Table of contents
TOC
Свернуть оглавление
Развернуть оглавление
Bill Mathers|Последнее обновление: 10.03.2017
|
1 Участник

Применимо к: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Когда следует использовать прохождения или утверждений правила фильтра

Вы можете использовать это правило в служб федерации Active Directory (AD FS) при необходимости определенный тип входящего утверждения, а затем применить действие, которое определяет, какие выходные данные должно происходить на основе значений в входящее утверждение. При использовании этого правила, можно передавать или отфильтровать любых требований, соответствующие правила логику в следующей таблице, любой из параметров, настроенных в правила на основе.

ПравилоЛогика правила
Передавать значения всех заявокЕсли значение равно входящий тип утверждений указан тип утверждений и значение равно любое значение, затем передайте утверждений через
Передавать только определенное значение утвержденияЕсли значение равно входящий тип утверждений указан тип утверждений и значение равно указано значение утверждения, затем передайте утверждений через
Передавать только утверждений значения, соответствующие определенной e-почта значение суффиксаЕсли значение равно входящий тип утверждений указан тип утверждений и значение равно указано значение суффикса, затем передайте утверждений через
Передавать только утверждений значения, которое начинается с конкретное значениеЕсли значение равно входящий тип утверждений указан тип утверждений и значение начинается с указано значение утверждения, затем передайте утверждений через

В следующих разделах приводятся основные сведения о утверждений правила и предоставлять дополнительные сведения об использовании этого правила.

О правилах утверждений

Правило утверждений представляет собой экземпляр бизнес-логики, который будет принимать входящие утверждения, примените к нему условие (Если x и y затем) и создавать исходящих утверждений, на основе параметров условия. В следующем списке контуров важные советы, которые необходимо знать о утверждений правила перед изучением далее в этом разделе:

  • В консоли управления AD FS-, утверждение правила можно создать только с помощью шаблонов правил утверждений

  • Процесс правила утверждений входящие утверждения либо непосредственно у поставщика утверждения (например Active Directory или другая служба федерации) или из результата принятие преобразования правила для доверия утверждения поставщика.

  • Правила утверждений обрабатываются механизмом выдачи утверждения в том порядке, в составе набора заданного правила. Задав приоритет правила, можно дополнительно уточнить и фильтровать утверждения, которые создаются предыдущие правила в составе набора заданного правила.

  • Шаблоны правил утверждения всегда необходимо задать входящий тип утверждений. Тем не менее могут обрабатывать несколько значений утверждений с одинаковым типом утверждений с помощью одного правила.

Более подробные сведения о правилах утверждение и утверждение наборов правил, см. в разделе роли Утверждение правила. Дополнительные сведения о том, как обрабатываются правила см. в разделе роль модуля утверждения. Как обрабатываются правила наборы заявок Дополнительные сведения см. в разделе роль конвейер заявок.

Передавать значения всех заявок

При использовании этого действия, все входные значения утверждений для указанного типа заявок передаются через как исходящие утверждения. Например при указании входящий тип утверждений как тип утверждений роли все входящие значения утверждений копируются по отдельности в новый исходящих утверждений с исходящий тип утверждений роли.

Фильтрация утверждений

В AD FS, термин утверждения фильтрации средств, чтобы отфильтровать или запретить входящего утверждений значения, чтобы только определенные значения переданного или отправляемые через как исходящие утверждения. Это пропустить или фильтр входящих утверждений правила шаблона, который делает возможным этой функции. В свойствах это правило можно задать условия для фильтрации входящих значений, чтобы передаются только значения, отвечающие указанным критериям.

Например можно использовать это правило только передавать утверждения, которые соответствуют значению утверждений покупателя при входящего утверждений соответствия типов тип утверждений роли или вам может потребоваться проблема только утверждений относительно имя пользователя, но не утверждения, содержащие номер социального страхования пользователя.

При использовании условие фильтра с помощью этого правила, чтобы определить, какие утверждения соответствует критериев, указанных в правиле проверяются все входящие утверждения. Все остальные претензии, игнорируются, чтобы пройти только значения указанного утверждения, которые соответствуют типу выбранного утверждений.

Например как показано на следующем рисунке при правило с условием фильтр только входящие утверждения, которые являются ключами в имя участника-Пользователя утверждение типа, а также заканчиваться @fabrikam.com, все входящие утверждения игнорируются, если они соответствуют этому критерию. Сюда входят входящее утверждение с тип утверждений E-даже если его значение утверждения заканчивается в @fabrikam.com адрес электронной почты. В этом случае только утверждение, содержащий значение Nick@fabrikam.com отправляются проверяющая сторона.

Когда следует использовать pass через

Настройка этого правила на доверие поставщика утверждения

При использовании поставщика доверия утверждения, это правило можно настроить, чтобы передавать только входящие утверждения поставщика заявок, соответствующих определенные ограничения. Например, может потребоваться принимать только e-почта заявок от поставщика заявок; Таким образом, этот шаблон правила следует использовать принять e-почта типы утверждений, которые заканчиваются на заявок поставщика доменных имен (DNS) имя.

Настройка этого правила на проверяющая сторона доверия

При использовании проверяющая сторона доверия, это правило можно настроить для пройти или фильтрации исходящих утверждения, которые будут отправляться проверяющая сторона. Возможно, некоторые проверяющих сторон не понимают определенные типы утверждений или определенные утверждения может содержать конфиденциальных данных, не будет отправлен в определенных проверяющих сторон. Этот шаблон правила поможет для этих политик для конкретного проверяющая сторона доверия.

Как создать правило

Создать правило с помощью языка правило утверждений или передать через или фильтровать входящие утверждений шаблона правила в консоли управления AD FS-в. Этот шаблон правила предоставляет следующие параметры:

  • Укажите имя правила утверждений

  • Укажите входящий тип утверждений

  • Передавать значения всех заявок

  • Передавать только определенное значение утверждения

  • Передавать только утверждений значения, соответствующие определенной e-почта значение суффикса

  • Передавать только утверждений значения, которое начинается с конкретное значение

Дополнительные инструкции о том, как создать этот шаблон создать правило, чтобы пройти через или фильтровать входящие утверждения в руководстве по развертыванию AD FS.

С помощью языка правило утверждений

Если претензия должны отправляться только в том случае, если значение утверждения соответствует пользовательский шаблон, необходимо использовать пользовательское правило. Дополнительные сведения см. в разделе Использование пользовательское правило.

Примеры как построить прохождения или синтаксис правила фильтра

Простое правило фильтрации бы фильтрация на основе одного из свойств, приведенных выше требований. Например, следующее правило будет проходить все e-почта утверждения:

c:[type == “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress”]  => issue(claim  = c);  

Фильтры могут быть логически и-Эд вместе. Например, следующее правило будет принимать все e-почта утверждения с johndoe@fabrikam.com значение:

c:[type == “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress”, value == “johndoe@fabrikam.com “]  => issue(claim  = c);  

В примерах выше фильтры всегда используется оператор равенства. Правила языка утверждений поддерживает следующие операторы:

  • == - равняется (случае-конфиденциальные)

  • != - не равно (случае-конфиденциальные)

  • =~- совпадения регулярного выражения

  • !~ - регулярное выражение не-соответствует

Например, следующее правило будет принимать все e-почта не выдан сервером локального федерации утверждения, которые имеют суффикс boeing.com:

c:[type == “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress”, value =~ “^.*@boeing\.com$” , issuer != “LOCAL AUTHORITY”]  => issue(claim  = c);  

Рекомендации по созданию пользовательских правил

Фильтр можно применять в одно или несколько свойств каждого утверждения, как описано в следующей таблице.

Свойство утвержденийОписание
ТипТип утверждений (обычно выражен Uri) отражает неявное соглашение между партнерами в федерации о какие сведения передается на утверждение. Например, утверждения HTTP-тип:\/\/schemas.xmlsoap.org\/ws\/2005\/05\/удостоверение\/утверждения\/emailaddress будет содержать e-почтовый адрес пользователя.
ЗначениеЗначение утверждения. Например, заявка http типа:\/\/schemas.xmlsoap.org\/ws\/2005\/05\/удостоверение\/утверждения\/emailaddress может иметь значение johndoe@fabrikam.com
ValueTypeValueType представляет как сведения, содержащиеся в значение утверждения интерпретируются. Обычно ValueType устанавливается на http:\/\/www.w3.org\/2001\/XMLSchema#строки, но значение утверждения может содержать данные Base64Binary закодирован (, например изображения) или дату, Boolean и т. д.
ИздательПоставщик представляет лица, последнего выпустившего заявок о пользователе. Если утверждения получаются на сервер поставщика федерации утверждения издателя всех заявок будет должно быть задано значение «ЛОКАЛЬНЫЙ АДМИНИСТРАТОР». Сервер федерации поставщика федерации были получены заявок, поставщик заявок будет значение идентификатор поставщика утверждений поставщика утверждения с подписью маркер. Таким образом при обработке правила для утверждения, полученные от поставщика утверждения издателя всех заявок будет установить то же значение. При создании правил для проверяющая сторона, свойство issuer используются для различения заявок, происходящие из разных заявок поставщиков.
OriginalIssuerЭто свойство утверждений предназначен для обозначения того, какой сервер федерации выпущенное утверждение. Поскольку поставщика заявок задано свойство к последнему сервер федерации, который подписан маркер, поставщиком полезен в сценариях, где претензию перетекал через несколько сервер федерации (например, проверяющая сторона, получает маркер от поставщика федерации федерации сервера может быть заинтересован какой конкретной утверждения сервер федерации поставщика проверку подлинности пользователя)
СвойстваПомимо пять свойств, приведенных выше каждой заявки также предоставляет хранения именованных свойств контейнера свойств. Эти свойства не сериализуется в маркер и смысл только для передачи данных между компонентами конвейера выдачи утверждения в рамках одного федерации сервера. Например изменение значения свойства во время утверждения поставщика правила обработки, а затем установить ссылку на него в правилах проверяющая сторона.
© 2017 Microsoft