Da bi implementirali AD FS Claim, administratori moraju da identifikuju ključne aspekte AD FS Claim-a i identitet Claim-a. Administrator bi trebalo da zna razliku između Group & Custom Claim-a. Takođe, administrator bi trebalo da identifikuje koncept dolazećeg i odlazećeg Claim mapiranja (Incoming & Outgoing Claim Mappings). Dalje, administrator treba da zna korake koji su potrebni da bi se konfigurisao AD FS Claim Mapping.

Šta su to AD FS Claims?

 
Slika 20.1

Claims su izlaganja (Statements) koja sadrže informacije o korisniku, kao što je ime, identitet, privilegije, ili mogućnosti. Sigurnosni tokeni koji autorizuju pristup aplikacijama uključuju Claim-ove. Claim-ovi potiču iz Account Store-a ili Account Partner-a.

AD FS podržava sledeće tipove Claim-ova:

  • Identity Claim: Ovaj Claim uključuje User Principal Names (UPNs), mejl adrese ili jednostavna imena (Common Names).

  • Group Claim: Ovaj Claim ukazuje na članstvo u sigurnosnim grupama. Ovaj Claim može takođe da ukaže i na ulogu koja je dodeljena korisniku.

  • Custom Claim: Ovaj Claim sadrži prilagođene informacije (Custom Information) o korisniku. Na primer, Custom Claim može da sadrži Employee ID broj korisnika.


AD FS pruža sledeće grupe Claim-ova:

  • Organizational Claims: Ova grupa je normalizovani set Claim-ova u organizaciji. Administrator može da odradi interne Federation Service akcije na Organization Claim setu.

  • Incoming Claims: Ova grupa se sastoji od Claim-ova koji specifični Resource Partner prima od Account Partner organizacije.

  • Outgoing Claims: Ova grupa sadrži Claimove koje Account partner šalje ka specifičnom Resource Partneru.


Šta su to Group i Custoim Claim-ovi?

Group Claims ukazuju na informacije o članstvu u određenoj grupi ili ulozi. Administrator može da definiše individualne Claim-ove koji imaju Group Type, Group Claims. Na primer, administrator može da definiše sledeći set Group Claim-ova:

  • Managers
  • Executives
  • Agents


Da bi popunili i mapirali Claim-ove, administratori mogu da koriste Group Claim kao odvojenu administrativnu jedinicu.

Custom Claim-ovi nude informacije koje se odnose na korisnika u formi Name-value parova. Na primer, Custom Claim može da određuje User Employee ID atribut.

Šta je Incoming Claim Mappings?

Incoming (dolazeći) Claim Mapping konvertuje Claim-ove koje šalje Account partner u Claim-ove koje koristi Resource partner. Resource partner tada koristi ove Claim-ove za autorizaciju. Ovaj proces nudi Interoperability (interoperabilnost) između sigurnosnih mehanizama.

Na primer, Account Partner pošalje sigurnosni token za korisnika ka Resource partneru. Sigurnosni token sadrži Group claim, SalesReps, za korisnika. Resource partner ne može da pruži odluku o autorizaciji na osnovu Account Users članstva u SalesReps grupi. Iz tog razloga, administrator koristi Incoming (dolazeću) Group Claim Mapping da bi mapirao SalesReps Group Claim u Account Federation servisu sa Organization Group Claim-om unutar Resource Federation servisa. Organization Group Claim se naziva Purchasers. Resource partner nudi pristup Local Security grupi koja je mapirana preko Purchasers Claim-a.

Šta je Outgoing Claim Mapping?

U Account Federation servisu, administrator mora da mapira Organization Claim, kao što je Group ili Custom Claim, sa Outgoing Claim-om. Resources Federation Service prima Outgoing Claim kada korisnik koji se nalazi u Account organizaciji zahteva prustup resursu.

Resource Federation Server prima Outgoing Claim kao Incoming Claim. Ovaj Incoming Claim je konfigurisan da mapira Local Organizational Claim. Resource Federation Servis koristi Local Organizational Claim da bi pružio autorizacione odluke.

Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

  • Implementacija AD FS Claims-a 1
  • Implementacija AD FS Claims-a 2
  • Implementacija AD FS Claims-a 3