Condividi tramite


Determinare il tipo di modello di regola di attestazione da usare

Una parte importante della progettazione di un'infrastruttura di Active Directory Federation Services (AD FS) consiste nel determinare il set completo di regole di attestazione e i modelli di regola di attestazione corrispondenti da usare per crearle, per ogni partner che parteciperà alla federazione con la vostra organizzazione. You create rules by using claim rule templates in the AD FS Management snap-in.

Ogni set di regole di attestazione configurato può essere associato solo a un trust federato. Ciò significa che non è possibile creare un set di regole su un trust e usarle per altri trust nel servizio federativo. Instead you can easily create rules from claim rule templates to more quickly help produce a desired set of claims that are agreed upon between each federated partner and your organization.

Per ulteriori informazioni sulle regole e sui modelli di regola, vedere Il Ruolo delle Regole delle Attestazioni.

Prima di iniziare a determinare i tipi di modelli di regola di dichiarazione da usare, considerate le domande seguenti:

  • Quali attestazioni verranno fornite dai fornitori di attestazioni fidati?

  • Quali attestazioni sono considerate affidabili da ciascun fornitore di attestazioni?

  • Quali attestazioni sono richieste dalle parti fiduciarie che considerano attendibile questo servizio federativo?

  • Quali attestazioni sei disposto a divulgare a ogni parte affidabile?

  • Quali utenti devono avere accesso a ciascuna parte fidante?

Rispondere a queste domande aiuterà a pianificare una solida progettazione delle regole di rivendicazione. Consente inoltre di creare una strategia di autorizzazione e controllo di accesso uniforme e rendere il team di distribuzione più efficiente durante l'implementazione.

In questa sezione successiva è possibile ottenere informazioni sul tipo di modelli di regola da selezionare per l'ambiente in base alle esigenze aziendali.

Claim rule template types

Nella tabella seguente vengono descritti tutti i tipi di modelli di regole di attestazione che è possibile usare per creare regole tramite lo snap-in Gestione AD FS, e i vantaggi di usare un tipo di modello rispetto a un altro.

Tipo di modello di regola Descrizione Vantaggi Svantaggi
Pass Through or Filter an Incoming Claim Usato per creare una regola che consenta il passaggio di tutti i valori delle attestazioni per un tipo di attestazione selezionato o per filtrare le attestazioni in base ai valori specificati, in modo da permettere il passaggio solo di determinati valori per un tipo di attestazione scelto.

For more information, see When to Use a Pass Through or Filter Claim Rule.

- Può essere usato per selezionare determinate attestazioni da accettare o rilasciare senza modifiche - Impossibile modificare il tipo di attestazione e il valore
Transform an Incoming Claim Usato per creare una regola in grado di selezionare un'attestazione in ingresso ed eseguirne il mapping a un tipo di attestazione diverso o mapparne il valore di attestazione a un nuovo valore di attestazione.

For more information, see When to Use a Transform Claim Rule.

- Può essere usato per normalizzare i tipi di attestazione o i valori
- Può sostituire un suffisso di posta elettronica di un reclamo in arrivo
- Le sostituzioni di stringhe più complesse richiedono una regola personalizzata
Send LDAP Attributes as Claims Usato per creare una regola che selezionerà gli attributi da un archivio attributi LDAP da inviare come asserzioni alla parte fidata.

For more information, see When to Use a Send LDAP Attributes as Claims Rule.

- Can source claims from any AD DS/AD LDS attribute store
- È possibile emettere più attestazioni usando una singola regola
- Performance – slow as a result of account lookup
- Impossibile usare un filtro LDAP personalizzato per l'esecuzione di query
Inviare l'appartenenza a un gruppo come attestazione Consente di creare una regola in grado di inviare un tipo di attestazione e un valore specificati quando un utente è membro di un gruppo di sicurezza di Active Directory. Verrà inviata solo una singola attestazione usando questa regola, in base al gruppo selezionato.

For more information, see When to Use a Send Group Membership as a Claim Rule.

- Prestazioni rapide per l'emissione di richieste di risarcimento di gruppo - senza necessità di ricerca account - L'utente deve essere membro di un gruppo di Active Directory locale
Inviare attestazioni usando una regola personalizzata Usato per creare una regola personalizzata che fornirà opzioni più avanzate rispetto a un modello di regola standard. You write custom rules with the AD FS claim rule language.

Per ulteriori informazioni, vedere Quando usare una regola di dichiarazione personalizzata.

- Può essere usato per ottenere attestazioni da un archivio di attributi SQL
- Può essere usato per specificare un filtro LDAP personalizzato
- Può essere usato per emettere un PPID
- Può essere usato con un archivio di attributi personalizzato
- Can be used to add claims only to the input claim set
- Può essere usato per inviare attestazioni in base a più attestazioni in ingresso
- Più difficile da configurare - Potrebbe essere necessario un certo tempo di adattamento per acquisire inizialmente la conoscenza del linguaggio delle regole di attestazione
Consentire o negare agli utenti in base a un'attestazione in ingresso In base al tipo e al valore di una dichiarazione in ingresso, viene utilizzato per creare una regola che consentirà o negherà l'accesso degli utenti alla parte fidata.

For more information, see When to Use an Authorization Claim Rule.

- Semplifica il processo di autorizzazione - Richiede che venga specificato un solo tipo di attestazione e un solo valore di attestazione.
- Non supporta il pattern matching per i valori delle attestazioni
Consenti tutti gli utenti Used to create a rule that will permit all users to access the relying party.

For more information, see When to Use an Authorization Claim Rule.

- Semplice da configurare - Meno sicuro rispetto all'uso del modello Consenti o Nega utenti in base a un modello di attestazione in ingresso