da altri provider di attestazioni da questo servizio federativo.
Pubblica l'attestazione nei metadati federativi come tipo di attestazione inviabile da questo servizio federativo (pubblica come inviato) - Indica i tipi di attestazione che verranno offerti da questo servizio federativo. Questi sono i tipi di attestazioni che il servizio federativo pubblica agli altri come tipi di attestazioni disponibili per l'invio. I tipi di attestazioni effettivi inviati dal provider di attestazioni sono spesso un sottoinsieme di questo elenco.
Per altre informazioni su come impostare lo stato di pubblicazione per un tipo di attestazione, vedere Aggiungere una descrizione di attestazione nella Guida alla distribuzione di AD FS.
Durante la generazione dei metadati federativi
Questi includono tutte le descrizioni di attestazioni contrassegnate per la pubblicazione.
Quando vengono elaborate le regole attestazione
Se si mantengono informazioni di configurazione relative alle descrizioni di attestazioni, risulterà più facile configurare regole relative alle attestazioni. Per altre informazioni sulle regole attestazione che possono essere usate nell'organizzazione del provider di attestazioni, vedere Ruolo delle regole attestazione.