Określanie typu szablonu reguły oświadczeń do użycia
Ważną częścią projektowania infrastruktury usług Active Directory Federation Services (AD FS) jest określenie pełnego zestawu reguł oświadczeń — i odpowiednich szablonów reguł oświadczeń, których należy użyć do ich utworzenia — dla każdego partnera, który będzie uczestniczyć w federacji z organizacją. Reguły tworzy się przy użyciu szablonów reguł oświadczeń w przystawce zarządzania AD FS.
Każdy skonfigurowany zestaw reguł oświadczeń może być skojarzony tylko z jednym federacyjnym zaufaniem. Oznacza to, że nie można utworzyć zestawu reguł dla jednego zaufania i używać ich dla innych relacji zaufania w usłudze federacyjnej. Zamiast tego można łatwo tworzyć reguły na podstawie szablonów reguł oświadczeń, aby szybciej pomóc w utworzeniu żądanego zestawu oświadczeń, które są uzgadniane między poszczególnymi partnerami federacyjnymi a organizacją.
Aby uzyskać więcej informacji na temat reguł i szablonów reguł, zobacz Rola reguł oświadczeń.
Przed rozpoczęciem określania typów szablonów reguł oświadczeń, rozważ następujące pytania:
Jakie oświadczenia będą udostępniane przez zaufanych dostawców oświadczeń?
Jakim oświadczeniom ufasz od każdego dostawcy oświadczeń?
Jakie oświadczenia są wymagane przez jednostki uzależnione, które ufają tej usłudze federacyjnej?
Jakie roszczenia jesteś gotów ujawnić każdemu odbiorcy?
Którzy użytkownicy powinni mieć dostęp do każdej strony zależnej?
Udzielenie odpowiedzi na te pytania pomoże Ci zaplanować solidny projekt reguły roszczeń. Pomoże to również w utworzeniu płynnej strategii autoryzacji i kontroli dostępu oraz usprawnieniu zespołu wdrożeniowego podczas wdrażania.
W następnej sekcji dowiesz się więcej o typie szablonów reguł do wyboru dla danego środowiska na podstawie potrzeb biznesowych.
Typy szablonów reguł oświadczeń
W poniższej tabeli opisano wszystkie typy szablonów reguł oświadczeń, których można użyć do tworzenia reguł za pomocą przystawki Zarządzanie usługami AD FS, oraz korzyści wynikające z używania jednego rodzaju szablonu nad innym.
| Typ szablonu reguły | Opis | Zalety | Niekorzyści |
|---|---|---|---|
| Przekazywanie lub filtrowanie przychodzącego zgłoszenia | Służy do tworzenia reguły, która będzie przekazywać wszystkie wartości oświadczeń dla wybranego typu oświadczenia lub filtrować oświadczenia na podstawie wartości oświadczeń, tak aby przekazywane były tylko określone wartości oświadczenia dla wybranego typu oświadczenia. Aby uzyskać więcej informacji, zobacz Kiedy używać zasady przekazywania lub filtrowania żądań. |
— Może służyć do wybierania określonych oświadczeń, które mają zostać zaakceptowane lub wydane bez zmian | - Nie można zmienić typu oświadczenia i wartości |
| Przekształć przychodzące roszczenie | Służy do tworzenia reguły, która może wybrać oświadczenie przychodzące i mapować je na inny typ oświadczenia lub mapować jego wartość oświadczenia na nową wartość oświadczenia. Aby uzyskać więcej informacji, zobacz Kiedy używać reguły transformacji roszczenia. |
— Może służyć do normalizacji typów lub wartości oświadczeń — Może zastąpić końcówkę adresu e-mail przychodzącego roszczenia |
— Bardziej złożone zamiany ciągów wymagają reguły niestandardowej |
| Wysyłanie atrybutów LDAP jako oświadczeń | Służy do tworzenia reguły, która wybierze atrybuty z magazynu atrybutów LDAP do wysyłania jako żądania do strony ufającej. Aby uzyskać więcej informacji, zobacz Kiedy stosować regułę przesyłania atrybutów LDAP jako oświadczeń. |
- Może pobierać oświadczenia z dowolnego sklepu atrybutów AD DS/AD LDS — Można wydać wiele oświadczeń przy użyciu jednej reguły |
- Wydajność — wolniejsza w wyniku procesu wyszukiwania konta — Nie można użyć niestandardowego filtru LDAP do wykonywania zapytań |
| Wysyłanie członkostwa w grupie jako oświadczenia | Służy do tworzenia reguły, która może wysyłać określony typ oświadczenia i wartość, gdy użytkownik jest członkiem grupy zabezpieczeń usługi Active Directory. Tylko jedno oświadczenie zostanie wysłane przy użyciu tej reguły w oparciu o wybraną grupę. Aby uzyskać więcej informacji, zobacz Kiedy użyć członkostwa w grupie jako reguły oświadczeń. |
- Szybka realizacja wydawania roszczeń grupowych — bez przeszukiwania konta | — Użytkownik musi być członkiem lokalnej grupy usługi Active Directory |
| Wysyłanie roszczeń przy użyciu reguły niestandardowej | Służy do tworzenia reguły niestandardowej, która zapewni bardziej zaawansowane opcje niż standardowy szablon reguły. Piszesz reguły niestandardowe za pomocą języka reguł oświadczeń usług AD FS. Aby uzyskać więcej informacji, sprawdź Kiedy używać niestandardowej reguły twierdzeń. |
— Może być używany do pozyskiwania oświadczeń z magazynu atrybutów SQL — Może służyć do określania niestandardowego filtru LDAP Może być używane do wydawania identyfikatora PPID. — Może być używany z magazynem atrybutów niestandardowych — Może służyć do dodawania oświadczeń tylko do zestawu oświadczeń wejściowych — Może służyć do wysyłania oświadczeń na podstawie więcej niż jednego oświadczenia przychodzącego |
- Trudniejsze do skonfigurowania — może być potrzebny pewien czas, aby początkowo uzyskać wiedzę na temat języka reguł oświadczeń |
| Zezwalanie lub odrzucanie użytkowników na podstawie oświadczenia przychodzącego | Służy do tworzenia reguły, która na podstawie typu i wartości przychodzącego oświadczenia zezwala lub odmawia dostępu użytkownikom do strony polegającej. Aby uzyskać więcej informacji, zobacz Kiedy używać reguły oświadczeń autoryzacyjnych. |
- Upraszcza proces autoryzacji | — Wymaga określenia tylko jednego typu oświadczenia i jednej wartości oświadczenia — Nie obsługuje dopasowywania wzorca dla wartości oświadczeń |
| Zezwalaj wszystkim użytkownikom | Służy do tworzenia reguły, która umożliwi wszystkim użytkownikom uzyskanie dostępu do strony ufającej. Aby uzyskać więcej informacji, zobacz Kiedy używać reguły zgłoszenia autoryzacji. |
- Proste do skonfigurowania | — Mniej bezpieczne niż używanie szablonu Zezwalanie lub Odmowa użytkowników na podstawie roszczenia przychodzącego |