Quando usare una regola di invio dell'appartenenza a un gruppo come attestazione
È possibile usare questa regola in Active Directory Federation Services (AD FS) quando si vuole emettere un nuovo valore attestazione in uscita solo per gli utenti che sono membri di un gruppo di sicurezza di Active Directory specificato. Quando si usa questa regola, si emette una singola attestazione solo per il gruppo specificato e che corrisponde alla logica della regola, come descritto nella tabella seguente.
Opzione della regola | Logica della regola |
---|---|
Valore attestazione in uscita | Se l'appartenenza al gruppo di un utente corrisponde al gruppo specificato e il tipo di attestazione in uscita corrisponde al tipo di attestazione specificato, allora sostituire il valore del nome del gruppo esistente con il valore attestazione in uscita specificato ed emettere l'attestazione. |
Le sezioni seguenti forniscono un'introduzione di base alle regole attestazione, Forniscono anche informazioni dettagliate su quando usare una regola di invio dell'appartenenza a un gruppo come attestazione.
Informazioni sulle regole attestazioni
Una regola attestazioni rappresenta un'istanza della logica di business che accetta un'attestazione in ingresso, applica una condizione (se x quindi y) e genera un'attestazione in uscita in base ai parametri della condizione. L'elenco seguente fornisce suggerimenti importanti sulle regole attestazioni da tenere presenti prima di procedere con la lettura di questo argomento:
Nello snap-in di gestione di AD FS, le regole attestazioni possono essere create solo utilizzando modelli di regola attestazioni
Le regole attestazioni elaborano le attestazioni in ingresso direttamente da un provider di attestazioni (ad esempio Active Directory o un altro servizio federativo) oppure dall'output delle regole di trasformazione accettazione in un trust del provider di attestazioni.
Le regole attestazioni sono elaborate dal motore di rilascio delle attestazioni in ordine cronologico entro un determinato set di regole. Impostando la precedenza sulle regole, è possibile perfezionare o filtrare ulteriormente le attestazioni generate dalle regole precedenti all'interno di un set di regole specificato.
Per i modelli di regola attestazioni è sempre necessario specificare un tipo di attestazione in ingresso. Tuttavia, è possibile elaborare più valori di attestazione con lo stesso tipo di attestazione usando una singola regola.
Per ulteriori informazioni sulle regole attestazione e i set di regole attestazione, vedere ruolo delle attestazioni regole. Per ulteriori informazioni sulle modalità di elaborazione delle regole, vedere il ruolo del motore di attestazioni. Per ulteriori informazioni, modalità di elaborazione dei set di regole attestazione, vedere ruolo delle Pipeline delle attestazioni.
Valore attestazione in uscita
Usando il modello di regola di invio dell'appartenenza a un gruppo come attestazione, è possibile emettere un'attestazione che dipende dal fatto che un utente sia membro di un gruppo specificato.
In altre parole, questo modello di regola emette un'attestazione solo se l'utente ha l'identificatore di sicurezza del gruppo (SID) che corrisponde al gruppo di Active Directory specificato dall'amministratore. Tutti gli utenti autenticati in Servizi di dominio Active Directory avranno attestazioni SID di gruppo per ogni gruppo a cui appartengono. Per impostazione predefinita, le regole di trasformazione accettazione nel trust del provider di attestazioni Active Directory attraversano queste attestazioni SID di gruppo. L'uso di questi SID di gruppo come base per l'emissione delle attestazioni è molto più veloce rispetto alla ricerca dei gruppi dell'utente in Active Directory Domain Services.
Quando si usa questa regola, viene inviata solo una singola attestazione, in base al gruppo di Active Directory selezionato. Ad esempio, è possibile usare questo modello di regola per creare una regola che invierà un'attestazione di gruppo con un valore "Admin" se l'utente è membro del gruppo di sicurezza Domain Admins.
Configurazione della regola in un trust del provider di attestazioni
Gli amministratori devono usare questo tipo di regola nelle regole di trasformazione accettazione di un trust del provider di attestazioni solo quando vengono ricevuti SID di gruppo dal provider di attestazioni, scenario molto insolito per tutti i provider di attestazioni ad eccezione di Active Directory o Servizi di dominio Active Directory.
Come creare la regola
È possibile creare questa regola usando il linguaggio delle regole attestazione oppure il modello di regola di invio dell'appartenenza a un gruppo LDAP come attestazione nello snap-in di gestione di AD FS. Questo modello di regola offre le opzioni di configurazione seguenti:
Specificare un nome regola attestazione
Selezionare un gruppo di un utente tramite il selettore oggetti
Selezionare un tipo di attestazione in uscita
Selezionare un formato per l'ID del nome in uscita (disponibile solo quando viene scelto ID nome nel campo relativo al tipo di attestazione in uscita)
Specificare un valore attestazione in uscita
Per altre informazioni su come creare questa regola, vedere Creare una regola di invio dell'appartenenza a un gruppo come regola attestazioni.
Uso del linguaggio delle regole attestazioni
Se si vogliono emettere attestazioni basate su un SID in ingresso diverso da un SID di gruppo, usare il modello di regola di trasformazione di un'attestazione in ingresso. Se l'amministratore vuole recuperare i nomi per tutti i gruppi di cui l'utente è membro, usare invece il modello di regola di invio di attributi LDAP come attestazioni con l'attributo tokenGroups.
Esempio: Come emettere attestazioni di gruppo basate sull'appartenenza dell'utente a un gruppo
La regola seguente emette attestazioni di gruppo per un utente in base a un SID di gruppo in ingresso:
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == "S-1-5-21-397933417-626991126-188441444-512", Issuer == "AD AUTHORITY"]
=> issue(Type = "http://schemas.xmlsoap.org/claims/Group", Value = "administrators", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, ValueType = c.ValueType);
Altri riferimenti
Creare una regola per inviare attributi LDAP come attestazioni