确定要使用的声明规则模板的类型
设计 Active Directory 联合身份验证服务 (AD FS) 基础结构的一个重要环节是为与组织结成联盟的每位合作伙伴确定完整的声明规则集,以及用来创建这些规则的相应声明规则模板。 可使用“AD FS 管理”管理单元中的声明规则模板来创建规则。
你配置的每组声明规则只能与一个联合信任相关联。 这意味着,你不能在一个信任上创建一组规则,但将其用于联合身份验证服务中的其他信任。 不过,你可以根据声明规则模板轻松地创建规则,从而有助于更快地生成一组所需的声明,并且这些声明得到每位联盟伙伴和组织的一致同意。
有关规则和规则模板的详细信息,请参阅 The Role of Claim Rules。
在开始确定应使用的声明规则模板类型之前,请考虑以下问题:
你的可信声明提供程序将提供哪些声明?
你信任每个声明提供程序的哪些声明?
信任此联合身份验证服务的信赖方需要哪些声明?
你愿意向每个信赖方公开哪些声明?
哪些用户将有权访问每个信赖方?
回答这些问题将有助于制定一个可靠的声明规则设计。 此外,还有助于创建平稳的授权和访问控制策略,让你的部署团队在产品推出期间更高效。
在下一部分中,你可以了解要根据业务需求为环境选择的规则模板类型。
声明规则模板类型
下表介绍可用于通过“AD FS 管理”管理单元创建规则的所有声明规则模板类型,以及一种模板类型相较另一种模板类型的优势。
| 规则模板类型 | 说明 | 优点 | 缺点 |
|---|---|---|---|
| 通过或筛选传入声明 | 用于创建一项规则,该规则将传递所选声明类型的所有声明值,或者根据声明值筛选声明,以便仅传递所选声明类型的某些声明值。 有关详细信息,请参阅 When to Use a Pass Through or Filter Claim Rule。 |
- 可用于选择在接受或发出时保持不变的特定声明 | - 不能更改声明的类型和值 |
| 转换传入声明 | 用于创建一项规则,该规则可以选择一个传入声明并将其映射到不同的声明类型或将其声明值映射到新的声明值。 有关详细信息,请参阅 When to Use a Transform Claim Rule。 |
- 可用于规范化声明类型或值 - 可以替换传入声明的电子邮件后缀 |
- 更复杂的字符串替换需要自定义规则 |
| 以声明方式发送 LDAP 属性 | 用于创建一项规则,该规则将从 LDAP 属性存储中选择要以声明方式发送给信赖方的属性。 有关详细信息,请参阅 When to Use a Send LDAP Attributes as Claims Rule。 |
- 可以从任何 AD DS/AD LDS 属性存储发出声明 - 可以使用一项规则发出多个声明 |
- 性能 - 因帐户查找操作而变慢 - 不能将自定义 LDAP 筛选器用于查询 |
| 以声明方式发送组成员身份 | 用于创建一项规则,当用户是 Active Directory 安全组的成员时,该规则可以发送指定的声明类型和值。 根据所选择的组,将使用此规则仅发送一个声明。 有关详细信息,请参阅 When to Use a Send Group Membership as a Claim Rule。 |
- 发出组声明时的性能非常快 — 无帐户查找 | - 用户必须是本地 Active Directory 组的成员 |
| 使用自定义规则发送声明 | 用于创建一项自定义规则,该规则将提供比标准规则模板更高级的选项。 - 用 AD FS 声明规则语言编写自定义规则。 有关详细信息,请参阅 When to Use a Custom Claim Rule。 |
- 可用于从 SQL 属性存储发出声明 - 可用于指定自定义 LDAP 筛选器 - 可用于发出 PPID - 可与自定义属性存储结合使用 - 可用于仅向输入声明集添加声明 - 可用于基于多个传入声明发送声明 |
- 更难配置 - 刚开始接触声明规则语言时可能需要一段时间才能上手 |
| 根据传入声明允许或拒绝用户 | 用于创建创建一项规则,该规则将根据传入声明的类型和值,允许或拒绝用户访问信赖方。 有关详细信息,请参阅 When to Use an Authorization Claim Rule。 |
- 简化了授权过程 | - 要求只指定一个声明类型和一个声明值 - 不支持声明值的模式匹配 |
| 允许所有用户 | 用于创建一项规则,该规则将允许所有用户访问信赖方。 有关详细信息,请参阅 When to Use an Authorization Claim Rule。 |
- 易于配置 | - 没有“根据传入声明允许或拒绝用户”模板安全 |