Table of contents
TOC
Sbalit obsah
Rozbalit obsah
Bill Mathers|Poslední aktualizace: 10.03.2017
|
1 Přispěvatel

Platí pro: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Použití členství ve skupině odeslání jako pravidlo tvrzení

Toto pravidlo lze použít v Active Directory Federation Services (AD FS) Pokud chcete vydat nové odchozí deklarace hodnotu pouze uživatelé, kteří jsou členy zadané skupiny zabezpečení Activ Directory. Při použití tohoto pravidla vydat jedinou pohledávku pouze skupina, které zadáte, a odpovídající pravidla logiky, jak je popsáno v následující tabulce.

Možnost pravidlaPravidla logiky
Hodnota odchozí deklaracePokud členství skupiny uživatele se rovná zadané skupiny a odchozí deklarace typ = zadaný typ deklarace, nahradit existující hodnotu názvu skupiny se zadané odchozí deklarace hodnotu a vydat tvrzení.

Následující části poskytují základní Úvod pravidla uplatňovat. Poskytují také podrobné informace o použití členství ve skupinách Odeslat jako pravidlo tvrzení.

O pravidlech nárok

Pravidlo tvrzení představuje instanci obchodní logiky, která bude přijímat příchozí deklarace, na něj vztahují podmínky (Pokud x pak y) a vytvářet odchozí deklaraci na základě parametrů stavu. V následujícím seznamu je důležité tipy, které byste měli vědět o nároku pravidla před dalším čtením obrysy v tomto tématu:

  • V AD FS Management modul snap-, deklarace pravidla lze vytvořit pouze pomocí šablon pravidel nárok

  • Tvrzení pravidla zpracování příchozích deklarací buď přímo od zprostředkovatele deklarací (jako je například služba Active Directory nebo jiné služby Federation Service) nebo z výstupu přijetí transformace pravidla pro vztah důvěryhodnosti zprostředkovatele deklarací.

  • Tvrzení pravidla jsou zpracovávány modulem vystavování deklarací v chronologickém pořadí v rámci dané pravidlo sady. Nastavením priorit pravidel můžete další upřesnění nebo filtrování deklarací, které jsou generovány pomocí předchozího pravidla v rámci dané pravidlo sady.

  • Šablony pravidel nárok vždy vyžadují určení typu příchozí deklarace. Však může zpracovávat více hodnoty deklarace s stejný typ deklarace identity pomocí jednoho pravidla.

Podrobnější informace o tvrzení pravidla a sady pravidel deklarací naleznete v tématu roli z deklarace pravidla. Další informace o způsobu zpracování pravidel naleznete v tématu The Role modulu deklarací. Další informace zpracování sady pravidel deklarací naleznete v tématu The Role kanálu deklarací.

Hodnota odchozí deklarace

Pomocí členství ve skupinách Odeslat jako šablonu pravidla deklarace, může vydávat deklaraci, která závisí na tom, zda je uživatel členem skupiny, který určíte.

Jinými slovy, tuto šablonu pravidla vydá nárok pouze v případě, že uživatel má Identifikátor skupiny zabezpečení (SID) odpovídající skupiny služby Active Directory, které určuje správce. Všichni uživatelé, kteří byli ověřováni služba Active Directory Domain Services (služba AD DS) bude mít příchozí skupiny tvrdí SID pro každou skupinu, ke kterým patří. Ve výchozím nastavení pravidel transformace přijetí v Active Directory nároky Poskytovatel důvěryhodné projít tyto deklarace identifikátoru SID skupiny. Pomocí těchto skupiny SID jako základ pro vydávání deklarací je mnohem rychlejší než hledání skupin uživatele v služba AD DS.

Při použití tohoto pravidla pouze jeden požadavek je odeslán, podle skupiny služby Active Directory, kterou jste vybrali. Tuto šablonu pravidla můžete například použít k vytvoření pravidla, které odešle deklaraci skupiny s hodnotou "Admin", pokud je uživatel členem skupiny zabezpečení Domain Admins.

Konfigurace tohoto pravidla pro vztah důvěryhodnosti zprostředkovatele deklarací

Správci by mělo toto pravidlo použít pravidla transformace přijetí pro vztah důvěryhodnosti zprostředkovatele deklarací pouze v případě, že čísla SID skupin jsou přijímány od poskytovatele deklarací, což je velmi běžné pro všechny deklarace zprostředkovatele s výjimkou adresáře Active Directory a služba AD DS.

Jak vytvořit toto pravidlo

Vytvořit toto pravidlo buď pomocí jazyka pravidlo tvrzení nebo pomocí odeslání LDAP členství ve skupině jako šablonu pravidla deklarace v AD FS Správa Přichytit-v. Tato šablona pravidla poskytuje následující možnosti konfigurace:

  • Zadejte název pravidla deklarace

  • Vyberte skupinu uživatelů pomocí výběru objektu

  • Vyberte typ odchozí deklarace

  • Vybrat formát ID jméno odchozí (která je k dispozici, pouze pokud název ID vybrali z pole Typ odchozí deklarace)

  • Zadat hodnotu odchozí deklarace

Další informace o tom, jak vytvořit toto pravidlo, naleznete v vytvořit pravidlo odesílat členství ve skupině jako deklarace identity,.

Pomocí jazyka pravidlo tvrzení

Pokud chcete vydávat nároky založené na příchozí SID než SID skupiny, použijte transformaci šablony pravidla příchozí deklarace. Pokud chce správce načíst názvy pro všechny skupiny, které uživatel je členem skupiny, pomocí atributů LDAP odeslat jako šablonu pravidla nároky místo tokenGroups atribut.

Příklad: Jak vydat deklarace skupiny podle členství ve skupině uživatele

Následující pravidlo vydává deklarace skupiny založené na příchozí SID skupiny uživatele:

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == "S-1-5-21-397933417-626991126-188441444-512", Issuer == "AD AUTHORITY"]  
=> issue(Type = "http://schemas.xmlsoap.org/claims/Group", Value = "administrators", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, ValueType = c.ValueType);  

Další odkazy

Vytvořit pravidlo pro odeslání LDAP atributů jako nároky

© 2017 Microsoft