Table of contents
TOC
Fechar a tabela de conteúdos
Expandir a tabela de conteúdos
Bill Mathers|Última Atualização: 10/03/2017
|
1 Contribuinte

Aplica-se a: Windows Server de 2016, Windows Server 2012 R2, Windows Server 2012

Quando utilizar uma regra de reclamação transformar

Pode utilizar esta regra nos serviços de Federação do Active Directory (AD FS) quando tiver um tipo de reclamação de entrada no mapa para um tipo de reclamação de envio e, em seguida, aplique uma ação que irá determinar que saída deve ocorrer com base nos valores que teve origem na declaração de entrada. Quando utilizar esta regra, que passagem ou transformar reclamações que correspondem à lógica de regra a seguir, com base em qualquer uma das opções configuradas na regra, conforme descrito na tabela seguinte.

Opção de regraLógica regra
Passar por todas as ações de entradaSe for igual ao tipo de reclamação de entrada especificada reclamação tipo e o valor igual a qualquer valor, em seguida, passar a reclamação através com o envio reclamação tipo produz especificada reclamação tipo
Substituir um valor reclamação recebida com um valor diferente de reclamação de envioSe for igual ao tipo de reclamação de entrada especificada reclamação tipo e o valor igual a reclamação valor especificado, transformar, em seguida, a reclamação com o novo valor reclamação envio reclamação valor especificado e com o envio da declaração tipo especificada reclamação tipo
Substituir recebida e-mail reclamações sufixo com um novo e-sufixo mailSe for igual ao tipo de reclamação recebidas especificada reclamação tipo e o valor igual a um valor de sufixo, transformar, em seguida, a reclamação com o novo valor reclamação envio sufixo valor especificado e com o envio da declaração tipo especificada reclamação tipo

As secções seguintes fornecem uma introdução básica para regras da declaração e fornecer mais detalhes sobre quando utilizar esta regra.

Sobre as regras de reclamação

Uma regra reclamação representa uma instância da lógica de negócios que irá demorar uma reclamação recebida, aplique uma condição de (se x y, em seguida,) e produzir uma declaração de com base nos parâmetros de condição de saída. A seguinte lista de esquemas sugestões que o que deve saber sobre afirmam regras antes de ler mais importantes neste tópico:

  • No snap do AD FS gestão-, afirmam regras apenas podem ser criadas com modelos de regra reclamação

  • Processo de regras reclamação recebidas declarações de qualquer uma diretamente a partir de um fornecedor de reclamações (como do Active Directory ou outro serviço de Federação) ou da saída da aceitação transformar as regras sobre uma relação de confiança do fornecedor de reclamações.

  • Regras de reclamação são processadas pelo mecanismo de emissão de reclamações por ordem cronológica dentro de um conjunto de determinada regra. Através da configuração do precedência em regras, pode ainda mais refinar ou filtrar reclamações que são geradas pelo regras anteriores dentro de um conjunto de determinada regra.

  • Modelos de regra reclamação sempre exige que especificar um tipo de reclamação de entrada. No entanto, pode processar as várias reclamação valores com o mesmo tipo de reclamação utilizando uma única regra.

Para obter informações sobre declaração e reclamação conjuntos de regras mais detalhadas, consulte a função de afirmam regras. Para mais informações sobre como as regras são processadas, consulte a função do mecanismo de reclamações de. Para mais informações como os conjuntos de regra reclamação são processados, consulte a função do Pipeline de reclamações.

Passar por todos os valores de reclamação

Quando utilizar esta ação, todos os valores reclamação recebidas que são mapeados para um tipo específico de reclamação recebidas são mapeados para um tipo específico de reclamação de envio antes de serem enviados como ações efetuadas num tokens assinadas pelo seu serviço de Federação.

Por exemplo, quando uma regra estiver definida com a Pass através de todos os valores da declaração opção lógica e a entrada afirmam tipo de grupo e o tipo de reclamação de envio de função é especificado, todos os valores reclamação recebidas passar de emissor são copiados individualmente para reclamações de envio novo com o tipo de reclamação de função.

Transformar uma reclamação

No AD FS, o termo declarações de transformação significa para substituir uma entrada com um valor diferente de reclamação de envio da declaração. É a transformar uma regra reclamação recebidas que possibilita a esta função. Dentro das propriedades desta regra, pode definir as condições para transformar valores recebidas com um valor reclamação envio diferentes consoante o tipo de reclamação recebidas especificado.

Por exemplo, conforme é mostrado na seguinte ilustração, quando uma regra estiver definida com a condição de substituir um valor de entrada com um valor diferente de reclamação de envio, todos os tipos de reclamação recebidas de grupo são mapeados para novos tipos de reclamação de envio de função. Neste caso, o valor reclamação recebidas de comprador é substituído com o novo valor reclamação de envio de administrador.

Quando utilizar uma transformação

Também pode utilizar esta regra para aplicar uma condição que irá substituir todas as ações recebidas com um especificado e-mail valor sufixo com um valor novo. Por exemplo, você pode definir uma condição nesta regra para alterar a todos os valores de reclamação com o sufixo de sales.corp.fabrikam.com para fabrikam.com.

Configurar esta regra uma relação de confiança do fornecedor de reclamações

Quando utiliza uma fornecedor de reclamações confiança, esta regra pode ser configurada para transformar as declarações de entrada do fornecedor de reclamações numa equivalentes confiáveis. Tipos de declaração ou afirmam valores podem ter um significado diferente na sua organização do que nas organizações de fornecedor de reclamações. Pode utilizar esta regra normalizar os tipos de reclamação e os valores que são provenientes do fornecedor de reclamações para que os seus equivalentes reclamação envio podem ser compreendidos pela terceira parte.

Configurar uma relação de confiança parte confiante esta regra

Quando utiliza uma relação de confiança terceira parte, esta regra pode ser configurada para transformar ações judiciais pela terceira parte específica. Tipos de declaração ou valores podem ter um significado diferente para uma parte específica confiante e esta regra permite realizar para poder alterar os tipos de reclamação envio e os valores de uma única terceira parte da declaração.

Como criar esta regra

Criar esta regra utilizando qualquer um dos idiomas a reclamação regra ou utilizando o transformar uma declaração recebidas modelo regra no snap do AD FS gestão-no. Esse modelo de regra fornece as seguintes opções de configuração:

  • Especifique um nome de regra reclamação

  • Transformar um tipo específico de reclamação de entrada para um tipo específico de reclamação de envio

  • Passar por todos os valores de reclamação

  • Substituir um valor reclamação recebida com um valor diferente de reclamação de envio

  • Substituir recebida e-mail reclamações sufixo com um novo e-sufixo mail

Para obter mais instruções sobre como criar este modelo, consulte criar uma regra para transformar uma reclamação recebidas no guia de implementação do AD FS.

Utilizando a linguagem de regra reclamação

Se a declaração de saída deve ser construída de conteúdo mais do que uma reclamação recebidas, tem de utilizar uma regra personalizada em seu lugar. Se o valor da declaração da declaração de envio de deve basear-se no valor da matéria da reclamação recebida — mas com conteúdo adicional, também tem de utilizar uma regra personalizada no contexto. Para mais informações, consulte quando utilizar uma regra de reclamação personalizada.

Exemplos de como a construir uma transformação regra sintaxe

Quando utilizar a sintaxe do idioma regra reclamação para transformar ações judiciais, é possível definir uma propriedade da matéria da reclamação transformada para um novo valor literal. Por exemplo, a regra a seguir altera o valor de reclamações de função de "Administradores" para "raiz" enquanto mantém o mesmo tipo de reclamação:

c:[type == “http://schemas.microsoft.com/ws/2008/06/identity/claims/role”, value == “Administrators”]  => issue(type = c.type, value = “root”);  

Expressões regulares também podem ser utilizadas para as transformações reclamação. Por exemplo, a regra a seguir irá definir o domínio no reclamações de nome de utilizador do windows no DOMÍNIO\formato de UTILIZADOR fabricam:

c:[type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"] => issue(type = c.type, value = regexreplace(c.value, "(?<domain>[^\\]+)\\(?<user>.+)", "FABRIKAM\${user}"));  

Melhores práticas para a criação de regras personalizadas

As ações judiciais transformações podem ser aplicadas seletivamente às ações judiciais selecionadas utilizar funções básicas de filtragem. Cada uma das propriedades reclamação utilizadas para filtrar a pode ser atribuída valores, com as seguintes condições:

Direitos de propriedade reclamaçãoDescrição
Tipo, valor, ValueTypeEstas propriedades serão mais frequentemente utilizadas para atribuições. O tipo e valor muito menos deve ser especificada para a ação transformada resultante.
EmissorEnquanto o idioma de regra reclamação permite definir o emissor de uma reclamação, isso geralmente não é aconselhável. Emissor de uma reclamação não é serializado no token. Ao receber um token a propriedade emissor de todas as ações está definida para o identificador do servidor de Federação assinado o token. Assim, definição emissor de uma reclamação nas regras de não tem efeito sobre o conteúdo do token e a definição serão perdida depois da declaração de pacote é criada de um token. O cenário único onde definição emissor de uma reclamação fazer sentido é se este está definido para um valor específico na terceira regra de terceiros conjunto é criado com as regras que este valor específico de referência e reclamações fornecedor regra conjunto. Se a propriedade emissor explicitamente não está definida como um valor na regra reclamação que define o motor de emissão reclamações-lo para "AUTORIDADE LOCAL".
OriginalIssuerDa mesma forma para emissor, OriginalIssuer geralmente não deve ser explicitamente atribuído um valor. Ao contrário dos emissor, a propriedade OriginalIssuer é serializada no token, mas a expectativa de consumidores tokens é que, se definir, contenha o identificador do servidor de federação que emitiu originalmente uma reclamação.
PropriedadesConforme descrito na secção anterior, o Saco de propriedade relativamente a uma reclamação não é mantido no token, para que atribuições de propriedades só devem ser feitas se subsequentes políticas locais antes das informações armazenadas na propriedade de referência.

Para mais informações sobre como utilizar o idioma de regra reclamação, consulte a função do idioma regra afirmam.

© 2017 Microsoft