Заявки — это относящиеся к пользователям и понятные обоим партнерам в службе федерации Active Directory (ADFS) утверждения (например, имя, подлинность, ключ, группа, привилегия или возможность), которые используются в целях получения разрешений в приложении.

Брокеры Служба федерации устанавливают доверительные отношения между многими разрозненными объектами. Это обеспечивает механизм доверенного обмена произвольными заявками, содержащими произвольные значения. Эти заявки используются принимающей стороной для принятия решения о разрешении авторизации.

Существует три способа прохождения заявок через службу федерации:

от хранилища учетных записей к службе федерации учетной записи и партнеру по ресурсам;
от партнера по учетным записям к службе федерации ресурса и ресурсу приложения;
от хранилища учетных записей к службе федерации ресурса и ресурсу приложения.

Служба федерации может быть конфигурирована для работы по всем этим трем ролям. Таким образом, одна служба федерации может обеспечить все три потока связи.

Службой федерации поддерживаются три типа заявок: идентификационные заявки, заявки о группе и настраиваемые заявки. В приведенной ниже таблице эти типы заявок описаны более подробно.

Тип заявки	Описание
Удостоверение	UPN, электронная почта и общее имя в ADFS определяют тип идентификационной заявки. UPN (User Principal Name) определяет основное имя пользователя в стиле Kerberos, например: user@realm. Тип UPN может иметь только одна заявка. Даже если требуется обратиться к нескольким значениям UPN, тип UPN может иметь только одно из них. Дополнительные UPN-имена могут быть сконфигурированы как типы настраиваемой заявки. Электронная почта — указывает имя электронной почты с применением стиля RFC 2822 в виде «пользователь@домен». Тип электронной почты может иметь только одна заявка. Даже если требуется обратиться к нескольким значениям электронной почты, тип электронной почты может иметь только одно из них. Дополнительные адреса электронной почты могут быть сконфигурированы как типы настраиваемой заявки. Общее имя — произвольная строка, которая используется для персонализации. Примеры: «Иван Петров» или «Служащий компании Tailspin Toys». Тип «Общее имя» может иметь только одна заявка. Важно помнить, что механизма, гарантирующего уникальность общего имени заявки, не существует. Поэтому при использовании этого типа заявки для принятия решения об авторизации следует проявлять осмотрительность.
Группа	Указывает членство в группе или роли. Администраторы определяют индивидуальные заявки, которые имеют групповой тип «Заявки о группе». Например, можно определить следующий набор заявок о группе: [разработчик, испытатель, руководитель программы]. Каждая заявка о группе — это отдельная единица администрирования для заполнения и сопоставления заявки. Значение заявки о группе можно рассматривать как логическое значение, определяющее членство.
Настраиваемая	Заявка содержит настраиваемую информацию о пользователе, например, код сотрудника.

Тип заявки

Описание

Удостоверение

UPN, электронная почта и общее имя в ADFS определяют тип идентификационной заявки.

UPN (User Principal Name) определяет основное имя пользователя в стиле Kerberos, например: user@realm. Тип UPN может иметь только одна заявка. Даже если требуется обратиться к нескольким значениям UPN, тип UPN может иметь только одно из них. Дополнительные UPN-имена могут быть сконфигурированы как типы настраиваемой заявки.
Электронная почта — указывает имя электронной почты с применением стиля RFC 2822 в виде «пользователь@домен». Тип электронной почты может иметь только одна заявка. Даже если требуется обратиться к нескольким значениям электронной почты, тип электронной почты может иметь только одно из них. Дополнительные адреса электронной почты могут быть сконфигурированы как типы настраиваемой заявки.
Общее имя — произвольная строка, которая используется для персонализации. Примеры: «Иван Петров» или «Служащий компании Tailspin Toys». Тип «Общее имя» может иметь только одна заявка. Важно помнить, что механизма, гарантирующего уникальность общего имени заявки, не существует. Поэтому при использовании этого типа заявки для принятия решения об авторизации следует проявлять осмотрительность.

Группа

Указывает членство в группе или роли. Администраторы определяют индивидуальные заявки, которые имеют групповой тип «Заявки о группе». Например, можно определить следующий набор заявок о группе: [разработчик, испытатель, руководитель программы]. Каждая заявка о группе — это отдельная единица администрирования для заполнения и сопоставления заявки. Значение заявки о группе можно рассматривать как логическое значение, определяющее членство.

Настраиваемая

Заявка содержит настраиваемую информацию о пользователе, например, код сотрудника.

Если в маркере имеется более одного из трех типов идентификационных заявок, заявки располагаются по приоритетам в следующем порядке:

UPN
Электронная почта
Общее имя

В выданном маркере должен присутствовать по крайней мере один из этих типов идентификационной заявки.

Аудит заявок

Некоторые заявки о группе и настраиваемые заявки могут создаваться с возможностью аудита. Когда аудит включен, имя заявки может записываться в журнале системных событий безопасности, но значение заявки при этом опускается. Пример заявки с возможностью аудита — код социального страхования. Имя заявки «Код социального страхования» записывается, но фактическое значение кода, которое хранится в данной заявке, не показывается. При создании и сопоставлении заявки ее значение аудитом не затрагивается.

	Примечание
	Идентификационные типы заявок всегда подвергаются аудиту.

Создатели и потребители заявок

Способ использования заявки зависит как от создателя заявки, так и от ее потребителя. Заявки могут быть входящими или исходящими. ADFS поддерживает следующих создателей и потребителей заявок:

хранилища учетных записей Active Directory;
хранилища учетных записей ADAM;
партнеры по учетным записям;
партнеры по ресурсам;
приложения, использующие заявки;
приложения, использующие маркеры Windows NT.

Хранилище учетных записей Active Directory

Хранилище учетных записей Active Directory — создатель заявки, который предоставляет данные для проверки подлинности службе федерации. А именно: служба федерации может разрешить вход пользователей из ее домена; из доменов, которым непосредственно доверяет ее домен; из доменов, находящихся в одном лесе с ее доменом, и из доменов, находящихся в лесах, для которых установлено доверие с лесом домена.

Хранилище учетных записей Active Directory доступно, только если служба федерации присоединена к домену.

Хранилище учетных записей ADAM

Хранилище учетных записей ADAM — создатель заявки, который предоставляет данные для проверки подлинности службе федерации.

Заявка на имя UPN: при настройке хранилища учетных записей ADAM можно указать атрибут пользователя LDAP (если таковой имеется), содержащий UPN-имя пользователя.
Заявка на электронную почту: при настройке хранилища учетных записей ADAM можно указать атрибут пользователя LDAP (если таковой имеется), содержащий адрес электронной почты пользователя.
Заявка на общее имя: при конфигурировании хранилища учетных записей ADAM можно указать атрибут пользователя LDAP (если таковой имеется), содержащий общее имя пользователя.

Чтобы разрешить активацию хранилища учетных записей ADAM для службы федерации, необходимо назначить ему хотя бы один тип идентификационной заявки.

Заявки о группе: при конфигурации хранилища учетных записей ADAM можно указать атрибут пользователя LDAP, содержащий группы LDAP пользователя или любой другой атрибут, который может выполнять функции группы, например, заголовок (если, группы основаны на роли задания). Затем каждую из возможных групп LDAP можно отнести к организационным группам.
Настраиваемые заявки: при настройке хранилища учетных записей ADAM можно указать пользовательские атрибуты LDAP, содержащие значения заявок. Затем имя каждого атрибута назначается настраиваемой заявке организации.