Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La fonction globale du service de fédération dans les services de fédération Active Directory (AD FS) consiste à émettre un jeton qui contient un ensemble de revendications. La décision concernant les revendications qu’AD FS accepte, puis les questions sont régies par les règles de revendication.
Qu’est-ce que les règles de revendication ?
Une règle de revendication représente une instance de logique métier qui prendra une ou plusieurs revendications entrantes, appliquez des conditions à celles-ci (si x puis y) et produisez une ou plusieurs revendications sortantes en fonction des paramètres de condition. Pour plus d’informations sur les revendications entrantes et sortantes, consultez Le rôle des revendications.
Vous utilisez des règles de revendication lorsque vous devez implémenter une logique métier qui contrôle le flux des revendications via le pipeline de revendications. Bien que la chaîne des demandes soit davantage un concept logique du processus de bout en bout pour le flux de demandes, les règles de demande sont un véritable élément administratif que vous pouvez utiliser pour personnaliser le flux de demandes dans le processus d’émission de demandes.
Pour plus d’informations sur le pipeline de revendications, consultez Le rôle du moteur de revendications.
Les règles de revendication offrent les avantages suivants :
Fournir un mécanisme permettant aux administrateurs d’appliquer la logique métier d’exécution pour approuver les revendications des fournisseurs de revendications
Fournir un mécanisme permettant aux administrateurs de définir les revendications qui sont publiées aux parties de confiance
Fournir des fonctionnalités d’autorisation basées sur des revendications enrichies et détaillées aux administrateurs qui souhaitent autoriser ou refuser l’accès à des utilisateurs spécifiques
Comment les règles de réclamation sont traitées
Claim rules are processed through the claims pipeline using the claims engine. Le moteur de revendications est un composant logique du service de fédération qui examine le jeu des revendications entrantes présenté par un utilisateur, puis, en fonction de la logique de chaque règle, produit un jeu de revendications de sortie.
Ensemble, le moteur de règle de revendications et l’ensemble de règles de revendication associées à une approbation fédérée donnée déterminent si les revendications entrantes doivent être transmises comme elles le sont, filtrées pour répondre aux critères d’une condition spécifique ou transformées en un ensemble entièrement nouveau de revendications avant qu’elles ne soient émises en tant que revendications sortantes par votre service de fédération.
Pour plus d’informations sur ce processus, consultez Le rôle du moteur de revendications.
Qu’est-ce que les modèles de règle de revendication ?
AD FS inclut un ensemble prédéfini de modèles de règles de revendication conçus pour vous aider à sélectionner et à créer facilement les règles de revendication les plus appropriées pour votre entreprise en particulier. Les modèles de règle de revendication sont utilisés uniquement pendant le processus de création de règle de revendication.
Dans le composant logiciel enfichable de gestion, les règles de revendication peuvent uniquement être créées à l’aide de modèles de règles de revendication. Une fois que vous avez utilisé le composant logiciel enfichable pour sélectionner un modèle de règle de revendication, entrez les données nécessaires pour la logique de règle et enregistrez-la dans la base de données de configuration, elle sera (à partir de ce stade) référencée dans l’interface utilisateur en tant que règle de revendication.
Fonctionnement des modèles de règle de revendication
À première vue, les modèles de règles de réclamation semblent être simplement des formulaires d’entrée fournis par le composant logiciel enfichable pour collecter des données et traiter une logique spécifique sur les réclamations entrantes. Toutefois, à un niveau beaucoup plus détaillé, les modèles de règle de revendication stockent l’infrastructure de langage de règle de revendication nécessaire qui composent la logique de base nécessaire pour vous permettre de créer rapidement une règle sans avoir à connaître la langue intimement.
Chaque modèle fourni dans l’interface utilisateur représente une syntaxe de langage de règle de revendication préremplie, en fonction des tâches administratives les plus couramment requises. Toutefois, il existe un modèle de règle, c’est-à-dire l’exception. Ce modèle est appelé modèle de règle personnalisée. Avec ce modèle, aucune syntaxe n’est préremplie. Au lieu de cela, vous devez créer directement la syntaxe du langage de règle de revendication dans le corps du formulaire de modèle de règle de revendication à l’aide de la syntaxe du langage de règle de revendication.
Pour plus d’informations sur l’utilisation de la syntaxe du langage de règle de revendication, consultez Le rôle du langage de règle de revendication dans le Guide de déploiement AD FS.
Tip
Vous pouvez afficher le langage d'une règle de revendication à tout moment en cliquant sur le bouton Afficher le langage de la règle dans les propriétés d’une règle de revendication.
Création d’une règle de revendication
Les règles de demande sont créées séparément pour chaque relation de confiance fédérée au sein du Service de fédération et ne sont pas partagées entre plusieurs relations de confiance. Vous pouvez créer une règle à partir d’un modèle de règle de revendication, commencer à partir de zéro en créant la règle à l’aide du langage de règle de revendication ou en utilisant Windows PowerShell pour personnaliser une règle.
Toutes ces options coexistent pour vous offrir la flexibilité de choisir la méthode appropriée pour un scénario donné. Pour plus d’informations sur la création d’une règle de revendication, consultez Le Guide de configuration des règles de revendication dans le Guide ad FSDeployment.
Utilisation de modèles de règle de revendication
Les modèles de règle de revendication sont utilisés uniquement pendant le processus de création de règle de revendication. Vous pouvez utiliser l’un des modèles suivants pour créer une règle de revendication :
Passer ou filtrer une revendication entrante
Transformer une revendication entrante
Envoyer des attributs LDAP en tant que revendications
Envoyer l’appartenance au groupe en tant que revendication
Envoyer des revendications à l’aide d’une règle personnalisée
Autoriser ou refuser des utilisateurs en fonction d’une revendication entrante
Autoriser tous les utilisateurs
Pour plus d’informations décrivant chacun de ces modèles de règle de revendication, consultez Déterminer le type de modèle de règle de revendication à utiliser.
Utilisation du langage des règles de revendication
Pour les règles métier qui dépassent l’étendue des modèles de règle de revendication standard, vous pouvez utiliser un modèle de règle personnalisé pour exprimer une série de conditions logiques complexes à l’aide du langage de règle de revendication. Pour plus d’informations sur l’utilisation d’une règle personnalisée, consultez Quand utiliser une règle de revendication personnalisée.
Utilisation de Windows PowerShell
Vous pouvez également utiliser l’objet d’applet de commande ADFSClaimRuleSet avec Windows PowerShell pour créer ou administrer des règles dans AD FS. Pour plus d’informations sur l’utilisation de Windows PowerShell avec cette applet de commande, consultez Administration AD FS avec Windows PowerShell.
Qu’est-ce qu’un ensemble de règles de revendication ?
Comme illustré dans l’illustration suivante, un ensemble de règles de revendication est un regroupement d’une ou plusieurs règles pour une approbation fédérée donnée qui définit la façon dont les revendications seront traitées par le moteur de règles de revendications. Lorsqu’une revendication entrante est reçue par le service de fédération, le moteur de règle de revendication applique la logique spécifiée par le jeu de règles de revendication approprié. Il s’agit de la somme finale de la logique de chaque règle de l’ensemble qui déterminera la façon dont les réclamations seront émises pour une confiance donnée dans son intégralité.
Les règles de revendication sont traitées par le moteur de revendications dans l’ordre chronologique dans un ensemble de règles donné. Cet ordre est important, car la sortie d’une règle peut être utilisée comme entrée de la règle suivante dans l’ensemble.
Qu’est-ce que les types d’ensembles de règles de revendication ?
Un type de jeu de règles de revendication est un segment logique d’une approbation fédérée qui détermine si le jeu de règles de revendication associé à l’approbation sera utilisé pour l’émission, l’autorisation ou l’acceptation des revendications. Chaque relation de confiance fédérée peut avoir un ou plusieurs types de jeux de règles de revendication associés, en fonction du type de relation de confiance utilisé.
Le tableau suivant décrit les différents types de jeux de règles de revendication et explique la relation de ce type de jeu avec une approbation du fournisseur de revendications ou de la partie de confiance.
Type de jeu de règles de revendication | Description | Used on |
---|---|---|
Jeu de règles de transformation d’acceptation | Ensemble de règles de réclamation que vous utilisez sur une relation de confiance pour fournisseur de réclamations particulière afin de spécifier les réclamations entrantes qui seront acceptées par l'organisation du fournisseur de réclamations et les réclamations sortantes qui seront envoyées à la partie de confiance réceptrice. Les assertions entrantes qui seront utilisées pour alimenter cet ensemble de règles sont celles qui sont issues du jeu de règles de transformation d'émission, comme spécifié dans l'organisation du fournisseur d'assertions. By default, the claims provider trust node contains a claim provider trust named Active Directory which is used to represent the source attribute store for the acceptance transform rule set. Cet objet d’approbation est utilisé pour représenter la connexion de votre service de fédération à une base de données Active Directory sur votre réseau. Cette approbation par défaut est ce qui traite les revendications des utilisateurs qui ont été authentifiés par Active Directory et qui ne peuvent pas être supprimées. |
Approbations du fournisseur de revendications |
Jeu de règles de transformation d’émission | Jeu de règles de revendication que vous utilisez sur une approbation de la partie de confiance pour spécifier les revendications qui seront émises vers la partie de confiance. Les revendications entrantes qui seront utilisées pour sourcer cet ensemble de règles seront initialement les revendications qui sont générées par les règles de transformation d’acceptation. |
Approbations de partie de confiance |
Ensemble de règles d’autorisation d’émission | Jeu de règles de revendication que vous utilisez sur une approbation de la partie de confiance pour spécifier les utilisateurs qui seront autorisés à recevoir un jeton pour la partie de confiance. Ces règles déterminent si un utilisateur peut recevoir des revendications pour une partie de confiance et, par conséquent, accéder à la partie de confiance. Sauf si vous spécifiez une règle d’autorisation d’émission, tous les utilisateurs sont refusés par défaut. |
Approbations de partie de confiance |
Ensemble de règles d’autorisation de délégation | Jeu de règles de revendication que vous utilisez sur une approbation de la partie de confiance pour spécifier les utilisateurs qui seront autorisés à agir comme délégués au nom d’autres utilisateurs pour la partie de confiance. Ces règles déterminent si le demandeur est autorisé à se faire passer pour un utilisateur tout en identifiant le demandeur dans le jeton envoyé à la partie de confiance. Sauf si vous spécifiez une règle d’autorisation de délégation, aucun utilisateur ne peut agir en tant que délégués par défaut. |
Approbations de partie de confiance |
Jeu de règles d’autorisation de substitution d’identité | Ensemble de règles de revendication que vous configurez à l’aide de Windows PowerShell pour déterminer si un utilisateur peut se faire passer intégralement pour un autre utilisateur vis-à-vis de la partie de confiance. Ces règles déterminent si le demandeur est autorisé à se faire passer pour un utilisateur sans identifier le demandeur dans le jeton envoyé à la partie confiante. L’usurpation d’identité d’un autre utilisateur de cette manière est une capacité très puissante, car le tiers de confiance ne saura pas que l’utilisateur est usurpé. |
Approbation de partie de confiance |
Pour plus d’informations sur la sélection des règles de revendication appropriées à utiliser dans votre organisation, consultez Déterminer le type de modèle de règle de revendication à utiliser.