Claims in forests implementeren

  • Artikel

 

Van toepassing op: Windows Server 2012

In Windows Server 2012 is een claimtype een bewering over het object waaraan het is gekoppeld. Claimtypen zijn per forest in Active Directory gedefinieerd. Er zijn veel scenario's waarbij de grens van een vertrouwensrelatie door een beveiligingsprincipal moet worden overschreden om toegang te krijgen tot bronnen in een vertrouwde forest. Met de functie voor transformatie van forest-overschrijdende claims in Windows Server 2012 kunt u forest-overschrijdende in- en uitgangsclaims transformeren zodat de claims worden herkend en geaccepteerd in de vertrouwende en vertrouwde forests. Hieronder vindt u enkele claimtransformatiescenario’s uit de praktijk:

  • Vertrouwende forests kunnen claimtransformatie gebruiken ter voorkoming van onrechtmatige uitbreiding van toegangsrechten door de binnenkomende claims te filteren met specifieke waarden.

    Vertrouwende forests kunnen ook claims uitgeven voor principals die binnenkomen over de grens van een vertrouwensrelatie als claims niet worden ondersteund of uitgegeven door het vertrouwde forest.

  • Claimtransformatie kan door vertrouwde forests worden gebruikt om te voorkomen dat er claims van bepaalde typen of claims met bepaalde waarden uitgaan naar het vertrouwende forest.

  • U kunt claiminformatie ook gebruiken voor het toewijzen van verschillende claimtypen tussen vertrouwende en vertrouwde forests. Dit kan worden gebruikt om het claimtype en/of de claimwaarde te generaliseren. Anders moet u de gegevens tussen de forests standaardiseren voordat u de claims kunt gebruiken. Het generaliseren van claims tussen de vertrouwende en vertrouwde forests zorgt voor lagere IT-kosten.

Claimtransformatieregels

De syntaxis voor transformatieregels is een regel met twee hoofdonderdelen: een reeks voorwaardeninstructies en de uitgifte-instructie. Elke voorwaardeninstructie bestaat uit twee subonderdelen: de claim-id en de voorwaarde. De uitgifte-instructie bevat trefwoorden, scheidingstekens en een uitgifte-expressie. De voorwaardeninstructie begint desgewenst met een claim-id-variabele, waarmee de te vergelijken invoerclaim wordt aangeduid. Met de expressie wordt gecontroleerd of aan de voorwaarde wordt voldaan. Als de invoerclaim niet aan de voorwaarde voldoet, wordt de uitgifte-instructie door de transformatie-engine genegeerd en wordt de volgende invoerclaim geëvalueerd op basis van de transformatieregel. Als de invoerclaim aan alle voorwaarden voldoet, wordt de uitgifte-instructie verwerkt.

Zie Claims transformatie regels taal voor gedetailleerde informatie over de syntaxis voor claimregels.

Claimtransformatiebeleidsinstellingen koppelen aan forests

Voor claimtransformatiebeleidsinstellingen zijn twee onderdelen nodig: claimtransformatiebeleidsobjecten en de transformatiekoppeling. De beleidsobjecten bevinden zich in de configuratienaamgevingscontext van een forest, en bevatten toewijzingsgegevens voor de claims. De koppeling bevat de vertrouwende en vertrouwde forests waarop de toewijzing betrekking heeft.

Het is belangrijk te begrijpen of de forest de vertrouwende forest of de vertrouwde forest is, omdat dat bepalend is voor de koppeling van transformatiebeleidsobjecten. Voorbeeld: de vertrouwde forest is de forest met accounts van gebruikers die toegang nodig hebben. De vertrouwende forest is de forest met bronnen waartoe u gebruikers toegang wilt geven. De stroomrichting van claims is hetzelfde als die van de beveiligingsprincipal waarvoor toegangsrechten nodig zijn. Voorbeeld: bij een eenrichtingsvertrouwensrelatie van de forest contoso.com naar de forest adatum.com stromen de claims van adatum.com naar contoso.com, waarmee gebruikers uit adatum.com toegang krijgen tot bronnen in contoso.com.

Standaard worden in een vertrouwde forest alle uitgaande claims doorgelaten, terwijl in een vertrouwende forest alle binnenkomende claims die worden ontvangen, worden genegeerd.

In dit scenario

De volgende hulp is beschikbaar voor dit scenario:

Functies en onderdelen in dit scenario

De volgende tabel vermeldt de rollen en functies die deel van dit scenario uitmaken en beschrijft hoe ze die ondersteunen.

Rol/functie

Hoe deze functie dit scenario ondersteunt

Active Directory Domain Services

In dit scenario dient u twee Active Directory-forests met een wederzijdse vertrouwensrelatie in te stellen. U hebt claims in beide forests. U stelt ook centraal toegangsbeleid in voor het vertrouwende forest waarin de bronnen zich bevinden.

Functie voor bestands- en opslagservices

In dit scenario wordt de gegevensclassificatie toegepast op de bronnen op de bestandsservers. Het centrale toegangsbeleid wordt toegepast op de map waartoe u de gebruikers toegang wilt geven. Na de transformatie verleent de claim gebruikerstoegangsrechten voor bronnen op basis van het centrale toegangsbeleid dat is toegepast op de map op de bestandsserver.