Determinare il tipo di modello di regola attestazioni da usare
Una parte importante della progettazione dell'infrastruttura Active Directory Federation Services (AD FS) consiste nel determinare il set completo di regole attestazioni, e quali modelli corrispondenti di regole attestazioni è consigliabile usare per crearle, per ogni partner che parteciperà alla federazione con l'organizzazione. È possibile creare regole usando i modelli di regola attestazioni nello snap-in Gestione di AD FS.
Ogni set di regole attestazioni che si configura può solo essere associato a una relazione di trust federativa. Ciò significa che non è possibile creare un set di regole in una relazione di trust e usarle per altre relazioni di trust nel Servizio federativo. In alternativa è possibile creare facilmente regole dai modelli di regole attestazione per aiutare a produrre più rapidamente un set di attestazioni concordate tra ogni partner federato e la propria organizzazione.
Per altre informazioni sulle regole e sui modelli di regola, vedere The Role of Claim Rules.
Prima di iniziare a determinare i tipi di modelli di regola attestazione che è consigliabile usare, considerare le domande seguenti:
Quali attestazioni verranno fornite dai provider di attestazioni attendibili?
Quali attestazioni di ogni provider di attestazioni si considerano attendibili?
Quali attestazioni sono richieste dalla relying party che considera attendibile questo Servizio federativo?
Quali attestazioni si è disposti a divulgare a ogni relying party?
Quali utenti devono avere accesso a ogni relying party?
Rispondendo a queste domande, sarà possibile pianificare una progettazione di regole attestazioni affidabile. Sarà anche possibile creare una semplice strategia di controllo delle autorizzazioni e degli accessi e aumentare l'efficienza del team di distribuzione durante l'implementazione.
La sezione successiva contiene informazioni sul tipo di modello di regola da selezionare per il proprio ambiente in base alle esigenze aziendali.
Tipi di modello di regola attestazioni
La tabella seguente descrive tutti i tipi di modelli di regola attestazioni che è possibile usare per creare regole con lo snap-in Gestione di AD FS e i vantaggi comportati dall'uso di un unico tipo di modello rispetto a un altro.
| Tipo di modello regola | Descrizione | Vantaggi | Svantaggi |
|---|---|---|---|
| Applicare la funzione di pass-through o di filtro a un'attestazione in ingresso | Consente di creare una regola per il pass-through di tutti i valori attestazione per un tipo di attestazione selezionato oppure per filtrare le attestazioni in base ai relativi valori, in modo che venga eseguito il pass-through solo di alcuni valori per un tipo di attestazione selezionato. Per altre informazioni, vedere When to Use a Pass Through or Filter Claim Rule. |
- Può essere usato per selezionare particolari attestazioni da accettare o emettere senza modifiche | - Non è possibile modificare il tipo e il valore dell'attestazione |
| Trasformare un'attestazione in ingresso | Consente di creare una regola che permette di selezionare un'attestazione in ingresso e mapparla a un diverso valore attestazione oppure mapparne il valore attestazione a un nuovo valore attestazione. Per altre informazioni, vedere When to Use a Transform Claim Rule. |
- Può essere usato per normalizzare i valori o i tipi di attestazione - Può sostituire un suffisso di posta elettronica di un'attestazione in ingresso |
- Le sostituzioni di stringa più complesse richiedono una regola personalizzata |
| Inviare attributi LDAP come attestazioni | Consente di creare una regola per la selezione degli attributi da un archivio attributi LDAP da inviare come attestazioni alla relying party. Per altre informazioni, vedere When to Use a Send LDAP Attributes as Claims Rule. |
- Può ottenere le attestazioni da qualsiasi archivio di attributi AD DS/AD LDS - È possibile emettere più attestazioni usando una singola regola |
- Prestazioni: lente in conseguenza alla ricerca dell'account - Non è possibile usare un filtro LDAP personalizzato per le query |
| Inviare l'appartenenza a un gruppo come attestazione | Consente di creare una regola che può inviare un tipo e un valore di attestazione specificati quando un utente è membro di un gruppo di sicurezza di Active Directory. Usando questa regola verrà inviata una singola richiesta in base al gruppo selezionato. Per altre informazioni, vedere When to Use a Send Group Membership as a Claim Rule. |
- Prestazioni elevate per il rilascio delle attestazioni basate su gruppo; nessuna ricerca dell'account | - L'utente deve essere un membro di un gruppo di Active Directory locale |
| Inviare attestazioni mediante una regola personalizzata | Consente di creare una regola personalizzata che fornirà opzioni più avanzate rispetto a un modello di regola standard. È possibile scrivere regole personalizzate con il linguaggio delle regole attestazioni di AD FS. Per altre informazioni, vedere When to Use a Custom Claim Rule. |
- Consente di ottenere le attestazioni da un archivio attributi SQL - Consente di specificare un filtro LDAP personalizzato - Consente di emettere un PPID - Può essere usato con un archivio attributi personalizzato - Consente di aggiungere attestazioni solo al set di attestazioni di input - Consente di inviare attestazioni in base a più attestazioni in ingresso |
- Più difficile da configurare: può essere necessario un periodo di addestramento per acquisire una conoscenza iniziale del linguaggio di regola attestazioni |
| Consentire o negare l'accesso agli utenti in base a un'attestazione in ingresso | Consente di creare una regola per consentire o negare l'accesso da parte degli utenti alla relying party, in base al tipo e al valore di un'attestazione in ingresso. Per altre informazioni, vedere When to Use an Authorization Claim Rule. |
- Semplifica il processo di autorizzazione | - Richiede di specificare un solo tipo di attestazione e un solo valore attestazione - Non supporta i criteri di ricerca per i valori attestazione |
| Consentire l'accesso a tutti gli utenti | Consente di creare una regola per permettere a tutti gli utenti di accedere alla relying party. Per altre informazioni, vedere When to Use an Authorization Claim Rule. |
- Semplice da configurare | - Meno sicuro dell'uso di un modello Consentire o negare l'accesso agli utenti in base a un'attestazione in ingresso |