使用する要求規則テンプレートの種類を決定する
Active Directory Federation Services (AD FS) インフラストラクチャ設計の重要な部分は、組織とのフェデレーションに参加する各パートナーに対する要求規則の完全なセット、およびその作成に使用する必要がある対応する要求規則テンプレートを決定することです。 規則は、AD FS 管理スナップインで要求規則テンプレートを使用して作成します。
構成する各要求規則セットと関連付けることができるフェデレーションによる信頼は 1 つだけです。 つまり、ある信頼に対して作成した規則のセットを、フェデレーション サービスの他の信頼に対して使用することはできません。 それより、要求規則テンプレートから規則を作成する方が簡単であり、各フェデレーション パートナーと組織の間で合意される、必要な要求のセットをすばやく生成できます。
規則と規則テンプレートの詳細については、「 The Role of Claim Rules」をご覧ください。
使用する要求規則テンプレートの種類の決定を始める前に、次の点を検討してください。
信頼される要求プロバイダーによってどのような要求が提供されますか
各要求プロバイダーのどのような要求を信頼しますか
このフェデレーション サービスを信頼する証明書利用者はどのような要求が必要ですか
各証明書利用者にはどのような要求を公開しますか
各証明書利用者にアクセスできる必要があるユーザーは誰ですか
これらの質問に答えることは、信頼性の高い要求規則の設計を計画するのに役立ちます。 また、円滑な承認とアクセス制御戦略の作成、および展開チームによるロールアウトの効率化にも有効です。
次のセクションでは、ビジネス ルールに基づいて選択する規則テンプレートの種類について説明します。
要求規則テンプレートの種類
次の表では、AD FS 管理スナップインを使用して要求規則を作成するために使用できるすべての種類の要求規則テンプレートと、他と比較してそのテンプレート種類を使用する利点について説明します。
| 規則テンプレートの種類 | 説明 | 長所 | 短所 |
|---|---|---|---|
| 入力方向の要求を通すか、フィルター処理する | 選択された要求種類のすべての要求値をそのまま通す規則、または要求値に基づいて要求をフィルター処理し、選択された要求種類の特定の要求値のみをそのまま通す規則を作成するために使用します。 詳細については、「 When to Use a Pass Through or Filter Claim Rule」を参照してください。 |
- 受け付ける、または変更しないで発行する特定の要求を選択するために使用できます。 | - 要求の種類および値を変更することはできません。 |
| 入力方向の要求を変換する | 入力方向の要求を選択して、異なる要求種類にマップできる規則、またはその要求値を新しい要求値にマップできる規則を作成するために使用します。 詳細については、「 When to Use a Transform Claim Rule」を参照してください。 |
- 要求の種類または値を正規化するために使用できます。 - 入力方向の要求の電子メールのサフィックスを置き換えることができます。 |
- さらに複雑な文字列の置換には、カスタム規則が必要です |
| LDAP 属性を要求として送信する | LDAP 属性ストアから属性を選択し、要求として証明書利用者に送信する規則を作成するために使用します。 詳細については、「 When to Use a Send LDAP Attributes as Claims Rule」を参照してください。 |
- AD DS/AD LDS 属性ストアから要求を送信できます - 1 つの規則を使用して複数の要求を発行できます |
- アカウント参照の結果としてパフォーマンスが劣ります - クエリにカスタム LDAP フィルターを使用できません |
| グループ メンバーシップを要求として送信する | ユーザーが Active Directory セキュリティ グループのメンバーである場合に指定された要求の種類と値を送信できる規則を作成するために使用します。 この規則を使用すると、選択したグループに基づいて、1 つの要求だけが送信されます。 詳細については、「 When to Use a Send Group Membership as a Claim Rule」を参照してください。 |
- アカウント参照がないのでグループ要求を発行するパフォーマンスが優れています | - ユーザーはローカルの Active Directory グループのメンバーである必要があります |
| カスタム規則を使用して要求を送信する | 標準的な規則テンプレートより高度なオプションを提供するカスタム規則を作成するために使用します。 カスタム規則の記述には、AD FS 要求規則言語を使います。 詳細については、「 When to Use a Custom Claim Rule」を参照してください。 |
- SQL 属性ストアから要求を送信するために使用できます - カスタム LDAP フィルターを指定するために使用できます - PPID を発行するために使用できます - カスタム属性ストアで使用できます - 入力要求セットにのみ要求を追加するために使用できます - 複数の入力方向の要求に基づいて要求を送信するために使用できます |
- 構成の困難度が増します。最初に要求規則言語を理解するために、ある程度の準備時間が必要になる場合があります |
| 入力方向の要求に基づくユーザーの許可または拒否 | 入力方向の要求の種類と値に基づいて、証明書利用者へのユーザーによるアクセスを許可または拒否する規則を作成するために使用します。 詳細については、「 When to Use an Authorization Claim Rule」を参照してください。 |
- 承認プロセスを簡略化します | - 指定できる要求の種類と値はそれぞれ 1 つだけです - 要求値のパターン一致はサポートしていません |
| すべてのユーザーを許可 | すべてのユーザーに証明書利用者へのアクセスを許可する規則を作成するために使用します。 詳細については、「 When to Use an Authorization Claim Rule」を参照してください。 |
- 構成が容易です | - 入力方向の要求に基づくユーザーの許可または拒否テンプレートよりセキュリティが低下します |