Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ogólną funkcją usługi federacyjnej w usługach Active Directory Federation Services (AD FS) jest wystawianie tokenu zawierającego zestaw oświadczeń. Decyzja dotycząca tego, które oświadczenia usługi AD FS akceptują, a następnie wydają, jest regulowana przez reguły oświadczeń.
Co to są reguły oświadczeń?
Reguła oświadczenia reprezentuje wystąpienie logiki biznesowej, które będzie przyjmować co najmniej jedno oświadczenie przychodzące, stosować do nich warunki (jeśli x to y) i utworzyć co najmniej jedno oświadczenie wychodzące na podstawie parametrów warunku. Aby uzyskać więcej informacji na temat oświadczeń przychodzących i wychodzących, zobacz Rola oświadczeń.
Reguły oświadczeń są używane, gdy trzeba zaimplementować logikę biznesową, która będzie kontrolować przepływ oświadczeń za pośrednictwem potoku oświadczeń. Chociaż potok oświadczeń jest bardziej logicznym pojęciem kompleksowego procesu przepływu oświadczeń, reguły oświadczeń są rzeczywistym elementem administracyjnym, którego można użyć do dostosowania przepływu oświadczeń za pośrednictwem procesu wystawiania oświadczeń.
Aby uzyskać więcej informacji na temat potoku roszczeń, zobacz Rola silnika roszczeń.
Reguły oświadczeń zapewniają następujące korzyści:
Zapewnienie mechanizmu dla administratorów, aby stosować logikę biznesową w czasie wykonywania w celu ufania oświadczeniom od dostawców oświadczeń
Udostępnianie administratorom mechanizmu definiowania, jakie oświadczenia są wydawane stronom uzależnionym
Udostępnianie rozbudowanych i szczegółowych funkcji autoryzacji opartych na oświadczeniach administratorom, którzy chcą zezwolić na dostęp do określonych użytkowników lub odmówić im dostępu
W jaki sposób przetwarzane są zasady dotyczące roszczeń
Reguły roszczeń są przetwarzane za pośrednictwem potoku roszczeń przy użyciu silnika roszczeń. Mechanizm roszczeń jest logicznym składnikiem usługi federacji, który analizuje zestaw przychodzących roszczeń prezentowanych przez użytkownika, a następnie, w zależności od logiki w każdej regule, generuje zestaw wyjściowych roszczeń.
Razem silnik reguł oświadczeń i zestaw reguł oświadczeń skojarzonych z danym federacyjnym zaufaniem określają, czy oświadczenia przychodzące powinny być przekazywane bez zmian, filtrowane w celu spełnienia kryteriów określonego warunku, lub przekształcone w całkowicie nowy zestaw oświadczeń przed wydaniem jako oświadczenia wychodzące przez usługę federacyjną.
Aby uzyskać więcej informacji na temat tego procesu, zobacz Rola silnika roszczeń.
Co to są szablony reguł oświadczeń?
Usługi AD FS zawierają wstępnie zdefiniowany zestaw szablonów reguł oświadczeń, które zostały zaprojektowane w celu ułatwienia wyboru i utworzenia najbardziej odpowiednich reguł oświadczeń dla konkretnej potrzeby biznesowej. Szablony reguł oświadczeń są używane tylko podczas procesu tworzenia reguły oświadczeń.
W przystawce do zarządzania usługami AD FS reguły można tworzyć tylko przy użyciu szablonów reguł oświadczeń. Po wybraniu szablonu reguły oświadczenia za pomocą przystawki wprowadź niezbędne dane logiki reguły i zapisz ją w bazie danych konfiguracji, będzie ona od tego momentu określana w interfejsie użytkownika jako reguła oświadczenia.
Jak działają szablony reguł oświadczeń
Na pierwszy rzut oka, szablony reguł oświadczeń wydają się jedynie formularzami wejściowymi dostarczanymi przez przystawkę, aby zbierać dane i przetwarzać odpowiednią logikę dotyczącą przychodzących oświadczeń. Jednak na znacznie bardziej szczegółowym poziomie szablony reguł oświadczeń przechowują niezbędną strukturę języka reguł oświadczeń, która stanowi podstawową logikę niezbędną do szybkiego tworzenia reguły bez konieczności znajomości języka ściśle.
Każdy szablon podany w interfejsie użytkownika reprezentuje wstępnie wypełnioną składnię języka reguł roszczeń, opartą na najczęściej wymaganych zadaniach administracyjnych. Istnieje jednak jeden szablon reguły, który jest wyjątkiem. Szablon ten jest nazywany szablonem reguły niestandardowej. W przypadku tego szablonu nie jest wypełniana wstępnie żadna składnia. Zamiast tego należy bezpośrednio utworzyć składnię języka reguł oświadczeń w treści formularza szablonu reguły oświadczenia przy użyciu składni języka reguł oświadczeń.
Aby uzyskać więcej informacji na temat używania składni języka reguł oświadczeń, zobacz Role of the Claim Rule Language (Rola języka reguł oświadczeń ) w przewodniku wdrażania usług AD FS.
Wskazówka
Język reguł oświadczeń skojarzony z regułą można wyświetlić w dowolnym momencie, klikając przycisk Wyświetl język reguł we właściwościach reguły oświadczenia.
Jak utworzyć regułę roszczenia
Reguły oświadczeń są tworzone oddzielnie dla każdej relacji zaufania w ramach usługi federacyjnej i nie są współdzielone z wieloma relacjami zaufania. Możesz utworzyć regułę na podstawie szablonu reguły oświadczeń, zacząć od podstaw, tworząc regułę przy użyciu języka reguł oświadczeń lub używając programu Windows PowerShell, aby dostosować regułę.
Wszystkie te opcje współistnieją, aby zapewnić elastyczność wyboru odpowiedniej metody dla danego scenariusza. Aby uzyskać więcej informacji na temat tworzenia reguły oświadczeń, zobacz Konfigurowanie reguł oświadczeń w przewodniku wdrażania usług AD FS.
Korzystanie z szablonów reguł oświadczeń
Szablony reguł oświadczeń są używane tylko podczas procesu tworzenia reguły oświadczeń. Aby utworzyć regułę roszczenia, możesz użyć dowolnego z następujących szablonów.
Przekazywanie lub filtrowanie przychodzącego zgłoszenia
Przekształć przychodzące roszczenie
Wysyłanie atrybutów LDAP jako oświadczeń
Wyślij członkostwo w grupie jako klauzulę
Wysyłanie roszczeń przy użyciu reguły niestandardowej
Zezwalanie lub odrzucanie użytkowników na podstawie oświadczenia przychodzącego
Zezwalaj wszystkim użytkownikom
Aby uzyskać więcej informacji opisujących każdy z tych szablonów reguł oświadczeń, zobacz Określanie typu szablonu reguły oświadczenia do użycia.
Korzystanie z języka reguł zgłoszeń
W przypadku reguł biznesowych, które wykraczają poza zakres standardowych szablonów reguł oświadczeń, można użyć niestandardowego szablonu reguły, aby wyrazić serię złożonych warunków logiki przy użyciu języka reguł oświadczeń. Aby uzyskać więcej informacji na temat używania reguły niestandardowej, zobacz Kiedy używać niestandardowej reguły oświadczeń.
Używanie programu Windows PowerShell
Można również użyć obiektu cmdlet ADFSClaimRuleSet z programem Windows PowerShell do tworzenia lub administrowania regułami w usługach AD FS. Aby uzyskać więcej informacji na temat używania programu Windows PowerShell z tym poleceniem cmdlet, zobacz Administrowanie AD FS za pomocą programu Windows PowerShell.
Co to jest zestaw reguł roszczeń?
Jak pokazano na poniższej ilustracji, zestaw reguł dotyczących oświadczeń to grupowanie co najmniej jednej reguły dla określonego zaufania federacyjnego, które zdefiniuje sposób przetwarzania oświadczeń przez silnik reguł dotyczących oświadczeń. Po odebraniu przychodzącego roszczenia przez usługę federacyjną, silnik reguł roszczeń stosuje logikę określoną przez odpowiedni zestaw reguł roszczeń. Jest to ostateczna suma logiki wynikającej z każdej reguły w zestawie, która określi, w jaki sposób roszczenia będą wystawiane dla danego zaufania jako całości.
Reguły oświadczeń są przetwarzane przez aparat oświadczeń w kolejności chronologicznej w ramach danego zestawu reguł. Ta kolejność jest ważna, ponieważ dane wyjściowe jednej reguły mogą być używane jako dane wejściowe do następnej reguły w zestawie.
Co to są typy zestawów reguł oświadczeń?
Typ zestawu reguł oświadczeń jest logicznym segmentem federacyjnego zaufania, który kategorycznie określa, czy zestaw reguł oświadczeń skojarzony z zaufaniem będzie używany do wystawiania oświadczeń, autoryzacji lub akceptacji. Każde zaufanie federacyjne może mieć skojarzony z nim co najmniej jeden typ zestawu reguł oświadczeń, w zależności od typu używanego zaufania.
W poniższej tabeli opisano różne typy zestawów reguł oświadczeń i objaśniono jej relację z relacją zaufania dostawcy oświadczeń lub zaufania jednostki uzależnionej.
| Typ zestawu reguł roszczeń | Opis | Używane na |
|---|---|---|
| Zestaw reguł przekształcania akceptacji | Zestaw reguł dotyczących oświadczeń używanych w ramach zaufania do określonego dostawcy oświadczeń, aby określić, które przychodzące oświadczenia będą akceptowane od organizacji dostawcy oświadczeń oraz jakie wychodzące oświadczenia będą wysyłane do zaufania strony polegającej. Oświadczenia przychodzące, które będą używane jako źródło dla tego zestawu reguł, będą oświadczeniami wynikowymi określonymi przez zestaw reguł przekształcania wystawiania w organizacji dostawcy oświadczeń. Domyślnie węzeł zaufania dostawcy oświadczeń zawiera zaufanie dostawcy oświadczeń o nazwie Active Directory, który jest używany do reprezentowania magazynu atrybutów źródłowych dla zestawu reguł przekształcania akceptacji. Ten obiekt zaufania służy do reprezentowania połączenia od usługi federacyjnej do bazy danych Active Directory w twojej sieci. To domyślne zaufanie to to, co przetwarza oświadczenia dla użytkowników, którzy zostali uwierzytelnieni przez usługę Active Directory i nie można jej usunąć. |
Dostawca usług roszczeń, któremu można zaufać |
| Zestaw reguł przekształcania wydawania | Zestaw reguł roszczeń używanych w relacji zaufania strony polegającej w celu określenia roszczeń, które zostaną wystawione dla strony polegającej. Nadchodzące roszczenia, które będą używane do stworzenia tego zestawu reguł, będą początkowo pochodzić od reguł transformacji akceptacji. |
Relacje zaufania stron polegających |
| Zestaw zasad upoważnień do wystawiania | Zestaw reguł roszczeń używanych w relacji zaufania strony zaufanej do określania użytkowników, którzy będą mogli otrzymać token dla strony zaufanej. Te reguły określają, czy użytkownik może otrzymywać oświadczenia dla zaufanej strony, a tym samym dostęp do tej zaufanej strony. Jeśli nie określisz reguły autoryzacji wystawiania, wszyscy użytkownicy będą domyślnie odmawiani dostępu. |
Zaufania jednostki uzależnionej |
| Zestaw reguł autoryzacji delegowania | Zestaw reguł oświadczeń używanych w relacji zaufania jednostki uzależnionej do określania użytkowników, którzy będą mogli działać jako delegaci dla innych użytkowników jednostki uzależnionej. Te zasady określają, czy wnioskodawca może podszywać się pod użytkownika, jednocześnie identyfikując wnioskodawcę w tokenie wysyłanym do strony polegającej. Jeśli nie określisz reguły autoryzacji delegowania, żaden użytkownik nie może domyślnie pełnić roli pełnomocników. |
Relacje zaufania stron polegających |
| Zestaw reguł autoryzacji podszywania się | Zestaw reguł dotyczących oświadczeń, skonfigurowanych przy użyciu programu Windows PowerShell, w celu określenia, czy użytkownik może w pełni podszywać się pod innego użytkownika wobec strony polegającej. Te reguły określają, czy wnioskodawca może działać jako użytkownik bez podawania danych wnioskodawcy w tokenie wysyłanym do strony zależnej. Personifikacja innego użytkownika w ten sposób jest bardzo zaawansowaną możliwością, ponieważ jednostka uzależniona nie będzie wiedziała, że użytkownik jest personifikowany. |
Zaufanie jednostki uzależnionej |
Aby uzyskać więcej informacji na temat wybierania odpowiednich reguł oświadczeń do użycia w organizacji, zobacz Określanie typu szablonu reguły oświadczenia do użycia.