Когда следует использовать правило "Отправлять членство в группе как утверждение"
Это правило можно использовать в службы федерации Active Directory (AD FS) (AD FS), если вы хотите выдать новое исходящее значение утверждения только для тех пользователей, которые являются членами указанной группы безопасности Active Directory. При использовании этого правила одно утверждение выдается только для указанной группы, соответствующей логике правила, как описано в следующей таблице.
| Параметр правила | Логика правила |
|---|---|
| Значение исходящего утверждения | Если членство в группе пользователя равно указанной группе и тип исходящего утверждения равно указанному типу утверждения, замените существующее значение имени группы указанным значением исходящего утверждения и оставьте утверждение. |
В следующих разделах содержатся основные сведения о правилах утверждений. Кроме того, в них содержатся сведения об использовании правила "Отправлять членство в группе в качестве утверждения".
Общие сведения о правилах утверждения
Правило утверждения представляет экземпляр бизнес-логики, который предусматривает применение к входящему утверждению условия (если X, то Y) и создание исходящего утверждения на основе параметров условия. В следующем списке перечислены важные рекомендации в отношении правил утверждений, с которыми следует ознакомиться перед прочтением дальнейших сведений в этом разделе.
В оснастке управления AD FS правила утверждений можно создавать только с помощью шаблонов правил утверждений.
Правила утверждений обрабатывают входящие утверждения непосредственно от поставщика утверждений (например, Active Directory или другой службы федерации) или из выходных данных правил преобразования принятия для отношения доверия с поставщиком утверждений.
Правила утверждений обрабатываются подсистемой выдачи утверждений в хронологическом порядке в пределах заданного набора правил. Установив приоритет правил, можно дополнительно уточнить или отфильтровать утверждения, созданные предыдущими правилами в данном наборе правил.
Шаблоны правил утверждения всегда требуют указывать тип входящего утверждения. Тем не менее, можно обрабатывать несколько значений утверждений с одним типом утверждения, используя одно правило.
Дополнительные сведения о правилах утверждений и наборах правил утверждений см. в разделе "Роль правил утверждений". Дополнительные сведения о том, как обрабатываются правила, см. в разделе "Роль обработчика утверждений". Дополнительные сведения об обработке наборов правил утверждений см. в разделе "Роль конвейера утверждений".
Значение исходящего утверждения
Используя шаблон правила "Отправлять членство в группе в качестве утверждения", можно выдавать утверждение, зависящее от членства пользователя в указанной группе.
Другими словами, этот шаблон правила выдает утверждение только в том случае, если у пользователя есть идентификатор безопасности (SID) группы, соответствующий группе Active Directory, указанной администратором. Все пользователи, прошедшие проверку подлинности в доменных службах Active Directory (AD DS), будут получать входящие утверждения SID группы для каждой группы, к которой они принадлежат. По умолчанию правила преобразования принятия в отношении доверия с поставщиком утверждений Active Directory пропускают такие утверждения SID группы. Использование этих идентификаторов безопасности групп в качестве основы для выдачи утверждений гораздо быстрее, чем поиск групп пользователей в AD DS.
При использовании этого правила отправляется только одно утверждение на основе выбранной группы Active Directory. Например, этот шаблон правила можно использовать для создания правила, которое будет отправлять утверждение группы со значением Admin, если пользователь является членом группы безопасности "Администраторы домена".
Настройка этого правила для отношения доверия с поставщиком утверждений
Администраторам следует использовать этот тип правила в правилах преобразования принятия отношения доверия с поставщиком утверждений только в том случае, когда идентификаторы безопасности группы получены от поставщика утверждений, что очень маловероятно для любых поставщиков утверждений, кроме Active Directory или AD DS.
Создание правила
Это правило можно создать с помощью языка правил утверждений или используя шаблон правила "Отправлять членство в группе LDAP в качестве утверждения" в оснастке "Управление" AD FS. Этот шаблон правила предоставляет следующие возможности настройки:
указание имени правила утверждения;
Выбор группы пользователя с помощью средства выбора объектов
выбор типа исходящего утверждения;
выбор формата идентификатора исходящего имени (доступно, только если идентификатор имени выбирается в поле типа исходящего утверждения);
указание значения исходящего утверждения.
Дополнительные сведения о создании этого правила см. в разделе "Создание правила для отправки членства в группах в качестве утверждения".
С помощью языка правил утверждений
Для выдачи утверждений на основе входящего SID, отличающегося от SID группы, следует использовать шаблон правила преобразования входящего утверждения. Если администратору требуется получить имена для всех групп, членом которых является пользователь, вместо этого рекомендуется использовать шаблон правила "Отправлять атрибуты LDAP в качестве утверждений" с атрибутом tokenGroups.
Пример. Выдача утверждений группы на основе членства в группе пользователя
Следующее правило выдает утверждения группы для пользователя в зависимости от входящего SID группы:
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == "S-1-5-21-397933417-626991126-188441444-512", Issuer == "AD AUTHORITY"]
=> issue(Type = "http://schemas.xmlsoap.org/claims/Group", Value = "administrators", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, ValueType = c.ValueType);
Дополнительная справка
Создание правила для отправки атрибутов LDAP в качестве утверждений