Определение необходимого типа шаблона правил утверждений
Важной частью разработки инфраструктуры службы федерации Active Directory (AD FS) (AD FS) является определение полного набора правил утверждений (и соответствующих шаблонов правил утверждений, которые следует использовать для их создания) для каждого партнера, который будет участвовать в федерации с вашей организацией. Правила создаются с помощью шаблонов правил утверждений в оснастке управления AD FS.
Каждый набор правил для утверждений, который вы настраиваете, может быть связан только с одним федеративным отношением доверия. Это означает, что нельзя создать набор правил в одном отношении доверия и использовать его для других отношений доверия в службе федерации. Вместо этого можно легко создать правила из шаблонов правил для утверждений, помогающих быстро создать необходимый набор утверждений, согласованных между каждым участником федерации и вашей организацией.
Дополнительные сведения правилах и шаблонах правил см. в разделе The Role of Claim Rules.
Прежде чем приступить к определению типов шаблонов правил для утверждений, которые следует использовать, ответьте на следующие вопросы.
Какие утверждения будут предоставляться вашими доверенными поставщиками утверждений?
Каким утверждениям вы доверяете от каждого поставщика утверждений?
Какие утверждения требуются проверяющими сторонами, доверяющими этой службе федерации?
Какие утверждения вы готовы сообщать каждой проверяющей стороне?
Какие пользователи должны иметь доступ к каждой проверяющей стороне?
Ответы на эти вопросы помогут вам планировать надежную архитектуру правил для утверждений. Они также помогут создать гладкую стратегию авторизации и контроля доступа и повысить эффективность вашей рабочей группы развертывания во время выпуска.
В следующем разделе вы можете узнать, какой тип шаблонов правил следует выбрать для вашей среды, исходя из ваших бизнес-требований.
Типы шаблонов правил для утверждений
В следующей таблице описаны все типы шаблонов правил утверждений, которые можно использовать для создания правил с помощью оснастки управления AD FS, а также преимущества использования одного типа шаблона по сравнению с другим.
| Тип шаблона правила | Description | Достоинства | Недостатки |
|---|---|---|---|
| Пропуск или фильтрация входящего утверждения | Используется для создания правила, которое будет пропускать все значения утверждений для выбранного типа утверждения или фильтровать утверждения на основе значений утверждений, чтобы пропускались только определенные значения утверждений для выбранного типа утверждения. Дополнительные сведения см. в разделе When to Use a Pass Through or Filter Claim Rule. |
— Можно использовать для выбора определенных утверждений, которые будут приняты или выданы без изменений. | — Тип утверждения и значение нельзя изменить |
| Преобразование входящего утверждения | Используется для создания правила, которое может выбрать входящее утверждение и сопоставить его с другим типом утверждения или сопоставить его значение с новым значением утверждения. Дополнительные сведения см. в разделе When to Use a Transform Claim Rule. |
— можно использовать для нормализации типов утверждений или значений. — может заменить суффикс электронной почты входящего утверждения. |
— для более сложных замен строк требуется пользовательское правило. |
| Отправка атрибутов LDAP как утверждений | Используется для создания правила, которое будет выбрать атрибуты из хранилища атрибутов LDAP для отправки проверяющей стороне в виде утверждений. Дополнительные сведения см. в разделе When to Use a Send LDAP Attributes as Claims Rule. |
— может быть источником утверждений из любого хранилища атрибутов AD DS/AD LDS — Несколько утверждений можно выдавать с помощью одного правила. |
— производительность — медленная в результате поиска учетной записи — Не удается использовать пользовательский фильтр LDAP для запроса |
| Отправка членства в группах в качестве утверждения | Используется для создания правила, которое может отправлять указанный тип и значение утверждения, если пользователь является членом группы безопасности Active Directory. С помощью этого правила будет отправляться только одно утверждение на основе выбранной группы. Дополнительные сведения см. в разделе When to Use a Send Group Membership as a Claim Rule. |
— быстрая производительность для выдачи утверждений группы — поиск учетной записи отсутствует | — Пользователь должен быть членом локальной группы Active Directory |
| Отправка утверждений с помощью настраиваемого правила | Используется для создания настраиваемого правила, которое предоставляет дополнительные варианты по сравнению со стандартным шаблоном правила. Пользовательские правила записываются с помощью языка правила утверждения AD FS. Дополнительные сведения см. в разделе When to Use a Custom Claim Rule. |
— Можно использовать для источника утверждений из хранилища атрибутов SQL. — Можно использовать для указания пользовательского фильтра LDAP — Можно использовать для выдачи PPID — можно использовать с пользовательским хранилищем атрибутов. — можно использовать для добавления утверждений только в набор входных утверждений. — можно использовать для отправки утверждений на основе нескольких входящих утверждений |
- Сложнее настроить. Возможно, потребуется некоторое время для первоначального получения знаний о языке правила утверждения. |
| Разрешать или запрещать пользователям на основании входящего утверждения | Используется для создания правила, которое будет разрешать или запрещать доступ пользователей к проверяющей стороне на основе типа и значения входящего утверждения. Дополнительные сведения см. в разделе When to Use an Authorization Claim Rule. |
— упрощает процесс авторизации | — требуется, чтобы указать только один тип утверждения и одно значение утверждения — не поддерживает сопоставление шаблонов для значений утверждений |
| Разрешить всем пользователям | Позволяет создать правило, которое разрешает всем пользователям доступ к проверяющей стороне. Дополнительные сведения см. в разделе When to Use an Authorization Claim Rule. |
— простая настройка | — менее безопасный, чем использование разрешения или запрета пользователей на основе шаблона входящего утверждения |