A função das declarações

No modelo de identidade baseada em declarações, as declarações desempenham uma função central no processo de federação. Elas são o componente-chave pelo qual o resultado de todas as solicitações de autenticação e autorização na Web é determinado. Esse modelo permite que as organizações projetem, de forma segura, identidade digital e direitos de titularidade, ou declarações, através dos limites de segurança e da empresa, de forma padronizada.

O que são declarações?

Em sua forma mais simples, declarações são simplesmente instruções (por exemplo, nome, identidade, grupo) feitas sobre os usuários, usadas principalmente para autorizar o acesso a aplicativos baseados em declarações localizadas em qualquer lugar na Internet. Cada instrução corresponde a um valor que é armazenado na declaração.

Como as declarações são originadas

O Serviço de Federação nos Serviços de Federação do Active Directory (AD FS) define quais declarações são trocadas entre parceiros federados. No entanto, antes de fazer isso, ele deve primeiro preencher ou criar a declaração com um valor recuperado ou um valor calculado. Cada valor de declaração representa um valor de um usuário, grupo ou entidade e é originado em uma das duas maneiras:

  1. Quando o valor que compõe a declaração é recuperado de um repositório de atributos, por exemplo, quando um valor de atributo do Departamento de Vendas é recuperado das propriedades de uma conta de usuário do Active Directory. Para mais informações, consulte A função dos repositórios de atributo.

  2. Quando o valor de uma declaração de entrada é transformado em outro valor com base na lógica expressa em uma regra. Por exemplo, quando uma declaração de entrada com o valor Admins. do Domínio é transformada em um novo valor de administradores antes de ser enviada como uma declaração de saída. Para mais informações, consulte A função das regras de declaração.

As declarações podem incluir valores como um endereço de email, nome UPN, associação ao grupo e outros atributos da conta.

Como as declarações funcionam

Outras partes contam com os valores das declarações para executar tarefas de autorização para os aplicativos baseados na Web que hospedam. Essas partes são referidas como terceiras partes confiáveis no snap-in de gerenciamento do AD FS. O serviço de Federação é responsável por intermediar a confiança entre muitas partes diferentes. Ele é projetado para processar e fazer fluir a troca confiável de declarações de uma organização que inicialmente cria as declarações, também conhecidas como provedores de declarações no snap-in de gerenciamento do AD FS para uma terceira parte confiável. Uma terceira parte confiável, então, usa essas declarações para tomar decisões de autorização.

O fluxo de declarações que usa este processo é conhecido como pipeline de declarações. Há três etapas no fluxo de declarações através do pipeline de declarações:

  1. As declarações recebidas do provedor de declarações são processadas pelas regras de transformação de aceitação no objeto de confiança no provedor de declarações. Essas regras determinam quais declarações são aceitas do provedor de declarações.

  2. A saída das regras de transformação de aceitação é utilizada como entrada para as regras de autorização de emissão. Essas regras determinam se o usuário tem permissão para acessar a terceira parte confiável.

  3. A saída das regras de transformação de aceitação é utilizada como entrada para as regras de transformação de emissão. Essas regras determinam as declarações que serão enviadas para a terceira parte confiável.

Para mais informações, consulte A função do pipeline de declarações

Como as declarações são emitidas

Quando você escreve regras de declaração, a origem das declarações de entrada para as regras de declaração varia dependendo se você está escrevendo regras em um objeto de confiança do provedor de declarações ou em um objeto de confiança de terceira parte confiável. Quando você escreve regras para um objeto de confiança do provedor de declarações, as declarações de entrada são as reivindicações enviadas do provedor de declarações confiável para o Serviço de Federação. Quando você escreve regras para um objeto de confiança de terceira parte confiável, as declarações de entrada são as declarações de saída das regras de declaração do objeto de confiança do provedor de declarações. Para mais informações sobre declarações de entrada e declarações de saída, consulte A função do pipeline de declarações e A função do mecanismo de declarações.

Quais são os tipos de declaração?

Um tipo de declaração fornece o contexto para o valor da declaração. É geralmente expresso como um URI (Uniform Resource Identifier). O AD FS pode dar suporte a qualquer tipo de declaração, e é configurado com os tipos de declaração na seguinte tabela, por padrão.

Nome Descrição URI
Endereço de email O endereço de email do usuário http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
Nome O nome fornecido do usuário http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
Nome O nome exclusivo do usuário http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
UPN O UPN (nome UPN) do usuário http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
Nome comum O nome comum do usuário http://schemas.xmlsoap.org/claims/CommonName
Endereço de email do AD FS 1.x O endereço de email do usuário ao interagir com o AD FS 1.1 ou o AD FS 1.0 http://schemas.xmlsoap.org/claims/EmailAddress
Agrupar Um grupo do qual o usuário é membro http://schemas.xmlsoap.org/claims/Group
AD FS 1.x UPN O UPN do usuário ao interoperar com o AD FS 1.1 ou o AD FS 1.0 http://schemas.xmlsoap.org/claims/UPN
Função Uma função que o usuário tenha http://schemas.microsoft.com/ws/2008/06/identity/claims/role
Sobrenome O sobrenome do usuário http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
PPID O identificador privado do usuário http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier
Identificador do Nome O identificador de nome SAML do usuário http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
Método de autenticação O método usado para autenticar o usuário http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
SID do grupo somente negar O SID do grupo somente negar do usuário http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid
SID primário somente negar O SID primário somente negar do usuário http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid
SID de grupo primário somente negar O SID de grupo primário somente negar do usuário http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid
SID de grupo O SID de grupo do usuário http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid
SID de grupo primário O SID de grupo primário do usuário http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid
SID primário O SID primário do usuário http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
Nome da conta Windows O nome da conta de domínio do usuário sob a forma de <domínio>\<usuário> http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname

O que são descrições de declaração?

As descrições de declaração representam uma lista de tipos de declaração à qual o AD FS dá suporte e que podem ser publicados nos metadados da federação. Os tipos de declaração mencionados na tabela anterior são configurados como descrições de declaração no snap-in de gerenciamento do AD FS.

A coleção de descrições de declaração que será publicada nos metadados da federação é armazenada no banco de dados de configuração do AD FS. Essas descrições de declaração são usadas por vários componentes do Serviço de Federação.

Cada descrição de declaração inclui um tipo de declaração URI, nome, estado de publicação e descrição. Você pode gerenciar a coleção de descrições de declaração usando o nó Descrições de declaração no snap-in de Gerenciamento do AD FS. Você pode modificar o estado de publicação de uma descrição de declaração usando o snap-in. As seguintes configurações estão disponíveis:

  • Publicar esta declaração nos metadados da federação como um tipo de declaração que este Serviço de Federação pode aceitar: (Publicar como Aceito) – Indica os tipos de declaração que serão aceitos de outros provedores de declarações por este Serviço de Federação.

  • Publicar esta declaração nos metadados da federação como um tipo que este Serviço de Federação pode aceitar (Publicar como Enviado) – Indica os tipos de declaração que são oferecidos por este Serviço de Federação. Estes são os tipos de declaração que o Serviço de Federação publica para outros como sendo aqueles que está disposto a enviar. Os tipos de declaração reais enviados pelo provedor de declarações muitas vezes são um subconjunto dessa lista.

Para mais informações sobre como definir o estado da publicação de um tipo de declaração, confira Adicionar uma descrição de declaração no Guia de Implantação do AD FS.

Quando gerar metadados de federação

Os Metadados de Federação incluem todas as descrições de declaração marcadas para publicação.

Quando as regras de declaração são processadas

Quando você mantém informações de configuração sobre descrições de declaração, é mais fácil configurar as regras sobre declarações. Para mais informações sobre regras de declaração que podem ser usadas ​​na organização do provedor de declarações, consulte A função das regras de declaração.