Uniform Resource Identifier (URI) は、一意の識別子として使用される文字の文字列です。 AD FS では、URI を使用してパートナー ネットワーク アドレスと構成オブジェクトの両方を識別します。 パートナー ネットワーク アドレスを識別するために使用される場合、URI は常に URL です。 構成オブジェクトを識別するために使用する場合、URI には URN または URL を指定できます。 URI の一般的な情報については、 RFC 2396 と RFC 3986 を参照してください。
パートナー ネットワーク アドレスとしての URI
AD FS の管理者が最も頻繁に処理するネットワーク アドレス URL を次に示します。
フェデレーション サービスの URL (WS-Federation、SAML、WS-Trust、Federation Metadata、WS-MetadataExchange、Privacy、Organization URL など)
証明書利用者信頼の URL (WS-Federation、SAML、フェデレーション メタデータなどの URL)
要求プロバイダー信頼の URL (WS-Federation、SAML、フェデレーション メタデータなどの URL)
オブジェクト識別子としての URI
次の表では、AD FS の管理者が最も頻繁に処理する識別子について説明します。
| 識別子名 | 説明 | 比較 |
|---|---|---|
| フェデレーション サービス識別子 | この識別子は、フェデレーション サービスを識別するために使用されます。 このフェデレーション サービスからの要求を使用する証明書利用者、およびこのフェデレーション サービスに要求を発行する要求プロバイダーによって使用されます。 | ユーザーがこのフェデレーション サービスのクレーム プロバイダーから要求を要求すると、フェデレーション サービス識別子を使用して要求のターゲットが識別されます。 このフェデレーション サービスは、要求プロバイダーから要求を受け取ると、そのフェデレーション サービス識別子を探して、要求のスコープが指定されていることを確認します。 証明書利用者がこのフェデレーション サービスから要求を受信すると、証明書利用者は要求の発行者がフェデレーション サービス識別子と一致することを確認します。 |
| 依存当事者識別子 | この識別子は、このフェデレーション サービスの証明書利用者を識別するために使用されます。 証明書利用者に要求を発行する際に使用されます。 | ユーザーがこのフェデレーション サービスから証明書利用者の要求を要求すると、証明書利用者識別子を使用して、要求の対象となる証明書利用者を識別します。 この比較は、プレフィックス一致を使用して行われます (下記参照)。 証明書利用者は要求を受信すると、セキュリティ トークン内の ID を調べて要求が自分宛であることを確認します。 |
| クレーム プロバイダー識別子 | この識別子は、このフェデレーション サービスのクレーム プロバイダーを識別するために使用されます。 これは、クレーム プロバイダーから要求を受信するときに使用されます。 | このフェデレーション サービスが要求プロバイダーから要求を受信すると、このフェデレーション サービスは、要求の発行者がクレーム プロバイダー識別子と一致することを確認します。 |
| 要求の種類 | この識別子は、要求の種類を定義するために使用されます。 このフェデレーション サービス、要求プロバイダー、および証明書利用者によって要求を送受信するときに使用されます。 | フェデレーション サービスがクレーム プロバイダーから要求を受信すると、対応するクレーム プロバイダー信頼に関連付けられている要求規則によって、管理者は要求の種類とプロセス要求を比較できます。 証明書利用者信頼に関連付けられている要求規則を使用すると、管理者は要求プロバイダーの信頼規則から出てくる要求の種類を比較し、発行する要求を決定することもできます。 |
証明書利用者の識別子と一致する URI プレフィックス
URI のパス構文は階層的に編成され、すべての "/" 文字またはすべての ":" 文字で区切られます。 したがって、パスは、区切り文字に基づいてパス セクションに分割できます。 プレフィックス一致の場合、各セクションは、一致規則に従う完全な一致である必要があります (これらの規則が一致の大文字と小文字を制御します)。 照合規則の詳細については、上記の RFC を参照してください。
フェデレーション サービスへの要求で証明書利用者が特定されると、AD FS はプレフィックス照合ロジックを使用して、AD FS 構成データベースに一致する証明書利用者信頼があるかどうかを判断します。
たとえば、AD FS 構成データベース (URI1) の証明書利用者識別子が受信要求 (URI2) の証明書利用者識別子のプレフィックスである場合、次の条件が満たされている必要があります。
パス セクションまたは機関の末尾の区切り記号 (スラッシュとコロン) は無視する必要があります
URI1 と URI2 のスキームと権限の部分は、大文字と小文字が区別されない完全一致である必要があります
URI1 の各パス セクションは、URI2 の対応するパス セクションと完全に一致している必要があります (選択した大文字と小文字の区別に基づく)。
URI2 には URI1 よりも多くのパス セクションが含まれる場合がありますが、URI1 には URI2 よりも多くのパス セクションを含めてはなりません
URI1 に URI2 より多くのパス セクションを含めることはできません
URI1 にフラグメントがある場合は、URI2 フラグメントと正確に一致する必要があります
注
クエリ文字列パラメーターはサポートされておらず、証明書利用者識別子では無視されます。
次の表に、その他の例を示します。
| AD FS 構成データベースの依存パーティ識別子 | 要求メッセージ内の証明書利用者識別子 | 要求識別子が構成識別子と一致しますか? | 理由 |
|---|---|---|---|
| http://contoso.com | http://contoso.com | 真実 | 完全一致 |
| http://contoso.com/ | http://contoso.com | 真実 | 末尾のスラッシュは無視されます |
| http://contoso.com | http://contoso.com/ | 真実 | 末尾のスラッシュは無視されます |
| http://contoso.com | http://contoso.com/hr | 真実 | URI1 にはパスがなく、スキームと権限を URI2 に一致させる |
| http://contoso.com/hr | http://contoso.com/hr/web | 真実 | 最初のパス セクションが一致し、URI1 に 2 番目のパス セクションがない |
| http://contoso.com/hr/ | http://contoso.com/hrw/main | 偽 | URI1 パス セクション 1 が URI2 パス セクション 1 と一致しません |
| http://contoso.com/hr | http://contoso.com | 偽 | URI1 には、URI2 よりも多くのパス セクションがあります |
| http://contoso.com/hr | http://contoso.com/hrweb | 偽 | 最初のパス セクションが一致しません |
| https://contoso.com | http://contoso.com | 偽 | スキームパーツが一致しない |
| http://sts.contoso.com | http://contoso.com | 偽 | 権限パーツが一致しない |
| http://contoso.com | http://sts.contoso.com | 偽 | 権限パーツが一致しない |