Ermitteln des Typs der zu verwendenden Anspruchsregelvorlage
Ein wichtiger Teil des Entwurfs einer AD FS-Infrastruktur (Active Directory-Verbunddienste) ist das Bestimmen aller Anspruchsregeln für sämtliche Partner, die am Verbund mit Ihrer Organisation teilnehmen sowie der entsprechenden Anspruchsregelvorlagen, die Sie zu ihrer Erstellung verwenden müssen. Im Snap-In „Verwaltung“ für AD FS können Sie Anspruchsregeln mithilfe von Anspruchsregelvorlagen erstellen.
Jede Gruppe von Anspruchsregeln, die Sie konfigurieren, kann nur einer Verbundvertrauensstellung zugeordnet werden. Dies bedeutet, dass Sie keinen Regelsatz für eine Vertrauensstellung erstellen und diese für andere Vertrauensstellungen in Ihrem Verbunddienst verwenden können. Stattdessen können Sie Regeln problemlos anhand von Anspruchsregelvorlagen erstellen, um eine gewünschte Gruppe von Ansprüchen schneller zu generieren, die zwischen den einzelnen Verbundpartnern und Ihrer Organisation vereinbart wurden.
Weitere Informationen zu Regeln und Regelvorlagen finden Sie unter The Role of Claim Rules.
Bevor Sie beginnen, die Arten von Anspruchsregelvorlagen zu bestimmen, die verwendet werden sollten, stellen Sie sich die folgenden Fragen:
Welche Ansprüche werden von Ihren vertrauenswürdigen Anspruchsanbietern bereitgestellt?
Welchen Ansprüchen des jeweiligen Anspruchsanbieters vertrauen Sie?
Welche Ansprüche werden von den vertrauenden Seiten angefordert, die diesem Verbunddienst vertrauen?
Welche Ansprüche möchten Sie jeder vertrauenden Seite preisgeben?
Welche Benutzer sollen Zugriff auf jede vertrauende Seite haben?
Durch die Beantwortung dieser Fragen können Sie einen soliden Anspruchsregelentwurf planen. Außerdem können Sie eine überzeugende Autorisierungs- und Zugriffssteuerungsstrategie besser entwickeln und dem Bereitstellungsteam eine effizientere Einführung ermöglichen.
Im nächsten Abschnitt lernen Sie den Typ von Regelvorlagen kennen, den Sie für Ihre Umgebung basierend auf Ihren Geschäftsanforderungen auswählen müssen.
Typen von Anspruchsregelvorlagen
In der folgenden Tabelle werden alle Typen von Anspruchsregelvorlagen beschrieben, mit deren Hilfe Sie Regeln im Snap-In „Verwaltung“ für AD FS erstellen können. Außerdem lernen Sie die Vorteile der einzelnen Vorlagentypen im Vergleich mit anderen kennen.
| Regelvorlagentyp | BESCHREIBUNG | Vorteile | Nachteile |
|---|---|---|---|
| Eingehenden Anspruch weiterleiten oder filtern | Dient zum Erstellen einer Regel, die alle Anspruchswerte für einen ausgewählten Anspruchstyp weiterleitet oder Ansprüche basierend auf Anspruchswerten filtert, sodass nur bestimmte Anspruchswerte für einen ausgewählten Anspruchstyp weitergeleitet werden. Weitere Informationen finden Sie unter When to Use a Pass Through or Filter Claim Rule. |
– Kann verwendet werden, um auszuwählen, dass bestimmte Ansprüche akzeptiert oder unverändert ausgestellt werden | – Anspruchstyp und -wert können nicht geändert werden |
| Transformieren eines eingehenden Anspruchs | Dient zum Erstellen einer Regel, die einen eingehenden Anspruch auswählen und ihn einem anderen Anspruchstyp zuordnen kann. Außerdem kann der Anspruchswert einem neuen Anspruchswert zugeordnet werden. Weitere Informationen finden Sie unter When to Use a Transform Claim Rule. |
– Kann verwendet werden, um Anspruchstypen oder -werte zu normalisieren – Kann ein E-Mail-Suffix eines eingehenden Anspruchs ersetzen |
– Komplexere Zeichenfolgenersetzungen erfordern eine benutzerdefinierte Regel |
| LDAP-Attribute als Ansprüche senden | Dient zum Erstellen einer Regel, die Attribute in einem LDAP-Attributspeicher zum Senden als Ansprüche an die vertrauende Seite auswählt. Weitere Informationen finden Sie unter When to Use a Send LDAP Attributes as Claims Rule. |
– Kann Ansprüche aus beliebigen AD DS-/AD LDS-Attributspeichern beziehen – Mehrere Ansprüche können mithilfe einer einzigen Regel ausgestellt werden |
– Langsame Leistung als Folge der Kontosuche – Kann keinen benutzerdefinierten LDAP-Filter für Abfragen verwenden |
| Gruppenmitgliedschaft als Anspruch senden | Wird verwendet, um eine Regel zu erstellen, die einen angegebenen Anspruchstyp und -wert senden kann, wenn ein Benutzer Mitglied einer Active Directory-Sicherheitsgruppe ist. Wenn diese Regel verwendet wird, wird nur ein einzelner Anspruch auf Grundlage der ausgewählten Gruppe gesendet. Weitere Informationen finden Sie unter When to Use a Send Group Membership as a Claim Rule. |
– Schnelle Leistung beim Ausstellen von Gruppenansprüchen, keine Kontosuche | – Benutzer muss Mitglied der lokalen Active Directory-Gruppe sein |
| Senden von Ansprüchen mit benutzerdefinierter Regel | Wird verwendet, um eine benutzerdefinierte Regel zu erstellen, die mehr erweiterte Optionen als eine Standardregelvorlage bietet. Sie schreiben benutzerdefinierte Regeln mit der Anspruchsregelsprache von AD FS. Weitere Informationen finden Sie unter When to Use a Custom Claim Rule. |
– Kann verwendet werden, um Ansprüche aus einem SQL-Attributspeicher zu beziehen – Kann verwendet werden, um einen benutzerdefinierten LDAP-Filter anzugeben – Kann verwendet werden, um eine PPID auszustellen – Kann mit einem benutzerdefinierten Attributspeicher verwendet werden – Kann verwendet werden, um nur dem Eingangsanspruchssatz Ansprüche hinzuzufügen – Kann verwendet werden, um Ansprüche basierend auf mehr als einem eingehenden Anspruch zu senden |
– Schwieriger zu konfigurieren, da möglicherweise einige Zeit erforderlich ist, um sich mit Anspruchsregelsprache vertraut zu machen |
| Benutzer auf der Grundlage eines eingehenden Anspruchs zulassen oder verweigern | Wird verwendet, um eine Regel zu erstellen, die Benutzern den Zugriff auf die vertrauende Seite auf Grundlage von Typ und Wert eines eingehenden Anspruchs gewährt oder zu verweigert. Weitere Informationen finden Sie unter When to Use an Authorization Claim Rule. |
– Vereinfacht den Autorisierungsprozess | – Erfordert, dass nur ein Anspruchstyp und -wert angegeben werden muss – Unterstützt keine Mustervergleich für Anspruchswerte |
| Alle Benutzer zulassen | Wird verwendet, um eine Regel erstellen, die allen Benutzern den Zugriff auf die vertrauende Seite ermöglicht. Weitere Informationen finden Sie unter When to Use an Authorization Claim Rule. |
– Einfach zu konfigurieren | – Weniger sicher als die Vorlage „Benutzer auf der Grundlage eines eingehenden Anspruchs zulassen oder verweigern“ |