要求パイプラインの役割

Active Directory フェデレーション サービス (AD FS) で要求がパイプラインに発行する前に、フェデレーション サービスで要求が従う必要があるパスを表します。 フェデレーション サービスは、要求パイプラインのさまざまなステージを通過する要求プロセス全体をエンド ツー エンドに管理します。これには、要求規則エンジンによる要求規則の処理も含まれます。

要求規則の詳細については、次を参照してください。 [要求規則の役割します。 要求規則エンジンが規則をどのように処理するかについては、「 The Role of the Claims Engine」を参照してください。

次のセクションでは、フェデレーション サービスが管理するプロセスについてさらに詳しく説明します。

要求パイプライン プロセス

要求パイプライン プロセスは、大きく分けて 3 つのステージで構成されます。 このプロセスの各ステージでは、そのステージに固有の要求規則を処理するために、要求規則エンジンが初期化されます。 各ステージで行わる処理は次のとおりです (発生順)。

1. 入力方向の要求の受け入れ — 要求パイプラインのこのステージでは、トークンからの入力方向の要求を抽出し、想定または信頼されていない要求を排除します。 要求が抽出されると、要求プロバイダー信頼の受け付け変換規則セットを構成する承認規則が実行されます。 これらの規則は、要求を次の処理に渡したり、新しい要求を追加するために使用されます。これにより、要求パイプラインの後続のステージでそれらの要求を使用できるようになります。 このステージの出力は、2 番目と 3 番目のステージへの入力として使用されます。

2. 要求元の承認 — このステージでは、トークンの要求元が指定された証明書利用者のトークンの取得を許可されているかどうかに基づいて、要求エンジンが許可を発行するか、または要求を拒否します。 ただし、その前に、証明書利用者信頼の発行承認規則セットか委任承認規則セットのいずれかを構成する承認規則が実行されます。

3. 出力方向の要求の発行 — このステージでは、出力方向の要求を発行し、それらをパイプラインに送ります。送られた要求は、セキュリティ トークンにパッケージ化されます。 ただし、その前に、証明書利用者信頼の発行変換規則セットを構成する発行規則が実行されます。これにより、どの要求が出力方向の要求として発行されるかが決定されます。

上記の 3 つのステージでは、それぞれ要求規則の処理が実行されますが、使用される規則セットが異なります。 上記のように、各ステージには、着信要求の発行者 (受け入れ規則) または claimincludes が発行されるターゲットサービス (承認規則および発行規則) のいずれかに基づく一連の規則が関連付けられています。

要求はトークンに依存しませんが、セキュリティ トークンにカプセル化されたネットワークを経由して転送されます。 要求規則は、入力方向や出力方向のセキュリティ トークンの形式に関係なく要求に適用されます。

要求規則には、管理者によって定義されたロジックが含まれます。このロジックによって、要求エンジンは入力方向の要求を受け付け、要求元の ID に基づいて要求を承認し、証明書利用者が必要とする要求を発行します。 最終的に、要求が要求パイプラインを通過した後で発行されるセキュリティ トークンにどの要求が送られるかは、要求エンジンによって決定されます。

次の図に示すように、要求がパイプラインのさまざまなステージを通過して、発行された要求が証明書利用者信頼を経由して送信されるまでの全体的なプロセスは、要求パイプラインによってエンド ツー エンドに管理されます。 この図にある出力方向の要求は、発行された要求を表しています。

図には示されていませんが、各ステージで規則を実際に処理するのは要求エンジンです。 詳細については、次を参照してください。 要求エンジンの役割します。