クレーム ルール テンプレートの種類を決定する

  • [アーティクル]

Active Directory フェデレーション サービス (AD FS) 2.0 インフラストラクチャを設計する際に重要なことは、フェデレーションに参加する組織のパートナーごとに、すべてのクレーム ルールを含むセットを決定することと、その作成に使用する適切なクレーム ルール テンプレートを決定することです。ルールを作成するには、AD FS 2.0 管理スナップインでクレーム ルール テンプレートを使用します。

構成するクレーム ルールの各セットは、1 つのフェデレーションの信頼にのみ関連付けることができます。つまり、ある信頼に対して作成したルールのセットをフェデレーション サービス内の他の信頼に使用することはできません。その代わりに、クレーム ルール テンプレートからルールを簡単に作成できるので、各フェデレーション パートナーとの間で合意した目的のクレームのセットを短時間で生成できます。

ルールとルール テンプレートの詳細については、「クレーム ルールの役割」を参照してください。

使用するクレーム ルール テンプレートの種類を決定する前に、次の質問を考慮に入れる必要があります。

  • 信頼できるクレーム プロバイダーが提供するクレームは何か。

  • 各クレーム プロバイダーからの信頼できるクレームは何か。

  • このフェデレーション サービスを信頼する証明書利用者が必要とするクレームは何か。

  • 各証明書利用者に公表するクレームは何か。

  • 各証明書利用者へのアクセス権が付与されるユーザーは誰か。

これらの質問は、堅牢なクレーム ルール設計の計画に役立てることができます。さらに、これを円滑な承認とアクセス制御の戦略を作る際の参考にして、導入時に展開チームをより効率的に動かすことができます。

この次のセクションでは、ビジネス ニーズに基づいて環境に合ったルール テンプレートを選択するために、テンプレートの種類について学びます。

クレーム ルール テンプレートの種類

次の表で、AD FS 2.0 管理スナップインを使ってルールを作成する際に使用できるクレーム ルール テンプレートのすべての種類と、それらの利点と欠点について説明します。

ルール テンプレートの種類 説明 利点 欠点
Pass Through or Filter an Incoming Claim

このテンプレートを使用して作成するルールは、選択したクレームの種類についてすべてのクレーム値を通過させるか、クレーム値に基づいてクレームをフィルター処理することにより、選択したクレームの種類について特定のクレーム値のみを通過させます。

詳細については、「パス スルーまたはフィルター クレーム ルールを作成する場合」(英語) を参照してください。

  • 変更なく受理または発行する特定のクレームを選択できます

  • クレームの種類と値は変更できません
Transform an Incoming Claim

このテンプレートを使用して作成するルールは、受信クレームを選択して、それを別のクレームの種類にマップするか、そのクレーム値を新しいクレーム値にマップします。

詳細については、「クレーム変換ルールを使用する場合」 を 参照してください。

  • クレームの種類または値を正規化できます

  • 受信クレームの電子メール サフィックスを置換できます

  • 複雑な文字列の置換にはカスタム ルールが必要です
Send LDAP Attributes as Claims

このテンプレートを使用して作成するルールは、LDAP 属性ストアから属性を選択して、証明書利用者にクレームとして送信します。

詳細については、「LDAP 属性をクレームとして送信するためのルールを作成する」(英語) を参照してください。

  • 任意の AD DS/AD LDS 属性ストアからクレームを取得できます

  • 1 つのルールを使用して複数のクレームを発行できます

  • アカウントの検索のためにパフォーマンスが低下します

  • クエリに対してカスタムの LDAP フィルターを使用できません
Send Group Membership as a Claim

このテンプレートを使用して作成するルールは、ユーザーが Active Directory セキュリティ グループのメンバーである場合に、指定されたクレームの種類と値を送信できます。このルールでは、選択したグループに基づいてクレームが 1 つだけ送信されます。

詳細については、「Send Group Membership as a Claim ルールを使用する場合」を参照してください。

  • アカウントの検索が不要なので、グループ クレームを発行する際のパフォーマンスが向上します

  • ユーザーは、ローカルの Active Directory グループのメンバーである必要があります
Send Claims Using a Custom Rule

標準のルール テンプレートよりも詳細なオプションを提供するカスタム ルールを作成するために使用します。カスタム ルールは、AD FS 2.0 のクレーム ルール言語を使用して記述します。

詳細については、「カスタム クレーム ルールを使用する場合」(英語) を参照してください。

  • SQL 属性ストアからクレームを取得するために使用できます

  • カスタムの LDAP フィルターを指定するために使用できます

  • PPID を発行するために使用できます

  • カスタム属性ストアを使用できます

  • クレームを入力クレーム セットにのみ追加できます

  • クレームを複数の受信クレームに基づいて送信できます

  • 最初にクレーム ルール言語の知識を獲得するための時間が必要なので構成が難しくなります
Permit or Deny Users Based on an Incoming Claim

このテンプレートを使用して作成するルールは、受信クレームの種類または値に基づいて、証明書利用者へのユーザーのアクセスを許可または拒否します。

詳細については、「承認クレーム ルールを使用する場合」 を 参照してください。

  • 承認プロセスが簡素化されます

  • クレームの種類とクレーム値をそれぞれ 1 つだけ指定する必要があります

  • クレーム値のパターン マッチングはサポートしません
Permit All Users

このテンプレートを使用して作成するルールは、証明書利用者へのアクセスをすべてのユーザーに許可します。

詳細については、「承認クレーム ルールを使用する場合」 を 参照してください。

  • 構成が簡単です

  • Permit or Deny Users Based on an Incoming Claim テンプレートを使用するよりもセキュリティが低下します