"グループ メンバーシップを要求として送信する" 規則を使用するタイミング
この規則は、新しい送信方向の要求の値を Active Directory の特定のセキュリティ グループのメンバーであるユーザーに対してのみ発行する場合に Active Directory フェデレーションサービス (AD FS) で使用できます。 この規則を使用すると、次の表で説明するように、指定されたグループの中で、規則のロジックと一致するグループに対してのみ、1 つの要求が発行されます。
規則のオプション | 規則のロジック |
---|---|
出力方向の要求の値 | ユーザーのグループ メンバーシップが指定したグループと一致し、出力方向の要求の種類が指定した出力方向の要求と一致する場合は、既存のグループ名の値を「指定した出力方向の要求の値」に置き換えて要求を発行します。 |
以下のセクションでは、要求規則の基本的な概要を説明します。 "グループ メンバーシップの送信を要求として送信する" 規則を使用するタイミングについても詳しく説明します。
要求規則について
要求規則は、入力方向の要求を受け取り、条件 (x の場合に y を実行) を適用して、条件のパラメーターに基づいて出力方向の要求を生成するビジネス ロジックのインスタンスを表します。 次の一覧に、このトピックを読む前に理解しておく必要のある、要求規則に関する重要なヒントを示します。
AD FS 管理スナップインで要求規則を作成するには、要求規則テンプレートを使用する必要があります。
要求規則は、要求プロバイダー (Active Directory、別のフェデレーション サービスなど) から直接、または要求プロバイダー信頼の受付変換規則の出力から、入力方向の要求を処理します。
要求規則は、要求発行エンジンによって、特定の規則セット内で時系列に従って処理されます。 規則に優先順位を設定すると、特定の規則セット内の先行する規則で生成された要求をさらに調整またはフィルター処理できます。
要求規則テンプレートでは、常に入力方向の要求の種類を指定する必要があります。 ただし、1 つの規則を使用して、要求の種類が同じ複数の要求の値を処理できます。
要求規則および要求規則セットの詳細については、「要求規則の役割」をご覧ください。 規則を処理する方法の詳細については、「要求エンジンの役割」をご覧ください。 要求規則セットを処理する方法の詳細については、「要求パイプラインの役割」をご覧ください。
出力方向の要求の値
"グループ メンバーシップを要求として送信する" 規則テンプレートを使用して、ユーザーが指定されたグループのメンバーであるかどうかを条件とする要求を発行できます。
言い換えると、この規則テンプレートは、ユーザーのグループ セキュリティ ID (SID) が管理者によって指定された Active Directory グループと一致する場合のみ、要求を発行します。 Active Directory Domain Services (AD DS) に対して認証されるすべてのユーザーは、ユーザーが属している各グループの入力方向のグループ SID 要求を持っています。 既定では、Active Directory 要求プロバイダー信頼の受付変換規則は、これらの SID 要求を通過させます。 これらのグループ SID を要求発行のベースにするほうが、AD DS でユーザーのグループを調べるよりもはるかに高速です。
この規則を使用すると、選択された Active Directory グループに基づいて、要求が 1 つだけ送信されます。 たとえば、この規則テンプレートを使用して、ユーザーが Domain Admins セキュリティ グループのメンバーであれば値 "Admin" を持つグループの要求を送信する規則を作成できます。
要求プロバイダー信頼でのこの規則の構成
管理者は、この規則の種類を、グループ SID が要求プロバイダーから受信される場合のみ、要求プロバイダー信頼の受付変換規則の中で使用する必要があります。これは、Active Directory または AD DS 以外の要求プロバイダーでは非常に珍しいことです。
この規則の作成方法
この規則は、要求規則言語を使用するか、AD FS 管理スナップインで "グループ メンバーシップを要求として送信" 規則テンプレートを使用して作成できます。 この規則テンプレートには、次の構成オプションがあります。
要求規則名を指定する
オブジェクト ピッカーを使用して、ユーザーのグループを選択する
出力方向の要求の種類を選択する
出力方向の名前 ID の形式を選択する ([出力方向の要求の種類] フィールドで [名前 ID] が選択された場合のみ使用できます)
出力方向の要求の値を指定する
この規則の作成方法の詳細については、「要求としてグループ メンバーシップを送信する規則を作成する」を参照してください。
要求規則言語の使用
グループ SID 以外の入力方向の SID に基づいて要求を発行する場合は、"入力方向の要求の変換" 規則テンプレートを使用します。 ユーザーがメンバーとして属しているすべてのグループの名前を管理者が取得する場合は、"LDAP 属性を要求として送信する" 規則テンプレートと tokenGroups 属性を使用します。
例: ユーザーのグループ メンバーシップに基づいてグループ要求を発行する方法
次の規則は、入力方向のグループ SID に基づいて、ユーザーのグループ要求を発行します。
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == "S-1-5-21-397933417-626991126-188441444-512", Issuer == "AD AUTHORITY"]
=> issue(Type = "http://schemas.xmlsoap.org/claims/Group", Value = "administrators", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, ValueType = c.ValueType);