De rol van claimregels
De algehele functie van de Federation Service in Active Directory Federation Services (AD FS) is het uitgeven van een token dat een set claims bevat. De beslissing over welke claims AD FS accepteert en vervolgens uitgeeft, wordt beheerst door claimregels.
Wat zijn claimregels?
Een claimregel vertegenwoordigt een instantie van bedrijfslogica die een of meer binnenkomende claims accepteert, voorwaarden toepast (als x dan y) en een of meer uitgaande claims produceert op basis van de voorwaardeparameters. Zie De rol van claimsvoor meer informatie over binnenkomende en uitgaande claims.
U gebruikt claimregels wanneer u bedrijfslogica moet implementeren die de stroom van claims via de claimpijplijn bepaalt. Hoewel de claimpijplijn meer een logisch concept is van het end-to-end-proces voor het stromen van claims, zijn claimregels een echt beheerelement dat u kunt gebruiken om de stroom van claims aan te passen via het claimuitgifteproces.
Zie De rol van de claimenginevoor meer informatie over de claimpijplijn.
Claimregels bieden de volgende voordelen:
Een mechanisme bieden voor beheerders om runtime-bedrijfslogica toe te passen voor het vertrouwen van claims van claimproviders
Een mechanisme bieden voor beheerders om te definiëren welke claims worden vrijgegeven aan relying party's
Uitgebreide en gedetailleerde autorisatiemogelijkheden op basis van claims bieden aan beheerders die toegang tot specifieke gebruikers willen toestaan of weigeren
Hoe claimregels worden verwerkt
Claimregels worden verwerkt via de claimpijplijn met behulp van de claimengine. De claimengine is een logisch onderdeel van de Federation-service waarmee de set binnenkomende claims die door een gebruiker worden gepresenteerd, wordt onderzocht en vervolgens, afhankelijk van de logica in elke regel, een uitvoerset claims produceren.
Samen bepalen de claimregelengine en de set claimregels die zijn gekoppeld aan een bepaalde federatieve vertrouwensrelatie of binnenkomende claims moeten worden doorgegeven zoals ze zijn, gefilterd om te voldoen aan de criteria van een specifieke voorwaarde of omgezet in een volledig nieuwe set claims voordat ze worden uitgegeven als uitgaande claims door uw Federation Service.
Zie De rol van de claimenginevoor meer informatie over dit proces.
Wat zijn claimregelsjablonen?
AD FS bevat een vooraf gedefinieerde set claimregelsjablonen die zijn ontworpen om u te helpen eenvoudig de meest geschikte claimregels voor uw specifieke bedrijfsbehoefte te selecteren en te maken. Claimregelsjablonen worden alleen gebruikt tijdens het maken van claimregels.
In het AD FS-beheerprogramma kunnen regels alleen worden gemaakt met behulp van claimregelsjablonen. Nadat u de module hebt gebruikt om een claimregelsjabloon te selecteren, voert u de benodigde gegevens voor de regellogica in en slaat u deze op in de configuratiedatabase. Vanaf dat moment wordt deze in de gebruikersinterface aangeduid als claimregel.
Hoe claimregelsjablonen werken
Op het eerste gezicht lijken claimregelsjablonen alleen invoerformulieren te zijn die door de module worden geleverd om gegevens te verzamelen en specifieke logica te verwerken voor binnenkomende claims. Op een veel gedetailleerder niveau slaan claimregelsjablonen echter het benodigde claimregeltaalframework op dat de basislogica vormen die nodig zijn om snel een regel te maken zonder dat u de taal intiem hoeft te kennen.
Elke sjabloon die is opgegeven in de gebruikersinterface (UI) vertegenwoordigt een vooraf ingevulde syntaxis voor claimregels op basis van de meest vereiste beheertaken. Er is echter één regelsjabloon, dat is de uitzondering. Deze sjabloon wordt de aangepaste regelsjabloon genoemd. Met deze sjabloon wordt geen syntaxis vooraf ingevuld. In plaats daarvan moet u de syntaxis van de claimregeltaal rechtstreeks schrijven in de hoofdtekst van het formulier claimregelsjabloon met behulp van de syntaxis van de claimregeltaal.
Zie De rol van de claimregeltaal in de AD FS-implementatiehandleiding voor meer informatie over het gebruik van de syntaxis van de claimregeltaal.
Hint
U kunt de claimregeltaal die is gekoppeld aan een regel op elk gewenst moment weergeven door te klikken op de knop Regeltaal weergeven op de eigenschappen van een claimregel.
Hoe maak je een claimregel aan
Claimregels worden afzonderlijk gemaakt voor elke federatieve vertrouwensrelatie binnen de Federation-service en worden niet gedeeld tussen meerdere vertrouwensrelaties. U kunt een regel maken op basis van een claimregelsjabloon, helemaal opnieuw beginnen door de regel te ontwerpen met behulp van de claimregeltaal of Windows PowerShell gebruiken om een regel aan te passen.
Al deze opties bestaan naast elkaar om u de flexibiliteit te bieden om de juiste methode voor een bepaald scenario te kiezen. Voor meer informatie over het maken van claimregels, zie Claimregels configureren in de AD FS Deployment Guide.
Claimregelsjablonen gebruiken
Claimregelsjablonen worden alleen gebruikt tijdens het maken van claimregels. U kunt een van de volgende sjablonen gebruiken om een claimregel te maken:
Een binnenkomende claim doorgeven of filteren
Een binnenkomende claim transformeren
LDAP-kenmerken als claims verzenden
Stuur het groepslidmaatschap als een claim
Claims verzenden met behulp van een aangepaste regel
Gebruikers toestaan of weigeren op basis van een binnenkomende claim
Alle gebruikers toestaan
Zie Bepalen welk type claimregelsjabloon u wilt gebruikenvoor meer informatie over elk van deze claimregelsjablonen.
De claimregeltaal gebruiken
Voor bedrijfsregels die buiten het bereik van standaard claimregelsjablonen vallen, kunt u een aangepaste regelsjabloon gebruiken om een reeks complexe logische voorwaarden uit te drukken met behulp van de claimregeltaal. Zie Wanneer u een aangepaste claimregel gebruiktvoor meer informatie over het gebruik van een aangepaste regel.
Windows PowerShell gebruiken
U kunt ook het ADFSClaimRuleSet-cmdlet-object gebruiken met Windows PowerShell om regels in AD FS te maken of te beheren. Zie AD FS-beheer met Windows PowerShellvoor meer informatie over het gebruik van Windows PowerShell met deze cmdlet.
Wat is een claimregelset?
Zoals wordt weergegeven in de volgende afbeelding, is een claimregelset een groepering van een of meer regels voor een bepaalde federatieve vertrouwensrelatie waarmee wordt gedefinieerd hoe claims worden verwerkt door de claimregelengine. Wanneer een binnenkomende claim wordt ontvangen door de Federation Service, past de claimregelengine de logica toe die is opgegeven door de juiste claimregelset. Het is de uiteindelijke som van de logica van elke regel in de set die bepaalt hoe claims worden uitgegeven voor een bepaalde vertrouwensrelatie in zijn geheel.
Claimregels worden verwerkt door de claimengine in chronologische volgorde binnen een bepaalde regelset. Deze volgorde is belangrijk, omdat de uitvoer van één regel kan worden gebruikt als invoer voor de volgende regel in de set.
Wat zijn soorten claimregelsets?
Een claimregelsettype is een logisch segment van een federatieve vertrouwensrelatie die categorisch identificeert of de claimregelset die is gekoppeld aan de vertrouwensrelatie wordt gebruikt voor claimuitgifte, autorisatie of acceptatie. Aan elke federatieve vertrouwensrelatie kunnen een of meer typen claimregelset zijn gekoppeld, afhankelijk van het type vertrouwen dat wordt gebruikt.
In de volgende tabel worden de verschillende typen claimregelsets beschreven en wordt de relatie uitgelegd met een vertrouwensrelatie van een claimprovider of relying party-vertrouwensrelatie.
| Claimregelsettype | Beschrijving | Gebruikt op |
|---|---|---|
| Acceptatietransformatieregelset | Een set claimregels die u gebruikt voor een bepaalde vertrouwensrelatie van een claimprovider om de binnenkomende claims op te geven die worden geaccepteerd van de organisatie van de claimprovider en de uitgaande claims die naar de relying party-vertrouwensrelatie worden verzonden. De binnenkomende claims die worden gebruikt om deze regelset te bronen, zijn de claims die worden uitgevoerd door de uitgiftetransformatieregelset zoals opgegeven in de organisatie van de claimprovider. Standaard bevat het vertrouwensknooppunt van de claimprovider een claimprovidervertrouwensrelatie met de naam Active Directory- die wordt gebruikt om het bronkenmerkarchief voor de acceptatietransformatieregelset weer te geven. Dit vertrouwensobject wordt gebruikt om de verbinding van uw Federation Service met een Active Directory-database in uw netwerk weer te geven. Deze standaardvertrouwensrelatie verwerkt claims voor gebruikers die zijn geverifieerd door Active Directory en kunnen niet worden verwijderd. |
Vertrouwensrelaties van claimproviders |
| Uitgiftetransformatieregelset | Een set claimregels die u gebruikt voor een relying party-vertrouwensrelatie om de claims op te geven die worden uitgegeven aan de relying party. De binnenkomende claims die worden gebruikt om deze regelset te genereren, zijn in eerste instantie de claims die worden uitgevoerd door de transformatieregels voor acceptatie. |
Vertrouwensrelaties van relying party's |
| Regelsysteem voor uitgifteautorisatie | Een set claimregels die u gebruikt voor een relying party-vertrouwensrelatie om de gebruikers op te geven die een token mogen ontvangen voor de relying party. Deze regels bepalen of een gebruiker claims kan ontvangen voor een relying party en daarom toegang tot de relying party. Tenzij u een uitgifteautorisatieregel opgeeft, worden alle gebruikers standaard toegang geweigerd. |
Vertrouwensrelaties van vertrouwende partijen |
| Regels voor autorisatie van delegatie | Een set claimregels die u gebruikt voor een relying party-vertrouwensrelatie om de gebruikers op te geven die mogen fungeren als gemachtigden voor andere gebruikers aan de relying party. Deze regels bepalen of de aanvrager een gebruiker mag imiteren terwijl hij de aanvrager nog steeds identificeert in het token dat naar de relying party wordt verzonden. Tenzij u een autorisatieregel voor delegering opgeeft, kunnen gebruikers standaard niet als gedelegeerden fungeren. |
Vertrouwensrelaties van vertrouwende partijen |
| Regelset voor imitatie-autorisatie | Een set claimregels die u configureert met Windows PowerShell om te bepalen of een gebruiker zich volledig kan voordoen als een andere gebruiker voor de vertrouwende partij. Deze regels bepalen of de aanvrager een gebruiker mag imiteren zonder de aanvrager te identificeren in het token dat naar de relying party wordt verzonden. Het imiteren van een andere gebruiker op deze manier is een zeer krachtige mogelijkheid, omdat de relying party niet weet dat de gebruiker wordt geïmiteerd. |
Vertrouwensrelatie met afhankelijk partij |
Zie Bepalen welk type claimregelsjabloon u wilt gebruikenvoor meer informatie over het selecteren van de juiste claimregels die u in uw organisatie wilt gebruiken.