Freigeben über


Rolle von Anspruchsregeln

Die allgemeine Funktion des Verbunddiensts in Active Directory-Verbunddiensten (AD FS) besteht darin, ein Token auszustellen, das eine Reihe von Ansprüchen enthält. Die Entscheidung, welche Ansprüche von AD FS akzeptiert und anschließend ausgegeben werden, unterliegt Anspruchsregeln.

Was sind Anspruchsregeln?

Eine Anspruchsregel stellt eine Instanz der Geschäftslogik dar, die auf einen oder mehrere eingehende Ansprüche Bedingungen anwendet (wenn x, dann y) und auf der Grundlage der Bedingungsparameter einen oder mehrere ausgehende Ansprüche erzeugt. Weitere Informationen über ein- und ausgehende Ansprüche finden Sie unter Die Rolle von Ansprüchen.

Anspruchsregeln werden verwendet, um Geschäftslogik zu implementieren, die den Anspruchsverlauf in der Anspruchspipeline steuert. Während es sich bei der Anspruchspipeline um ein eher logisches Konzept des End-to-End-Prozesses für den Anspruchsverlauf handelt, sind Anspruchsregeln ein tatsächliches administratives Element, mit dem Sie den Anspruchsverlauf im Anspruchsausstellungsprozess anpassen können.

Weitere Informationen über die Anspruchspipeline finden Sie unter Die Rolle der Anspruchs-Engine.

Anspruchsregeln bieten folgende Vorteile:

  • Bereitstellen eines Mechanismus, mit dem Administratoren Laufzeitgeschäftslogik auf vertrauende Ansprüche von Anspruchsanbietern anwenden können

  • Bereitstellen eines Mechanismus, mit dem Administratoren definieren können, welche Ansprüche für vertrauende Seiten ausgegeben werden

  • Bereitstellen von aussagekräftigen und detaillierten anspruchsbasierten Autorisierungsfunktionen für Administratoren, die den Zugriff für bestimmte Benutzer zulassen oder verweigern möchten

Verarbeiten von Anspruchsregeln

Anspruchsregeln werden mithilfe der Anspruchs-Engine über die Anspruchspipline verarbeitet. Die Anspruchs-Engine ist eine logische Komponente des Verbunddiensts, die den Satz der von einem Benutzer gesendeten eingehenden Ansprüche untersucht und anschließend in Abhängigkeit von der Logik in jeder Regel einen Ausgabeanspruchssatz erzeugt.

Die Anspruchsregel-Engine und der Anspruchsregelsatz bestimmen in Verbindung mit einer angegebenen Verbundvertrauensstellung, ob eingehende Ansprüche unverändert weitergereicht, anhand der Kriterien einer bestimmten Bedingung gefiltert oder in einen vollständig neuen Satz von Ansprüchen transformiert werden, bevor sie durch den Verbunddienst als ausgehende Ansprüche ausgegeben werden.

Weitere Informationen zu diesem Prozess finden Sie unter Die Rolle der Anspruchs-Engine.

Was sind Anspruchsregelvorlagen?

AD FS enthält einen vordefinierten Satz von Anspruchsregelvorlagen, mit denen Sie auf einfache Weise die für die spezifischen Anforderungen Ihres Unternehmens am besten geeigneten Anspruchsregeln auswählen und erstellen können. Anspruchsregelvorlagen werden nur beim Erstellungsprozess für die Anspruchsregel verwendet.

Im AD FS-Verwaltungs-Snap-In können Regeln ausschließlich mit Anspruchsregelvorlagen erstellt werden. Nachdem Sie mit dem Snap-In eine Anspruchsregelvorlage ausgewählt haben, geben Sie die erforderlichen Daten für die Regellogik ein, und speichern Sie sie in der Konfigurationsdatenbank. Die Benutzeroberfläche bezieht sich (ab diesem Zeitpunkt) als „Anspruchsregel“ darauf.

Funktionsweise von Anspruchsregelvorlagen

Auf den ersten Blick erscheinen Anspruchsregelvorlagen nur als durch das Snap-In bereitgestellte Eingabeformulare, die zum Erfassen von Daten und prozessspezifischer Logik für eingehende Ansprüche dienen. Bei genauerer Betrachtung speichern Anspruchsregelvorlagen jedoch das erforderliche Framework für die Anspruchsregelsprache, das die Basislogik bereitstellt, die Ihnen das schnelle Erstellen einer Regel ohne tiefgehende Kenntnis der Sprache ermöglicht.

Jede Vorlage, die auf der Benutzeroberfläche bereitgestellt wird, stellt eine vordefinierte Syntax der Anspruchsregelsprache dar, die auf den am häufigsten erforderlichen administrativen Aufgaben basiert. Es gibt jedoch eine Vorlage, die eine Ausnahme bildet. Diese Vorlage wird als benutzerdefinierte Regelvorlage bezeichnet. Sie enthält keine vordefinierte Syntax. Stattdessen müssen Sie die Syntax für die Anspruchsregel mithilfe der Anspruchsregelsprache direkt im Textkörper des Anspruchsregel-Vorlagenformulars erstellen.

Weitere Informationen zur Verwendung der Syntax der Anspruchsregelsprache finden Sie unter Die Rolle der Anspruchsregelsprache im Leitfaden zur AD FS-Bereitstellung.

Tipp

Sie können die einer Regel zugeordnete Anspruchsregelsprache jederzeit anzeigen, indem Sie in den Eigenschaften einer Anspruchsregel auf die Schaltfläche Regelsprache anzeigen klicken.

Erstellen einer Anspruchsregel

Anspruchsregeln werden separat für jede Verbund-Vertrauensstellungsbeziehung innerhalb des Verbunddiensts erstellt und werden nicht von mehreren Vertrauensstellungen gemeinsam verwendet. Sie können entweder eine Regel auf Basis einer Anspruchsregelvorlage erstellen, eine Regel mithilfe der Anspruchsregelsprache von Grund auf neu erstellen oder eine Regel mithilfe von Windows PowerShell anpassen.

Diese unterschiedlichen Optionen bieten Ihnen die Flexibilität, die geeignete Methode für ein bestimmtes Szenario auszuwählen. Weitere Informationen zum Erstellen einer Anspruchsregel finden Sie unter Konfigurieren von Anspruchsregeln im Leitfaden zur AD FS-Bereitstellung.

Verwenden von Anspruchsregelvorlagen

Anspruchsregelvorlagen werden nur beim Erstellungsprozess für die Anspruchsregel verwendet. Mit den folgenden Vorlagen können Sie eine Anspruchsregel erstellen:

  • Eingehenden Anspruch weiterleiten oder filtern

  • Transformieren eines eingehenden Anspruchs

  • LDAP-Attribute als Ansprüche senden

  • Gruppenmitgliedschaft als Anspruch senden

  • Senden von Ansprüchen mit benutzerdefinierter Regel

  • Benutzer auf der Grundlage eines eingehenden Anspruchs zulassen oder verweigern

  • Alle Benutzer zulassen

Weitere Informationen zur Beschreibung der einzelnen Anspruchsregelvorlagen finden Sie unter Ermitteln des Typs der zu verwendenden Anspruchsregelvorlage.

Verwenden der Anspruchsregelsprache

Für Geschäftsregeln, die über den Rahmen einer Standard-Anspruchsregelvorlage hinausgehen, können Sie eine benutzerdefinierte Regelvorlage verwenden, um mithilfe der Anspruchsregelsprache eine Reihe komplexer Logikbedingungen auszudrücken. Weitere Informationen zum Verwenden einer benutzerdefinierten Regel finden Sie unter Wann sollte eine benutzerdefinierte Anspruchsregel verwendet werden?.

Verwenden von Windows PowerShell

Sie können auch das Cmdlet-Objekt ADFSClaimRuleSet mit Windows PowerShell verwenden, um Regeln in AD FS zu erstellen oder zu verwalten. Weitere Informationen zur Verwendung von Windows PowerShell mit diesem Cmdlet finden Sie unter AD FS Administration with Windows PowerShell.

Was ist ein Anspruchsregelsatz?

Wie in der folgenden Abbildung dargestellt, ist ein Anspruchsregelsatz eine Gruppierung von einer oder mehreren Regeln für eine angegebene Verbundvertrauensstellung, die definiert, wie Ansprüche durch die Anspruchsregel-Engine verarbeitet werden. Bei Empfang eines eingehenden Anspruchs durch den Verbunddienst wendet die Anspruchsregel-Engine die Logik an, die durch den entsprechenden Anspruchsregelsatz angegeben wird. Das Endergebnis der Logik aller Regeln im Satz bestimmt, wie die Ansprüche für eine bestimmte Vertrauensstellung in ihrer Gesamtheit ausgegeben werden.

AD FS roles

Anspruchsregeln werden von der Anspruchs-Engine innerhalb eines bestimmten Regelsatzes chronologisch verarbeitet. Diese Reihenfolge ist wichtig, da die Ausgabe einer Regel als Eingabe für die nächste Regel im Satz verwendet werden kann.

Was sind Anspruchsregelsatz-Typen?

Ein Anspruchsregelsatz-Typ ist ein logisches Segment einer Verbundvertrauensstellung, die kategorisch angibt, ob der der Vertrauensstellung zugeordnete Anspruchsregelsatz für die Ausstellung, Autorisierung oder Akzeptanz von Ansprüchen verwendet wird. Jeder Verbundvertrauensstellung können in Abhängigkeit vom Typ der verwendeten Vertrauensstellung ein oder mehrere Anspruchsregelsatz-Typen zugeordnet werden.

Die folgende Tabelle beschreibt die verschiedenen Anspruchsregelsatz-Typen und erläutert deren Beziehung zu entweder einer Anspruchsanbieter-Vertrauensstellung oder einer Vertrauensstellung der vertrauenden Seite.

Anspruchsregelsatz-Typ BESCHREIBUNG Verwendung
Akzeptanztransformations-Regelsatz Ein Anspruchsregelsatz, den Sie für eine bestimmte Anspruchsanbieter-Vertrauensstellung verwenden, um die eingehenden Ansprüche, die von der Organisation des Anspruchsanbieters akzeptiert werden, sowie die ausgehenden Ansprüche anzugeben, die an die Vertrauensstellung der vertrauenden Seite gesendet werden.

Die eingehenden Ansprüche, die als Quelle für diesen Regelsatz verwendet werden, sind die Ansprüche, die von dem in der Anspruchsanbieterorganisation angegebenen Ausstellungstransformations-Regelsatz ausgegeben werden.

Standardmäßig enthält der Vertrauensstellungsknoten des Anspruchsanbieters eine Anspruchsanbieter-Vertrauensstellung mit dem Namen Active Directory, die verwendet wird, um den Quellattributspeicher für den Akzeptanztransformations-Regelsatz darzustellen. Mit diesem Vertrauensstellungsobjekt wird die Verbindung von Ihrem Verbunddienst zu einer Active Directory-Datenbank in Ihrem Netzwerk dargestellt. Diese Standardvertrauensstellung verarbeitet Ansprüche für Benutzer, die von Active Directory authentifiziert wurden, und kann nicht gelöscht werden.

Anspruchsanbieter-Vertrauensstellungen
Ausstellungstransformations-Regelsatz Ein Anspruchsregelsatz, den Sie für eine Vertrauensstellung der vertrauenden Seite verwenden, um die Ansprüche anzugeben, die für die vertrauende Seite ausgegeben werden.

Die eingehenden Ansprüche, die als Quelle für diesen Regelsatz verwendet werden, sind zunächst die Ansprüche, die von den Ausstellungstransformationsregeln ausgegeben werden.

Vertrauensstellungen der vertrauenden Seite
Ausstellungsautorisierungs-Regelsatz Ein Anspruchsregelsatz, den Sie für eine Vertrauensstellung der vertrauenden Seite verwenden, um die Benutzer anzugeben, die zum Empfang eines Tokens für die vertrauende Seite berechtigt sind.

Diese Regeln bestimmen, ob ein Benutzer Ansprüche für eine vertrauende Seite empfangen und damit auf die vertrauende Seite zugreifen kann.

Wenn Sie keine Ausstellungsautorisierungsregel angeben, wird der Zugriff allen Benutzern standardmäßig verweigert.

Vertrauensstellungen der vertrauenden Seite
Delegationsautorisierungs-Regelsatz Ein Anspruchsregelsatz, den Sie für eine Vertrauensstellung der vertrauenden Seite verwenden, um die Benutzer anzugeben, die als Stellvertreter für andere Benutzer der vertrauenden Seite agieren dürfen.

Diese Regeln bestimmen, ob die anfordernde Person zur Annahme der Identität eines Benutzers berechtigt ist, wobei die anfordernde Person im an die vertrauende Seite gesendeten Token trotzdem identifiziert wird.

Wenn Sie keine Delegierungsautorisierungsregel angeben, können Benutzer standardmäßig nicht als Stellvertreter agieren.

Vertrauensstellungen der vertrauenden Seite
Autorisierungsregelsatz für den Identitätswechsel Ein Anspruchsregelsatz, den Sie mit Windows PowerShell konfigurieren, um zu bestimmen, ob ein Benutzer vollständig die Identität eines anderen Benutzers der vertrauenden Seite annehmen kann.

Diese Regeln bestimmen, ob die anfordernde Person zur Annahme der Identität eines Benutzers berechtigt ist, ohne dass die anfordernde Person im an die vertrauende Seite gesendeten Token identifiziert wird.

Die Annahme der Identität eines anderen Benutzers in dieser Weise ist eine sehr leistungsstarke Funktion, da die vertrauende Seite nicht weiß, dass ein anderer die Identität des Benutzers angenommen hat.

Vertrauensstellung der vertrauenden Seite

Weitere Informationen zur Auswahl der in Ihrem Unternehmen zu verwendenden Anspruchsregeln finden Sie unter Ermitteln des Typs der zu verwendenden Anspruchsregelvorlage.