Determinare il tipo di modello di regola di attestazione da usare
Una parte importante della progettazione di un'infrastruttura di Active Directory Federation Services (AD FS) consiste nel determinare il set completo di regole di attestazione e i modelli di regola di attestazione corrispondenti da usare per crearle, per ogni partner che parteciperà alla federazione con la vostra organizzazione. Crei le regole usando i modelli di regola dichiarazioni nello snap-in di Gestione di AD FS.
Ogni set di regole di attestazione configurato può essere associato solo a un trust federato. Ciò significa che non è possibile creare un set di regole su un trust e usarle per altri trust nel servizio federativo. È invece possibile creare facilmente regole dai modelli di regola attestazione per produrre più rapidamente un set di attestazioni desiderato concordato tra ogni partner federato e l'organizzazione.
Per ulteriori informazioni sulle regole e sui modelli di regola, vedere Il Ruolo delle Regole delle Attestazioni.
Prima di iniziare a determinare i tipi di modelli di regola di dichiarazione da usare, considerate le domande seguenti:
Quali attestazioni verranno fornite dai fornitori di attestazioni fidati?
Quali attestazioni sono considerate affidabili da ciascun fornitore di attestazioni?
Quali attestazioni sono richieste dalle parti fiduciarie che considerano attendibile questo servizio federativo?
Quali attestazioni sei disposto a divulgare a ogni parte affidabile?
Quali utenti devono avere accesso a ciascuna parte fidante?
Rispondere a queste domande aiuterà a pianificare una solida progettazione delle regole di rivendicazione. Consente inoltre di creare una strategia di autorizzazione e controllo di accesso uniforme e rendere il team di distribuzione più efficiente durante l'implementazione.
In questa sezione successiva è possibile ottenere informazioni sul tipo di modelli di regola da selezionare per l'ambiente in base alle esigenze aziendali.
Tipi di modello di regola di attestazione
Nella tabella seguente vengono descritti tutti i tipi di modelli di regole di attestazione che è possibile usare per creare regole tramite lo snap-in Gestione AD FS, e i vantaggi di usare un tipo di modello rispetto a un altro.
| Tipo di modello di regola | Descrizione | Vantaggi | Svantaggi |
|---|---|---|---|
| Trasmettere o filtrare un'attestazione in ingresso | Usato per creare una regola che consenta il passaggio di tutti i valori delle attestazioni per un tipo di attestazione selezionato o per filtrare le attestazioni in base ai valori specificati, in modo da permettere il passaggio solo di determinati valori per un tipo di attestazione scelto. Per altre informazioni, vedere Quando usare una regola di attestazione passante o di filtro. |
- Può essere usato per selezionare determinate attestazioni da accettare o rilasciare senza modifiche | - Impossibile modificare il tipo di attestazione e il valore |
| Trasformare una richiesta in ingresso | Usato per creare una regola in grado di selezionare un'attestazione in ingresso ed eseguirne il mapping a un tipo di attestazione diverso o mapparne il valore di attestazione a un nuovo valore di attestazione. Per maggiori dettagli, consulta Quando usare una regola di attestazione di trasformazione. |
- Può essere usato per normalizzare i tipi di attestazione o i valori - Può sostituire un suffisso di posta elettronica di un reclamo in arrivo |
- Le sostituzioni di stringhe più complesse richiedono una regola personalizzata |
| Inviare attributi LDAP come attestazioni | Usato per creare una regola che selezionerà gli attributi da un archivio attributi LDAP da inviare come asserzioni alla parte fidata. Per altre informazioni, vedere Quando usare la regola di invio degli attributi LDAP come attestazioni. |
- Può ottenere attestazioni da qualsiasi archivio attributi di Active Directory Domain Services/AD LDS - È possibile emettere più attestazioni usando una singola regola |
- Prestazioni: rallentamento a causa della ricerca di account - Impossibile usare un filtro LDAP personalizzato per l'esecuzione di query |
| Inviare l'appartenenza a un gruppo come attestazione | Consente di creare una regola in grado di inviare un tipo di attestazione e un valore specificati quando un utente è membro di un gruppo di sicurezza di Active Directory. Verrà inviata solo una singola attestazione usando questa regola, in base al gruppo selezionato. Per ulteriori informazioni, vedere Quando utilizzare un invio di appartenenza a un gruppo come regola di dichiarazione. |
- Prestazioni rapide per l'emissione di richieste di risarcimento di gruppo - senza necessità di ricerca account | - L'utente deve essere membro di un gruppo di Active Directory locale |
| Inviare attestazioni usando una regola personalizzata | Usato per creare una regola personalizzata che fornirà opzioni più avanzate rispetto a un modello di regola standard. Scrivi regole personalizzate con il linguaggio delle regole delle attestazioni di AD FS. Per ulteriori informazioni, vedere Quando usare una regola di dichiarazione personalizzata. |
- Può essere usato per ottenere attestazioni da un archivio di attributi SQL - Può essere usato per specificare un filtro LDAP personalizzato - Può essere usato per emettere un PPID - Può essere usato con un archivio di attributi personalizzato - Può essere usato per aggiungere attestazioni solo all'insieme di attestazioni di input - Può essere usato per inviare attestazioni in base a più attestazioni in ingresso |
- Più difficile da configurare - Potrebbe essere necessario un certo tempo di adattamento per acquisire inizialmente la conoscenza del linguaggio delle regole di attestazione |
| Consentire o negare agli utenti in base a un'attestazione in ingresso | In base al tipo e al valore di una dichiarazione in ingresso, viene utilizzato per creare una regola che consentirà o negherà l'accesso degli utenti alla parte fidata. Per altre informazioni, vedere Quando usare una regola di attestazione di autorizzazione. |
- Semplifica il processo di autorizzazione | - Richiede che venga specificato un solo tipo di attestazione e un solo valore di attestazione. - Non supporta il pattern matching per i valori delle attestazioni |
| Consenti tutti gli utenti | Usato per creare una regola che permetterà a tutti gli utenti di accedere alla parte fidata. Per ulteriori informazioni, vedere Quando usare una regola di dichiarazione di autorizzazione. |
- Semplice da configurare | - Meno sicuro rispetto all'uso del modello Consenti o Nega utenti in base a un modello di attestazione in ingresso |