クレーム ルール テンプレートの種類を決定する
Active Directory フェデレーション サービス (AD FS) 2.0 インフラストラクチャを設計する際に重要なことは、フェデレーションに参加する組織のパートナーごとに、すべてのクレーム ルールを含むセットを決定することと、その作成に使用する適切なクレーム ルール テンプレートを決定することです。ルールを作成するには、AD FS 2.0 管理スナップインでクレーム ルール テンプレートを使用します。
構成するクレーム ルールの各セットは、1 つのフェデレーションの信頼にのみ関連付けることができます。つまり、ある信頼に対して作成したルールのセットをフェデレーション サービス内の他の信頼に使用することはできません。その代わりに、クレーム ルール テンプレートからルールを簡単に作成できるので、各フェデレーション パートナーとの間で合意した目的のクレームのセットを短時間で生成できます。
ルールとルール テンプレートの詳細については、「クレーム ルールの役割」を参照してください。
使用するクレーム ルール テンプレートの種類を決定する前に、次の質問を考慮に入れる必要があります。
信頼できるクレーム プロバイダーが提供するクレームは何か。
各クレーム プロバイダーからの信頼できるクレームは何か。
このフェデレーション サービスを信頼する証明書利用者が必要とするクレームは何か。
各証明書利用者に公表するクレームは何か。
各証明書利用者へのアクセス権が付与されるユーザーは誰か。
これらの質問は、堅牢なクレーム ルール設計の計画に役立てることができます。さらに、これを円滑な承認とアクセス制御の戦略を作る際の参考にして、導入時に展開チームをより効率的に動かすことができます。
この次のセクションでは、ビジネス ニーズに基づいて環境に合ったルール テンプレートを選択するために、テンプレートの種類について学びます。
クレーム ルール テンプレートの種類
次の表で、AD FS 2.0 管理スナップインを使ってルールを作成する際に使用できるクレーム ルール テンプレートのすべての種類と、それらの利点と欠点について説明します。
ルール テンプレートの種類 | 説明 | 利点 | 欠点 |
Pass Through or Filter an Incoming Claim | このテンプレートを使用して作成するルールは、選択したクレームの種類についてすべてのクレーム値を通過させるか、クレーム値に基づいてクレームをフィルター処理することにより、選択したクレームの種類について特定のクレーム値のみを通過させます。 詳細については、「パス スルーまたはフィルター クレーム ルールを作成する場合」(英語) を参照してください。 |
|
|
Transform an Incoming Claim | このテンプレートを使用して作成するルールは、受信クレームを選択して、それを別のクレームの種類にマップするか、そのクレーム値を新しいクレーム値にマップします。 詳細については、「クレーム変換ルールを使用する場合」 を 参照してください。 |
|
|
Send LDAP Attributes as Claims | このテンプレートを使用して作成するルールは、LDAP 属性ストアから属性を選択して、証明書利用者にクレームとして送信します。 詳細については、「LDAP 属性をクレームとして送信するためのルールを作成する」(英語) を参照してください。 |
|
|
Send Group Membership as a Claim | このテンプレートを使用して作成するルールは、ユーザーが Active Directory セキュリティ グループのメンバーである場合に、指定されたクレームの種類と値を送信できます。このルールでは、選択したグループに基づいてクレームが 1 つだけ送信されます。 詳細については、「Send Group Membership as a Claim ルールを使用する場合」を参照してください。 |
|
|
Send Claims Using a Custom Rule | 標準のルール テンプレートよりも詳細なオプションを提供するカスタム ルールを作成するために使用します。カスタム ルールは、AD FS 2.0 のクレーム ルール言語を使用して記述します。 詳細については、「カスタム クレーム ルールを使用する場合」(英語) を参照してください。 |
|
|
Permit or Deny Users Based on an Incoming Claim | このテンプレートを使用して作成するルールは、受信クレームの種類または値に基づいて、証明書利用者へのユーザーのアクセスを許可または拒否します。 詳細については、「承認クレーム ルールを使用する場合」 を 参照してください。 |
|
|
Permit All Users | このテンプレートを使用して作成するルールは、証明書利用者へのアクセスをすべてのユーザーに許可します。 詳細については、「承認クレーム ルールを使用する場合」 を 参照してください。 |
|
|