Роль правил утверждений
Общая функция службы федерации в службы федерации Active Directory (AD FS) (AD FS) — это выдача маркера, содержащего набор утверждений. Решение о том, какие утверждения AD FS принимает, а затем вопросы регулируются правилами утверждений.
Что такое правила утверждений
Правило утверждения представляет экземпляр бизнес-логики, который принимает одно или несколько входящих утверждений, применяет к ним условия (если X, то Y) и создает одно или несколько исходящих утверждений на основе параметров условия. Дополнительные сведения о входящих и исходящих утверждениях см. в разделе "Роль утверждений".
Правила утверждений используются, когда необходимо реализовать бизнес-логику, контролирующую поток утверждений через конвейер утверждений. В то время как конвейер утверждений — это скорее логическая сущность в рамках процесса передачи утверждений, правила утверждений являются реальным административным элементом, который можно использовать для настройки потока утверждений в процессе выдачи утверждений.
Дополнительные сведения о конвейере утверждений см. в разделе "Роль обработчика утверждений".
Правила утверждений обеспечивают следующие преимущества:
предоставляют администраторам механизм применения бизнес-логики во время выполнения для обеспечения доверия к утверждениям от поставщиков утверждений;
предоставляют администраторам механизм определения утверждений, которые должны предоставляться проверяющим сторонам;
предоставляют администраторам, которым нужно разрешить или запретить доступ определенным пользователям, широкие возможности авторизации на основе утверждений.
Порядок обработки правил утверждений
Правила утверждений обрабатываются посредством конвейера утверждений с помощью модуля утверждений. Модуль утверждений — это логический компонент службы федерации, который проверяет набор входящих утверждений, представленный пользователем, и в соответствии с логикой каждого правила создает выходной набор утверждений.
Вместе подсистема правил утверждений и набор правил утверждений, связанных с заданным федеративным доверием, определяют, следует ли передавать входящие утверждения по мере их использования, отфильтровывать в соответствии с критериями конкретного условия или преобразовывать в совершенно новый набор утверждений, прежде чем они будут выданы в качестве исходящих утверждений службой федерации.
Дополнительные сведения об этом процессе см. в разделе "Роль обработчика утверждений".
Что такое шаблоны правил утверждений
AD FS включает стандартный набор шаблонов правил утверждений, предназначенных для упрощения выбора и создания наиболее подходящих правил утверждений для конкретной бизнес-потребности. Шаблоны правил утверждений используются только в процессе создания правил утверждений.
В оснастке управления AD FS правила можно создавать только с помощью шаблонов правил утверждений. Выбрав шаблон правил утверждений с помощью оснастки, введите необходимые данные для логики правила и сохраните их в базе данных конфигурации. С этого момента эти данные будут называться в пользовательском интерфейсе правилом утверждения.
Как работают шаблоны правил утверждений
На первый взгляд шаблоны правил утверждений представляются обычными формами ввода, предоставляемыми оснасткой для сбора данных и применения логики ко входящим утверждениям. Однако если взглянуть глубже, окажется, что в шаблонах правил утверждений хранятся языковые структуры правил утверждений, которые образуют базовую логику, необходимую для быстрого создания правила без близкого знакомства с языком.
Каждый шаблон, предоставляемый в пользовательском интерфейсе, представляет предварительно заполненную синтаксическую структуру правила утверждения, соответствующую одной из наиболее распространенных задач администрирования. Однако один шаблон правил представляет исключение. Он называется настраиваемым шаблонов правил. В этом шаблоне синтаксис не заполнен. Вместо этого вам надо самостоятельно составить синтаксическую структуру языка правил утверждений в теле формы шаблона.
Дополнительные сведения об использовании синтаксиса языка правила утверждения см . в руководстве по развертыванию AD FS с ролью языка правил утверждений.
Совет
В любой момент можно просмотреть язык правила утверждения, связанный с правилом, нажав кнопку Просмотреть язык правила в свойствах правила утверждения.
Создание правила утверждения
Правила утверждений создаются отдельно для каждого федеративного отношения доверия в службе федерации и не используются совместно несколькими отношениями. Вы можете создать правило на основе шаблона правил утверждений, создать правило с нуля с помощью языка правил утверждений или настроить правило с помощью Windows PowerShell.
Все эти варианты доступны одновременно, что обеспечивает гибкость при выборе подходящего способа для конкретного сценария. Дополнительные сведения о создании правила утверждения см. в разделе "Настройка правил утверждений" в руководстве по AD FSDeployment.
Использование шаблонов правил утверждений
Шаблоны правил утверждений используются только в процессе создания правил утверждений. Для создания правила утверждения можно использовать любой из следующих шаблонов:
Пропуск или фильтрация входящего утверждения
Преобразование входящего утверждения
Отправка атрибутов LDAP как утверждений
Отправка членства в группах в качестве утверждения
Отправка утверждений с помощью настраиваемого правила
Разрешать или запрещать пользователям на основании входящего утверждения
Разрешить всем пользователям
Дополнительные сведения о каждом из этих шаблонов правил утверждений см. в разделе "Определение типа шаблона правила утверждений для использования".
С помощью языка правил утверждений
Для бизнес-правил, не охватываемых стандартными шаблонами правил утверждений, можно использовать настраиваемый шаблон правила для выражения сложных условий логики с помощью языка правил утверждений. Дополнительные сведения об использовании настраиваемого правила см. в разделе "Использование настраиваемого правила утверждения".
Использование Windows PowerShell
Можно также использовать объект командлета ADFSClaimRuleSet с Windows PowerShell для создания или администрирования правил в AD FS. Подробнее об использовании этого командлета в Windows PowerShell см. в разделе Администрирование служб федерации Active Directory с помощью Windows PowerShell.
Что такое набор правил утверждений
Как показано на рисунке ниже, набор правил утверждений — это группа из одного или нескольких правил для определенного федеративного отношения доверия, которая определяет способ обработки утверждений модулем утверждений. Когда служба федерации получает входящее утверждение, модуль утверждений применяет логику, заданную в соответствующем наборе правил утверждений. То, как будут выпущены утверждения для всего отношения доверия, определяется общим результатом применения логики из каждого правила в наборе.
Правила утверждений обрабатываются модулем утверждений в хронологическом порядке в пределах заданного набора правил. Этот порядок важен, так как выходные данные одного правила могут служить входными данными для следующего правила в наборе.
Типы наборов правил утверждений
Тип набора правил утверждений — это логическая часть федеративного отношения доверия, которая категорически определяет, будет ли набор правил утверждений, связанный с отношением доверия, использоваться для выдачи, авторизации или принятия утверждений. С каждым федеративным отношением доверия может быть связан один или несколько типов наборов правил утверждений в зависимости от типа этого отношения.
В таблице ниже описываются различные типы наборов правил утверждений и объясняется их связь с отношением доверия с поставщиком утверждений или с отношением доверия с проверяющей стороной.
| Тип набора правил утверждений | Description | Область применения |
|---|---|---|
| Набор правил преобразования принятия | Набор правил утверждений, применяющийся к определенному отношению доверия с поставщиком утверждений для указания входящих утверждений, которые будут приняты от организации поставщика утверждений, и исходящих утверждений, которые будут отправлены в отношение доверия с проверяющей стороной. Входящие утверждения, служащие источником для этого набора правил, будут выходными утверждениями набора правил преобразования выдачи, определенного в организации поставщика утверждений. По умолчанию узел отношений доверия с поставщиком утверждений содержит отношение с именем Active Directory, которое представляет исходное хранилище атрибутов для набора правил преобразования принятия. Этот объект отношения доверия представляет связь службы федерации с базой данных Active Directory в вашей сети. Именно это отношение доверия по умолчанию обрабатывает утверждения для пользователей, прошедших аутентификацию в Active Directory, и его нельзя удалить. |
Отношения доверия с поставщиком утверждений |
| Набор правил преобразования выдачи | Набор правил утверждений, который применяется к отношению доверия с проверяющей стороной для указания утверждений, которые будут выданы проверяющей стороне. Входящие утверждения, служащие источником для этого набора правил, изначально будут выходными утверждениями правил преобразования принятия. |
Отношения доверия с проверяющей стороной |
| Набор правил авторизации выдачи | Набор правил утверждений, который применяется к отношению доверия с проверяющей стороной для указания пользователей, которым будет разрешено получить токен для проверяющей стороны. Эти правила определяют, может ли пользователь получать утверждения для проверяющей стороны и, таким образом, получать доступ к ней. Если правило авторизации выдачи не задано, по умолчанию доступ запрещен для всех пользователей. |
Отношения доверия с проверяющей стороной |
| Набор правил авторизации делегирования | Набор правил утверждений, который применяется к отношению доверия с проверяющей стороной для указания пользователей, которым будет разрешено выступать в роли делегатов других пользователей для проверяющей стороны. Эти правила определяют, разрешено ли инициатору запроса выступать от лица пользователя. При этом инициатор запроса указывается в токене, отправляемом проверяющей стороне. Если вы не указали правило авторизации делегирования, пользователи по умолчанию не могут выступать в качестве делегатов. |
Отношения доверия с проверяющей стороной |
| Набор правил авторизации олицетворения | Набор правил утверждений, который настраивается с помощью Windows PowerShell для определения того, может ли пользователь полностью олицетворять другого пользователя для проверяющей стороны. Эти правила определяют, разрешено ли инициатору запроса олицетворять пользователя без указания инициатора в токене, отправляемом проверяющей стороне. Такое олицетворение пользователя — это очень эффективная возможность, так как проверяющей стороне будет неизвестно, что пользователь олицетворяется. |
Отношения доверия с проверяющей стороной |
Дополнительные сведения о выборе соответствующих правил утверждений, используемых в организации, см. в разделе "Определение типа шаблона правила утверждения для использования".