Table of contents
TOC
Zwiń spis treści
Rozwiń spis treści
Bill Mathers|Ostatnia aktualizacja: 10.03.2017
|
1 Współautor

Dotyczy: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Kiedy należy używać przebiegu za pośrednictwem reguły lub filtrowania oświadczenia

Ta reguła służy w Active Directory Federation Services (usług AD FS) kiedy trzeba będzie wykonać określonego typu oświadczenia przychodzącego, a następnie zastosować akcję, które określają, jakie dane wyjściowe powinny być wykonywane na podstawie wartości oświadczenia przychodzącego. Jeśli używasz tej reguły, przekazuj lub Filtruj wszystkie oświadczenia zgodne z logiką reguły określoną w poniższej tabeli, w zależności od opcji skonfigurowanych w regule.

Opcja regułyReguły logiki
Przekazuj wszystkie wartości oświadczeńJeśli typ oświadczenia przychodzącego to określony typ oświadczenia i wartość równa dowolną wartość, należy przekazać roszczenia za pośrednictwem
Przekazuj tylko konkretną wartość oświadczeniaJeśli typ oświadczenia przychodzącego to określony typ oświadczenia i wartość równa określona wartość oświadczenia, należy przekazać roszczenia za pośrednictwem
Przekazuj tylko wartości oświadczenia, które odpowiadają określonej e-wartość sufiksu pocztyJeśli typ oświadczenia przychodzącego to określony typ oświadczenia i wartość równa określona wartość sufiksu, należy przekazać roszczenia za pośrednictwem
Przekazuj tylko wartości oświadczeń rozpoczynające się od określonej wartościJeśli typ oświadczenia przychodzącego to określony typ oświadczenia a wartość rozpoczyna się od określona wartość oświadczenia, należy przekazać roszczenia za pośrednictwem

Poniższe sekcje zawierają wstęp do reguł oświadczeń oraz szczegółowe informacje o tym, kiedy należy używać tej reguły.

Informacje o regułach oświadczeń

Reguła oświadczeń reprezentuje wystąpienie logikę biznesową, która będzie otrzymuje oświadczenie przychodzące, stosuje dla niego warunek (Jeżeli x y następnie) i tworzy oświadczenie wychodzące na podstawie parametrów warunku. Poniższa lista zawiera ważne porady, które należy wiedzieć o reguł oświadczeń, przed przeczytaniem dalszej części tego tematu:

  • W przystawce usługi AD FS zarządzania-roszczenie reguł można tworzyć tylko za pomocą szablonów reguł oświadczeń

  • Proces reguł oświadczeń przychodzących oświadczeń bądź bezpośrednio od dostawcy oświadczeń (takich jak usługi Active Directory lub innej usługi federacyjnej) lub w danych wyjściowych akceptacji Przekształcanie zasady zaufania dostawcy oświadczeń.

  • Reguły oświadczeń są przetwarzane przez aparat wystawiania oświadczeń w porządku chronologicznym w ramach danego zestawu reguł. Przez ustawienie pierwszeństwa reguł, można dodatkowo uściślać lub filtrować oświadczenia, które są generowane przez poprzednie reguły w danym zestawie reguł.

  • Szablony reguł oświadczeń zawsze wymagają określenia typu oświadczenia przychodzącego. Można jednak przetwarzać wiele wartości oświadczeń z tego samego typu oświadczenia przy użyciu jednej reguły.

Aby uzyskać więcej informacji na temat reguł oświadczeń i zestawów reguł, zobacz z roszczenie reguł roli. Aby uzyskać więcej informacji o sposobie przetwarzania reguły, zobacz rola aparatu oświadczeń. Aby uzyskać więcej informacji o sposobie przetwarzania zestawów reguł, zobacz rola potoku oświadczeń.

Przekazuj wszystkie wartości oświadczeń

W przypadku użycia tej akcji wszystkie wartości oświadczeń przychodzących dla określonego typu oświadczenia są przekazywane jako oświadczenia wychodzące. Na przykład jeśli typ oświadczenia przychodzącego jest określony jako typ oświadczenia roli, wszystkie wartości oświadczeń przychodzących są kopiowane pojedynczo do nowych wychodzących oświadczeń o typ oświadczenia wychodzącego w roli.

Filtrowanie oświadczenia

W usługach AD FS, termin oświadczeń filtrowanie sposób filtru lub ograniczyć przychodzące oświadczenia wartości tak, aby tylko niektóre wartości są przekazywane lub wysyłane przez jako wychodzących oświadczeń. Jest przekazuj lub Filtruj oświadczenie przychodzące szablonu reguły, która sprawia, że ta funkcja jest możliwe. W ramach właściwości tej reguły można ustawić warunki filtrowania wartości przychodzących, dzięki czemu tylko wartości spełniające określone kryteria są przekazywane za pośrednictwem.

Na przykład można użyć tej reguły do przekazywania tylko oświadczeń zgodnych z wartością nabywca, jeśli typ oświadczenia przychodzącego typ oświadczenia roli lub możesz chcieć wystawiać tylko oświadczenia dotyczące nazwy użytkownika, ale nie wystawiać oświadczeń zawierających numer PESEL użytkownika.

Używając warunku filtru z tą regułą wszystkie oświadczenia przychodzące są sprawdzane do ustalenia, jakie oświadczenia zgodne z kryteriami ustawionymi przez regułę. Wszystkie inne oświadczenia są ignorowane i przekazywane tylko określone wartości oświadczeń zgodne z typem wybranego oświadczenia.

Na przykład jak pokazano na poniższej ilustracji, gdy ustawiona jest reguła z warunkiem do filtru tylko przychodzące oświadczenia, które mają nazwę UPN oświadczenia typu, a także kończą się ciągiem @fabrikam.com, wszystkie oświadczenia przychodzące są ignorowane, chyba że spełniają te kryteria. Dotyczy to również oświadczenia przychodzącego o typie oświadczenia E-adres pocztowy nawet wtedy, gdy jego wartość oświadczenia kończy się @fabrikam.com. W takim przypadku do jednostki uzależnionej wysyłane jest tylko oświadczenie zawierające wartość Nick@fabrikam.com.

Kiedy należy używać przebiegu za pośrednictwem

Konfigurowanie tej reguły w zaufaniu dostawcy oświadczeń

Korzystając z zaufania dostawcy oświadczeń tę regułę można skonfigurować do przekazywania tylko przychodzące oświadczenia od dostawcy oświadczeń, które spełniają pewne ograniczenia. Na przykład można akceptować tylko e-poczty oświadczeń od dostawcy oświadczeń; w związku z tym, czy użyć tego szablonu reguły do akceptowania e-poczty oświadczenia, zakończone dostawcy oświadczeń Domain Name System (DNS) nazwy.

Konfigurowanie tej reguły w zaufaniu jednostki uzależnionej

Jeśli używasz zaufania jednostki uzależnionej, tej reguły można skonfigurować do przekazywania lub filtrować oświadczenia wychodzące, które będą wysyłane do jednostki uzależnionej. Niektóre jednostki uzależnione mogą nie rozumieć pewnych typów oświadczeń lub niektóre oświadczenia mogą zawierać poufne informacje, które nie powinny być przesyłane do niektórych jednostek uzależnionych. Ten szablon reguły może pomóc wymusić te zasady dla konkretnego zaufania jednostki uzależnionej.

Jak utworzyć tę regułę

Utworzenie tej reguły za pomocą zarówno w języku reguła oświadczenia lub przejście bezpośrednie lub Filtruj oświadczenie przychodzące szablonu reguły w przystawce usługi AD FS zarządzania-w. Ten szablon reguł udostępnia następujące opcje konfiguracji:

  • Określanie nazwy reguły oświadczeń

  • Określ typ oświadczenia przychodzącego

  • Przekazuj wszystkie wartości oświadczeń

  • Przekazuj tylko konkretną wartość oświadczenia

  • Przekazuj tylko wartości oświadczenia, które odpowiadają określonej e-wartość sufiksu poczty

  • Przekazuj tylko wartości oświadczeń rozpoczynające się od określonej wartości

Więcej instrukcje dotyczące sposobu tworzenia tego szablonu można znaleźć utworzyć regułę przekazuj lub Filtruj oświadczenie przychodzące w przewodniku wdrażania programu AD FS.

Przy użyciu języka reguł oświadczeń

Jeśli oświadczenia mają być wysyłane tylko wtedy, gdy wartość oświadczenia zgodna z wzorcem niestandardowym, należy użyć reguły niestandardowej. Aby uzyskać więcej informacji zobacz Kiedy używać reguły niestandardowej.

Przykłady sposobu konstruowania przekazywania lub filtrowania składni reguł

Prosta reguła filtrowania filtruje oświadczenia na podstawie jednej z właściwości opisanych powyżej. Na przykład Poniższa reguła będzie przekazywał wszystkie e-poczty oświadczenia:

c:[type == “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress”]  => issue(claim  = c);  

Filtry może być logicznie i-ed razem. Na przykład Poniższa reguła będzie akceptować wszystkie e-poczty oświadczenia o wartości johndoe@fabrikam.com:

c:[type == “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress”, value == “johndoe@fabrikam.com “]  => issue(claim  = c);  

W powyższych przykładach filtrów zawsze używany był operator równości. Język reguł oświadczeń obsługuje następujące operatory:

  • == - Jest równe (przypadku-poufne)

  • != - Nie jest równa (przypadku-poufne)

  • =~- Z wyrażeniem regularnym

  • !~ - Wyrażenie regularne nie-zgodne

Na przykład Poniższa reguła będzie akceptować wszystkie e-poczty oświadczenia nie są wystawione przez lokalny serwer federacyjny, które mają sufiks boeing.com:

c:[type == “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress”, value =~ “^.*@boeing\.com$” , issuer != “LOCAL AUTHORITY”]  => issue(claim  = c);  

Najlepsze rozwiązania w zakresie tworzenia reguł niestandardowych

Filtr można zastosować do co najmniej jednej właściwości każdego oświadczenia, zgodnie z opisem w poniższej tabeli.

Właściwość oświadczeniaOpis
TypTyp oświadczenia (zwykle reprezentowany jako identyfikatora Uri) odzwierciedla niejawne Umowę między partnerami w Federacji o jakiego rodzaju informacje jest przekazywany w oświadczenie. Na przykład oświadczenia typu http:\/\/schemas.xmlsoap.org\/ws\/2005\/05\/tożsamości\/oświadczeń\/AdresEmail będzie zawierać e-poczty adres użytkownika.
WartośćWartość oświadczenia. Na przykład oświadczenia typu http:\/\/schemas.xmlsoap.org\/ws\/2005\/05\/tożsamości\/oświadczeń\/AdresEmail może mieć wartość johndoe@fabrikam.com
ValueTypeValueType reprezentuje sposób informacji zawartych w wartości oświadczenia interpretowane. Zazwyczaj ValueType zostanie ustawiony na http:\/\/www.w3.org\/2001\/schematu XML#ciąg, ale wartość oświadczenia może zawierać dane zakodowane Base64Binary (na przykład obraz) lub daty, wartość logiczna i tak dalej.
WystawcyWystawca reprezentuje jednostkę, która jako ostatnia wystawiła oświadczenia dotyczące użytkownika. Jeśli oświadczenia są uzyskiwane na serwerze federacyjnym dostawcy oświadczeń wystawca wszystkich oświadczeń ma być ustawiony na "URZĄD LOKALNY". Jeśli oświadczenia zostały odebrane przez serwer federacyjny dostawcy federacyjnego, dzieje wystawca oświadczeń będzie ustawiony identyfikator dostawcy oświadczeń dostawcy oświadczeń, który podpisał token. W związku z tym podczas przetwarzania reguł dla oświadczeń otrzymanych od dostawcy oświadczeń wystawca wszystkich oświadczeń będzie można ustawić taką samą wartość. Podczas tworzenia reguł dla jednostki uzależnionej, właściwość wystawcy można odróżnić oświadczenia pochodzące od różnych dostawców oświadczeń.
Wystawca_oryginalnyTa właściwość oświadczenia informuje o serwerze federacyjnym, który wystawił oryginalne oświadczenie. Ponieważ właściwość wystawcy oświadczeń jest ustawiona na ostatni serwer federacyjny, który podpisał token, oryginalny wystawca jest użyteczny w scenariuszach, w których oświadczenie przeszło przez więcej niż jeden serwer federacyjny (, Jednostka uzależniona, która otrzymała token od serwera federacyjnego dostawcy może być na przykład zainteresowanych który użytkownik uwierzytelniony serwer federacyjny dostawcy oświadczeń)
WłaściwościOprócz pięciu opisanych powyżej właściwości Każde oświadczenie ma również zbiór właściwości, w którym można przechowywać nazwane właściwości. Te właściwości nie są serializowane w tokenie i sensu tylko do przekazywania informacji między składnikami potoku wystawiania oświadczeń w zasięgu pojedynczego serwera federacyjnego. Na przykład ustawienia właściwości podczas oświadczenia dostawcy reguły przetwarzania, a następnie odwołując się do niego w regułach jednostki uzależnionej.
© 2017 Microsoft