그룹 구성원을 클레임으로 보내기 규칙을 사용할 경우
지정된 Active Directory 보안 그룹의 구성원인 사용자에 대한 새로운 나가는 클레임 값만 발급하려는 경우 AD FS(Active Directory Federation Services)에서 이 규칙을 사용할 수 있습니다. 이 규칙을 사용하는 경우 다음 표에 설명된 대로 직접 지정하고 규칙 논리와 일치하는 그룹에 대한 단일 클레임만 발급합니다.
규칙 옵션 | 규칙 논리 |
---|---|
나가는 클레임 값 | 사용자의 그룹 구성원 자격이 지정된 그룹과 같고 나가는 클레임 유형이 지정된 클레임 유형과 같으면 기존 그룹 이름 값을 지정된 나가는 클레임 값으로 바꾸고 클레임을 발급합니다. |
다음 섹션에서는 클레임 규칙에 대한 기본 사항을 소개합니다. 또한 그룹 구성원을 클레임으로 보내기 규칙을 사용하는 경우에 대해 자세하게 설명합니다.
클레임 규칙 정보
클레임 규칙은 들어오는 클레임에 대해 조건(if x then y)을 적용하고 조건 매개 변수를 기반으로 나가는 클레임을 생성하는 비즈니스 논리의 인스턴스를 나타냅니다. 다음 목록은 이 항목을 더 읽기 전에 클레임 규칙에 대해 알아야 하는 중요한 팁을 간략하게 설명합니다.
AD FS 관리 스냅인에서 클레임 규칙 템플릿을 사용해야만 클레임 규칙을 만들 수 있습니다.
클레임 규칙은 클레임 공급자(예: Active Directory 또는 다른 페더레이션 서비스)에서 직접 들어오거나 클레임 공급자 트러스트에 대한 수락 변환 규칙 출력에서 들어오는 클레임을 처리합니다.
클레임 규칙은 지정된 규칙 집합 내의 시간 순서대로 클레임 발급 엔진에 의해 처리됩니다. 규칙에 우선 순위를 설정하여 지정된 규칙 집합 내의 이전 규칙에 의해 생성된 클레임을 더욱 구체화하거나 필터링할 수 있습니다.
클레임 규칙 템플릿에서는 항상 들어오는 클레임 유형을 지정해야 합니다. 그러나 단일 규칙을 사용하여 동일한 클레임 유형 내의 여러 클레임 값을 처리할 수 있습니다.
클레임 규칙 및 클레임 규칙 집합에 대 한 정보를 자세한 참조 규칙의 역할 클레임합니다. 규칙은 처리 하는 방법에 대 한 자세한 내용은 참조 클레임 엔진의 역할합니다. 자세한 내용은 클레임 규칙 집합을 처리 하는 방법을 참조 하십시오 클레임 파이프라인의 역할합니다.
나가는 클레임 값
그룹 구성원을 클레임으로 보내기 규칙 템플릿을 사용하여 사용자가 지정한 그룹의 구성원인지에 따라 클레임을 발급할 수 있습니다.
즉, 이 규칙 템플릿은 사용자에게 관리자가 지정한 Active Directory 그룹과 일치하는 그룹 SID(보안 ID)가 있는 경우에만 클레임을 발급합니다. AD DS(Active Directory 도메인 서비스)에 대해 인증되는 모든 사용자는 자신이 속한 각 그룹에 대한 들어오는 그룹 SID 클레임을 가집니다. 기본적으로 Active Directory 클레임 공급자 트러스트의 수용 변환 규칙은 이러한 그룹 SID 클레임을 통과합니다. 이러한 그룹 SID를 클레임 발급 기준으로 사용하는 것이 AD DS에서 사용자 그룹을 조회하는 것보다 훨씬 더 빠릅니다.
이 규칙을 사용하면 선택한 Active Directory 그룹에 따라 단일 클레임만 전송됩니다. 예를 들어 이 규칙 템플릿을 사용하여 사용자가 Domain Admins 보안 그룹의 구성원인 경우 값이 “Admins”인 그룹 클레임을 보내는 규칙을 만들 수 있습니다.
클레임 공급자 트러스트에서 이 규칙 구성
관리자는 그룹 SID가 Active Directory 또는 AD DS를 제외한 모든 클레임 공급자에게는 일반적이지 않은 클레임 공급자에서 수신될 때만 클레임 공급자 트러스트의 수용 변환 규칙에서 이 규칙 유형을 사용합니다.
이 규칙을 만드는 방법
AD FS 관리 스냅인에서 LDAP 그룹 구성원을 클레임으로 보내기 규칙 템플릿을 사용하거나 클레임 규칙 언어를 사용하여 이 규칙을 만듭니다. 이 규칙 템플릿은 다음과 같은 구성 옵션을 제공합니다.
클레임 규칙 이름 지정
개체 선택기를 사용하여 사용자 그룹 선택
나가는 클레임 유형 선택
나가는 이름 ID 형식 선택(이름 ID가 나가는 클레임 유형 필드에서 선택된 경우에만 사용 가능)
나가는 클레임 값 선택
이 규칙을 만드는 방법에 대한 자세한 내용은 그룹 구성원 자격을 클레임으로 보내는 규칙 만들기를 참조하세요.
클레임 규칙 언어 사용
그룹 SID가 아닌 들어오는 SID에 따라 클레임을 발급하려면 들어오는 클레임 변환 규칙 템플릿을 사용합니다. 관리자가 사용자가 구성원으로 속한 모든 그룹의 이름을 검색하려면 tokenGroups 특성 대신 LDAP 특성을 클레임으로 보내기 규칙 템플릿을 사용합니다.
예제: 사용자 그룹 구성원 자격에 따라 그룹 클레임을 발급하는 방법
다음 규칙은 들어오는 그룹 SID에 따라 사용자에 대한 그룹 클레임을 발급합니다.
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == "S-1-5-21-397933417-626991126-188441444-512", Issuer == "AD AUTHORITY"]
=> issue(Type = "http://schemas.xmlsoap.org/claims/Group", Value = "administrators", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, ValueType = c.ValueType);