使用「以宣告方式傳送群組成員資格」規則的時機
當您想要只針對屬於指定 Active Directory 安全性群組成員的使用者發出新的連出宣告值時,您可以在 Active Directory 同盟服務 (AD FS) 中使用此規則。 使用這項規則時,您只需針對您指定且符合規則邏輯的群組發出單一宣告,如下表所述。
| 規則選項 | 規則邏輯 |
|---|---|
| 傳出宣告值 | 如果使用者的群組成員資格等於指定群組,且傳出宣告類型等於指定宣告類型,則請使用指定傳出宣告值來取代現有的群組名稱值,並發出宣告。 |
下列各節提供宣告規則的基本介紹。 另還針對使用「以宣告方式傳送群組成員資格」規則的時機提供詳細資料。
關於宣告規則
宣告規則表示商務邏輯的執行個體,將會收取傳入宣告,對其套用條件 (若 x 則 y),然後根據條件參數產生傳出宣告。 在您進一步閱讀本主題之前,請先閱讀下列清單,其中會概述關於宣告規則您應該知道的重要秘訣:
在 AD FS 管理嵌入式管理單元中,只能使用宣告規則範本建立宣告規則
宣告規則會從宣告提供者 (例如 Active Directory 或其他同盟服務) 直接處理傳入宣告,或是在宣告提供者信任上從接受轉換規則的輸出處理傳入宣告。
宣告規則的處理方式,是由宣告發行引擎依時間先後順序按照指定的規則集處理。 藉由設定規則優先順序,您可以進一步精簡或篩選由特定規則集內的上一個規則所產生的宣告。
宣告規則範本一律會要求您指定傳入宣告類型。 不過,您可以使用單一規則和同一宣告類型處理多個宣告值。
如需宣告規則和宣告規則集的詳細資訊,請參閱宣告規則的角色。 如需如何處理規則的詳細資訊,請參閱宣告引擎的角色。 如需如何處理宣告規則集的詳細資訊,請參閱宣告管線的角色。
傳出宣告值
使用「以宣告方式傳送群組成員資格」規則範本,您可以發出視使用者是否為您指定群組成員而定的宣告。
換句話說,只有當使用者具有群組安全性識別碼 (SID),並符合系統管理員指定的 Active Directory 群組時,這個規則範本才會發出宣告。 所有對 Active Directory 網域服務 (AD DS) 進行驗證的使用者都將會有每個所屬群組的連入群組 SID 宣告。 根據預設,Active Directory 宣告提供者信任中的接受轉換規則會傳遞這些群組 SID 宣告。 與在 AD DS 中查閱使用者的群組相比,使用這些群組 SID 做為發出宣告的基礎要快得多。
使用這項規則時,根據您選取的 Active Directory 群組,只會傳送一個宣告。 比方說,您可以使用這個規則範本建立以下規則:如果使用者是 Domain Admins 安全性群組的成員,則會傳送值為 "Admin" 的群組宣告。
在宣告提供者信任上設定這項規則
只有當從宣告提供者收到群組 SID 時 (這個情況對任何宣告提供者而言並不常見,Active Directory 或 AD DS 除外),系統管理員應該在宣告提供者信任的接受轉換規則中使用這個規則類型。
如何建立此規則
您可以使用宣告規則語言,或使用 AD FS 管理嵌入式管理單元中的「以宣告方式傳送 LDAP 群組成員資格」規則範本建立這項規則。 這個規則範本提供下列設定選項:
指定宣告規則名稱
使用物件選擇器選取使用者的群組
選取傳出宣告類型
選取傳出名稱識別碼格式 (只有當在 [傳出宣告類型] 欄位中選擇 [名稱識別碼] 時才可以使用)
指定傳出宣告值
如需如何建立此規則的詳細資訊,請參閱建立規則以傳送群組成員資格作為宣告。
使用宣告規則語言
如果您想要根據傳入 SID (而不是群組 SID) 發行宣告,請使用「轉換傳入宣告」規則範本。 如果系統管理員想要擷取使用者為其成員的所有群組名稱,請使用「以宣告方式傳送 LDAP 屬性」規則範本,而不是使用 tokenGroups 屬性。
範例:如何根據使用者的群組成員資格發出群組宣告
下列規則會根據連入群組 SID 為使用者發出群組宣告:
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == "S-1-5-21-397933417-626991126-188441444-512", Issuer == "AD AUTHORITY"]
=> issue(Type = "http://schemas.xmlsoap.org/claims/Group", Value = "administrators", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, ValueType = c.ValueType);