Da bi implementirali AD FS Claim, administratori moraju da identifikuju ključne aspekte AD FS Claim-a i identitet Claim-a. Administrator bi trebalo da zna razliku između Group & Custom Claim-a. Takođe, administrator bi trebalo da identifikuje koncept dolazećeg i odlazećeg Claim mapiranja (Incoming & Outgoing Claim Mappings). Dalje, administrator treba da zna korake koji su potrebni da bi se konfigurisao AD FS Claim Mapping.
Slika 20.1
Claims su izlaganja (Statements) koja sadrže informacije o korisniku, kao što je ime, identitet, privilegije, ili mogućnosti. Sigurnosni tokeni koji autorizuju pristup aplikacijama uključuju Claim-ove. Claim-ovi potiču iz Account Store-a ili Account Partner-a.
AD FS podržava sledeće tipove Claim-ova:
AD FS pruža sledeće grupe Claim-ova:
Group Claims ukazuju na informacije o članstvu u određenoj grupi ili ulozi. Administrator može da definiše individualne Claim-ove koji imaju Group Type, Group Claims. Na primer, administrator može da definiše sledeći set Group Claim-ova:
Da bi popunili i mapirali Claim-ove, administratori mogu da koriste Group Claim kao odvojenu administrativnu jedinicu.
Custom Claim-ovi nude informacije koje se odnose na korisnika u formi Name-value parova. Na primer, Custom Claim može da određuje User Employee ID atribut.
Incoming (dolazeći) Claim Mapping konvertuje Claim-ove koje šalje Account partner u Claim-ove koje koristi Resource partner. Resource partner tada koristi ove Claim-ove za autorizaciju. Ovaj proces nudi Interoperability (interoperabilnost) između sigurnosnih mehanizama.
Na primer, Account Partner pošalje sigurnosni token za korisnika ka Resource partneru. Sigurnosni token sadrži Group claim, SalesReps, za korisnika. Resource partner ne može da pruži odluku o autorizaciji na osnovu Account Users članstva u SalesReps grupi. Iz tog razloga, administrator koristi Incoming (dolazeću) Group Claim Mapping da bi mapirao SalesReps Group Claim u Account Federation servisu sa Organization Group Claim-om unutar Resource Federation servisa. Organization Group Claim se naziva Purchasers. Resource partner nudi pristup Local Security grupi koja je mapirana preko Purchasers Claim-a.
U Account Federation servisu, administrator mora da mapira Organization Claim, kao što je Group ili Custom Claim, sa Outgoing Claim-om. Resources Federation Service prima Outgoing Claim kada korisnik koji se nalazi u Account organizaciji zahteva prustup resursu.
Resource Federation Server prima Outgoing Claim kao Incoming Claim. Ovaj Incoming Claim je konfigurisan da mapira Local Organizational Claim. Resource Federation Servis koristi Local Organizational Claim da bi pružio autorizacione odluke.