要求の役割

要求ベースの ID モデルでは、要求はフェデレーション プロセスで重要な役割を果たす主要コンポーネントです。すべての Web ベースの認証および承認要求の結果は、要求に基づいて決定されます。 このモデルを使用することで、組織はデジタル ID とアクセス権、つまり要求をセキュリティや企業の境界を越えて、標準化された方法で安全に提示できるようになります。

要求とは

最も単純な形式の要求は、ユーザーに関して作成された簡単なステートメント (名前、ID、グループなど) です。これらは主に、インターネット上にある要求ベースのアプリケーションへのアクセスを承認するために使用されます。 各ステートメントは、要求に格納されるに対応します。

要求の提供元

Active Directory フェデレーション サービス (AD FS) のフェデレーション サービスでは、フェデレーション パートナー間でやり取りされる要求を定義します。 ただし、この定義を行う前に、取得または計算された値を要求に格納または提供する必要があります。 各要求の値は、ユーザー、グループ、またはエンティティの値を表し、次の 2 つのいずれかの方法で提供されます。

  1. 要求を構成する値が属性ストアから取得される場合。たとえば、属性値 Sales Department が Active Directory ユーザー アカウントのプロパティから取得されるような場合です。 詳細については、「属性ストアの役割」を参照してください。

  2. 入力方向の要求の値が、規則で表されているロジックに基づいて別の値に変換される場合。 たとえば、入力方向の要求に含まれる Domain Admins という値が、出力方向の要求として送信される前に新しい値 Administrators に変換されるような場合です。 詳細については、「要求規則の役割」を参照してください。

要求には、電子メール アドレス、ユーザー プリンシパル名 (UPN)、グループ メンバーシップ、および他のアカウント属性などの値を含めることができます。

要求のフロー

他の利用者は、要求の値を使用して、自身がホストする Web ベース アプリケーションの承認タスクを実行します。 これらの関係者は、AD FS 管理スナップインでは "証明書利用者" と呼ばれます。 フェデレーション サービスは、多数の異なる利用者間で信頼を仲介する役割を担います。 それは、要求を最初に提供する組織 (AD FS 管理スナップインでは "要求プロバイダー" とも呼ばれます) から証明書利用者への信頼された要求のやり取りを処理するように設計されています。 証明書利用者は、受け取った要求を使用して承認の判断を下します。

このようなプロセスを実行する要求のフローを要求パイプラインと呼びます。 要求パイプラインでの要求のフローは、次の 3 つのステップから構成されます。

  1. 要求プロバイダーから受け取った要求は、要求プロバイダー信頼の受け入れ変換規則によって処理されます。 これらの規則は、要求プロバイダーから受け入れる要求を決定します。

  2. 受け入れ変換規則の出力は、発行承認規則の入力として使用されます。 これらの規則は、ユーザーが証明書利用者へのアクセスを許可されるかどうかを決定します。

  3. 受け入れ変換規則の出力は、発行変換規則の入力として使用されます。 これらの規則は、証明書利用者に送信される要求を決定します。

詳細については、「要求パイプラインの役割」を参照してください。

要求の発行

要求規則を記述する場合、要求規則の入力方向の要求のソースは、要求プロバイダー信頼または証明書利用者信頼のどちらの規則を記述するかによって異なります。 要求プロバイダー信頼の要求規則を記述する場合、入力方向の要求は、信頼される要求プロバイダーからフェデレーション サービスに送信される要求です。 証明書利用者信頼の要求規則を記述する場合、入力方向の要求は、該当する要求プロバイダー信頼の要求規則によって出力される要求です。 入力方向と出力方向の要求に関する詳細については、「要求パイプラインの役割」および「要求エンジンの役割」を参照してください。

要求の種類とは

要求の種類は、要求の値のコンテキストを提供します。 通常、URI (Uniform Resource Identifier) で表されます。 AD FS はあらゆる種類の要求をサポートすることができ、既定では、次の表に示す要求の種類が構成されています。

名前 説明 URI
電子メール アドレス ユーザーの電子メール アドレス http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
ユーザーの姓名の名 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
名前 ユーザーの一意の名前 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
UPN ユーザーのユーザー プリンシパル名 (UPN) http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
共通名 ユーザーの共通名 http://schemas.xmlsoap.org/claims/CommonName
AD FS 1.x メール アドレス AD FS 1.1 または AD FS 1.0 と相互運用するときのユーザーのメール アドレス http://schemas.xmlsoap.org/claims/EmailAddress
Group ユーザーが属するグループ http://schemas.xmlsoap.org/claims/Group
AD FS 1.x UPN AD FS 1.1 または AD FS 1.0 と相互運用するときのユーザーの UPN http://schemas.xmlsoap.org/claims/UPN
ロール ユーザーの役割 http://schemas.microsoft.com/ws/2008/06/identity/claims/role
Surname ユーザーの姓名の姓 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
PPID ユーザーの個人識別子 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier
名前識別子 ユーザーの SAML 名前識別子 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
認証方法 ユーザー認証に使用される方法 http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
拒否専用グループ SID ユーザーの拒否専用グループ SID http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid
拒否専用プライマリ SID ユーザーの拒否専用プライマリ SID http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid
拒否専用プライマリ グループ SID ユーザーの拒否専用プライマリ グループ SID http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid
グループ SID ユーザーのグループ SID http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid
プライマリ グループ SID ユーザーのプライマリ グループ SID http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid
プライマリ SID ユーザーのプライマリ SID http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
Windows アカウント名 ユーザーの <ドメイン>\<ユーザー> 形式のドメイン アカウント名 http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname

要求記述とは

要求記述は、AD FS によってサポートされ、フェデレーション メタデータに公開される要求の種類のリストです。 上の表で説明した要求の種類は、AD FS 管理スナップインで要求記述として構成されています。

フェデレーション メタデータに公開される要求記述のコレクションは、AD FS 構成データベースに格納されます。 これらの要求記述は、フェデレーション サービスのさまざまなコンポーネントで使用されます。

各要求記述には、要求の種類の URI、名前、公開状態、および説明が含まれています。 要求記述のコレクションは、AD FS 管理スナップインの [要求記述] ノードを使用して管理できます。 このスナップインを使うと、要求記述の公開状態を変更できます。 次の設定を使用できます。

  • [このフェデレーション サービスが受け付けることができる要求の種類としてこの要求記述をフェデレーション メタデータで公開する] (受け付け済みとして公開): このフェデレーション サービスが他の要求プロバイダーから受け付ける要求の種類を示します。

  • [このフェデレーション サービスが送信できる要求の種類としてこの要求記述をフェデレーション メタデータで公開する] (送信済みとして公開): このフェデレーション サービスが提供する要求の種類を示します。 これらは、フェデレーション サービスが送信できる要求として公開する要求の種類です。 要求プロバイダーによって送信される実際の要求の種類は、多くの場合、このリストのサブセットとなります。

要求の種類の公開状態を設定する方法について詳しくは、AD FS の展開ガイドの「要求記述を追加する」をご覧ください。

フェデレーション メタデータの生成

フェデレーション メタデータには、公開対象としてマークされているすべての要求記述が含まれます。

要求規則の処理

要求記述に関する構成情報を保持しておくと、要求に関する規則を簡単に構成できます。 要求プロバイダー組織で使用できる要求規則の詳細については、「要求規則の役割」を参照してください。