Bepalen welk type claimregelsjabloon moet worden gebruikt
Een belangrijk onderdeel van het ontwerpen van een Ad FS-infrastructuur (Active Directory Federation Services) is het bepalen van de volledige set claimregels ( en welke bijbehorende claimregelsjablonen u moet gebruiken om ze te maken ) voor elke partner die deelneemt aan federatie met uw organisatie. U maakt regels met behulp van claimregelsjablonen in de AD FS-beheermodule.
Elke set claimregels die u configureert, kan slechts worden gekoppeld aan één federatieve vertrouwensrelatie. Dit betekent dat u geen set regels voor één vertrouwensrelatie kunt maken en deze kunt gebruiken voor andere vertrouwensrelaties in uw Federation Service. In plaats daarvan kunt u eenvoudig regels maken op basis van claimregelsjablonen om sneller een gewenste set claims te produceren die zijn overeengekomen tussen elke federatieve partner en uw organisatie.
Zie De rol van claimregels voor meer informatie over regels en regelsjablonen.
Voordat u begint met het bepalen van de typen claimregelsjablonen die u moet gebruiken, moet u rekening houden met de volgende vragen:
Welke claims worden geleverd door uw vertrouwde claimproviders?
Welke claims vertrouwt u van elke claimprovider?
Welke claims zijn vereist door de relying party's die deze Federation Service vertrouwen?
Welke claims wilt u doorgeven aan elke vertrouwenspartij?
Welke gebruikers moeten toegang hebben tot elke vertrouwende partij?
Als u deze vragen beantwoordt, kunt u een solide claimregelontwerp plannen. Het helpt u ook bij het maken van een soepele autorisatie- en toegangsbeheerstrategie en maakt uw implementatieteam efficiënter tijdens de implementatie.
In deze volgende sectie vindt u meer informatie over het type regelsjablonen dat u kunt selecteren voor uw omgeving op basis van uw bedrijfsbehoeften.
Typen claimregelsjablonen
In de volgende tabel worden alle typen claimregelsjablonen beschreven die u kunt gebruiken om regels te maken met behulp van de AD FS Management-snap-in en de voordelen van het ene sjabloontype ten opzichte van het andere.
| Regelsjabloontype | Beschrijving | Voordelen | Nadelen |
|---|---|---|---|
| Een binnenkomende claim doorgeven of filteren | Wordt gebruikt om een regel te maken waarmee alle claimwaarden voor een geselecteerd claimtype worden doorgegeven of claims worden gefilterd op basis van de claimwaarden, zodat alleen bepaalde claimwaarden voor een geselecteerd claimtype worden doorgegeven. Zie Wanneer u een pass through- of filterclaimregel gebruikt voor meer informatie. |
- Kan worden gebruikt om bepaalde claims te selecteren die moeten worden geaccepteerd of ongewijzigd worden uitgegeven | - Claimtype en waarde kunnen niet worden gewijzigd |
| Een binnenkomende claim transformeren | Wordt gebruikt om een regel te maken waarmee een binnenkomende claim kan worden geselecteerd en toegewezen aan een ander claimtype of de claimwaarde kan worden toegewezen aan een nieuwe claimwaarde. Zie Wanneer een claimregel voor transformatie gebruiken voor meer informatie. |
- Kan worden gebruikt om claimtypen of -waarden te normaliseren - Kan een e-mailachtervoegsel van een binnenkomende claim vervangen |
- Complexere tekenreeksvervangingen vereisen een aangepaste regel |
| LDAP-kenmerken als claims verzenden | Wordt gebruikt om een regel te maken waarmee kenmerken worden geselecteerd in een LDAP-kenmerkarchief om te verzenden als claims naar de relying party. Zie voor meer informatie Wanneer u een LDAP-kenmerk als claimregel moet verzenden. |
- Kan claims uit elke AD DS/AD LDS-kenmerkattribuutopslag halen - Meerdere claims kunnen worden uitgegeven met één regel |
- Prestaties: traag als gevolg van het opzoeken van accounts - Kan geen aangepast LDAP-filter gebruiken voor het uitvoeren van query's |
| Stuur het groepslidmaatschap als een claim | Wordt gebruikt om een regel te maken waarmee een opgegeven claimtype en -waarde kunnen worden verzonden wanneer een gebruiker lid is van een Active Directory-beveiligingsgroep. Er wordt slechts één claim verzonden met behulp van deze regel, op basis van de groep die u selecteert. Voor meer informatie, zie Wanneer u een groepslidmaatschap als claimregel gebruikt. |
- Snelle prestaties voor het uitgeven van groepsclaims - geen accountzoekactie | - Gebruiker moet lid zijn van een lokale Active Directory-groep |
| Claims verzenden met behulp van een aangepaste regel | Wordt gebruikt om een aangepaste regel te maken die geavanceerdere opties biedt dan een standaardregelsjabloon. U schrijft aangepaste regels met de AD FS-claimregeltaal. Zie Wanneer u een aangepaste claimregel gebruiktvoor meer informatie. |
- Kan worden gebruikt om claims uit een SQL-kenmerkopslag te halen - Kan worden gebruikt om een aangepast LDAP-filter op te geven - Kan worden gebruikt om een PPID uit te geven - Kan worden gebruikt met een aangepast kenmerkarchief - Kan worden gebruikt om alleen claims toe te voegen aan de invoerclaimset - Kan worden gebruikt om claims te verzenden op basis van meer dan één binnenkomende claim |
- Moeilijker te configureren - Er kan enige tijd nodig zijn om in eerste instantie kennis te krijgen van de claimregeltaal |
| Gebruikers toestaan of weigeren op basis van een binnenkomende claim | Wordt gebruikt om een regel te maken waarmee gebruikers toegang tot de relying party toestaan of weigeren, op basis van het type en de waarde van een binnenkomende claim. Zie Wanneer een autorisatieclaimregel gebruiken voor meer informatie. |
- Vereenvoudigt het autorisatieproces | - Vereist dat slechts één claimtype en één claimwaarde worden opgegeven - Biedt geen ondersteuning voor patroonkoppeling voor claimwaarden |
| Alle gebruikers toestaan | Wordt gebruikt om een regel te maken waarmee alle gebruikers toestemming krijgen om toegang te krijgen tot de relying party. Zie Wanneer een autorisatieclaimregel gebruiken voor meer informatie. |
- Eenvoudig te configureren | - Minder veilig dan het gebruik van de sjabloon 'Toestaan of Weigeren van Gebruikers op Basis van een Binnenkomende Claim' |