Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La funzione complessiva del servizio federativo in Active Directory Federation Services (AD FS) consiste nel rilasciare un token che contiene un set di attestazioni. La decisione relativa alle attestazioni accettate da AD FS e quindi emesse è disciplinata dalle regole di attestazione.
Che cosa sono le regole dei reclami?
Una regola di attestazione rappresenta un'istanza della logica aziendale che accetta una o più attestazioni in ingresso, applica le condizioni (se x allora y) e produce una o più attestazioni in uscita in base ai parametri della condizione. Per altre informazioni sulle attestazioni in ingresso e in uscita, vedere Ruolo delle attestazioni.
Le regole di attestazione vengono usate quando è necessario implementare la logica aziendale che controlla il flusso delle attestazioni tramite la pipeline di attestazioni. Sebbene la pipeline di attestazioni sia più un concetto logico del processo end-to-end per il flusso delle attestazioni, le regole di attestazione sono un elemento amministrativo effettivo che è possibile utilizzare per personalizzare il flusso di attestazioni tramite il processo di rilascio delle attestazioni.
Per ulteriori informazioni sulla pipeline delle richieste, vedere Il ruolo del motore delle richieste.
Le regole attestazioni offrono i vantaggi seguenti:
Fornire un meccanismo per gli amministratori per applicare la logica di business in fase di esecuzione per considerare attendibili le attestazioni dai provider di attestazioni
Fornire un meccanismo che consenta agli amministratori di definire quali attestazioni vengono rilasciate alle parti fiduciarie.
Offrire funzionalità avanzate e dettagliate di autorizzazione basata sulle attestazioni agli amministratori che vogliono consentire o negare l'accesso a utenti specifici
Elaborazione delle regole delle attestazioni
Le regole delle attestazioni vengono elaborate attraverso la pipeline delle attestazioni usando il motore di attestazioni. Il motore delle attestazioni è un componente logico del servizio federativo che esamina il set di attestazioni in ingresso presentate da un utente e quindi, a seconda della logica in ogni regola, produce un set di attestazioni in uscita.
Insieme, il motore di regole di attestazioni e il set di regole di attestazioni associate a un determinato trust federato determinano se le attestazioni in ingresso devono essere passate così come sono, filtrate per soddisfare i criteri di una condizione specifica o trasformate in un set completamente nuovo di attestazioni prima che vengano rilasciate come attestazioni in uscita dal servizio federativo.
Per altre informazioni su questo processo, vedere Ruolo del motore di attestazioni.
Che cosa sono i modelli di regole di attestazione?
AD FS include un set predefinito di modelli di regole di attestazione progettati per agevolare la selezione e la creazione delle regole di attestazione più appropriate per le esigenze aziendali specifiche. I modelli di regole per le attestazioni vengono usati solo durante il processo di creazione delle regole.
Nello snap-in di gestione di AD FS, le regole possono essere create solo utilizzando modelli di regola di attestazione. Dopo aver utilizzato lo snap-in per selezionare un modello di regola di attestazione, inserire i dati necessari per la logica della regola e salvarli nel database di configurazione. Da quel momento in poi, la regola sarà indicata nell'interfaccia utente come regola di attestazione.
Funzionamento dei modelli di regola per le attestazioni
A prima vista, i modelli di regole di attestazione sembrano essere semplici moduli di input forniti dallo snap-in per raccogliere dati ed elaborare logica specifica sulle richieste in entrata. Tuttavia, a un livello molto più dettagliato, i modelli di regole di attestazione archiviano il framework necessario del linguaggio delle regole di attestazione che costituisce la logica fondamentale per creare rapidamente una regola senza dover conoscere a fondo il linguaggio.
Ogni modello fornito nell'interfaccia utente rappresenta una sintassi precompilata del linguaggio delle regole delle attestazioni, basata sulle attività amministrative più comunemente richieste. Esiste tuttavia un modello di regola, ovvero l'eccezione. Questo modello viene definito modello di regola personalizzato. Con questo modello, non viene prepopolata alcuna sintassi. È invece necessario creare direttamente la sintassi del linguaggio delle regole attestazioni nel corpo del modulo del modello di regola attestazione usando la sintassi del linguaggio delle regole attestazioni.
Per altre informazioni su come usare la sintassi del linguaggio delle regole attestazioni, vedere Ruolo del linguaggio delle regole attestazioni nella Guida alla distribuzione di AD FS.
Suggerimento
È possibile visualizzare il linguaggio della regola di attestazione associato a una regola in qualsiasi momento facendo clic sul pulsante Visualizza linguaggio della regola nelle proprietà di una regola di attestazione.
Come creare una regola di rivendicazione
Le regole delle attestazioni vengono create separatamente per ogni relazione fideicommissaria federata all'interno del servizio federativo e non vengono condivise tra più fiduciarie. È possibile creare una regola da un modello di regola dell'attestazione, iniziando da zero creando la regola usando il linguaggio delle regole dell'attestazione, oppure personalizzare una regola usando Windows PowerShell.
Tutte queste opzioni coesistono per offrire la flessibilità necessaria per scegliere il metodo appropriato per uno scenario specifico. Per altre informazioni su come creare una regola di attestazione, vedere Configurazione delle regole di attestazione nella Guida alla distribuzione di AD FSDeployment.
Uso dei modelli di regola di attestazione
I modelli di regole per le attestazioni vengono usati solo durante il processo di creazione delle regole. Per creare una regola attestazione, è possibile usare uno dei modelli seguenti:
Trasmettere o filtrare un'attestazione in ingresso
Trasformare una richiesta in ingresso
Inviare attributi LDAP come asserzioni
Inviare l'appartenenza a un gruppo come attestazione
Inviare attestazioni usando una regola personalizzata
Consentire o negare agli utenti in base a un'attestazione in ingresso
Consenti tutti gli utenti
Per altre informazioni che descrivono ognuno di questi modelli di regola attestazione, vedere Determinare il tipo di modello di regola attestazione da usare.
Uso del linguaggio delle regole delle attestazioni
Per le regole aziendali che esulano dall'ambito dei modelli di regole di attestazione standard, si possono utilizzare modelli di regole personalizzate per esprimere una serie di condizioni logiche complesse usando il linguaggio delle regole di attestazione. Per altre informazioni sull'uso di una regola personalizzata, vedere Quando usare una regola di dichiarazione personalizzata.
Utilizzo di Windows PowerShell
È anche possibile usare l'oggetto cmdlet ADFSClaimRuleSet con Windows PowerShell per creare o amministrare regole in AD FS. Per altre informazioni su come usare Windows PowerShell con questo cmdlet, vedere Amministrazione di AD FS con Windows PowerShell.
Che cos'è un insieme di regole di attestazione?
Come illustrato nella figura seguente, un set di regole attestazioni è un raggruppamento di una o più regole per un determinato trust federato che definirà il modo in cui le attestazioni verranno elaborate dal motore delle regole delle attestazioni. Quando un'attestazione in ingresso viene ricevuta dal Servizio di Federazione, il motore delle regole di attestazione applica la logica specificata dal set di regole di attestazione appropriato. È il risultato finale della logica di ciascuna regola nel set che determinerà il modo in cui le richieste verranno rilasciate per un determinato trust nel suo complesso.
Le regole delle attestazioni vengono elaborate dal motore delle attestazioni in ordine cronologico all'interno di un dato set di regole. Questo ordine è importante, perché l'output di una regola può essere usato come input per la regola successiva nel set.
Che cosa sono i tipi di set di regole per le attestazioni?
Un tipo di set di regole per le attestazioni è un segmento logico di un trust federato, che identifica in modo categorico se il set di regole per le attestazioni associato al trust verrà usato per il rilascio di attestazioni, l'autorizzazione o l'accettazione. A ogni trust federato possono essere associati uno o più tipi di set di regole per attestazioni, a seconda del tipo di trust utilizzato.
La tabella seguente descrive i vari tipi di set di regole di attestazioni e spiega la loro relazione con un trust del provider di attestazioni (claims provider trust) o un trust della relying party (relying party trust).
| Tipo di set di regole di richiesta | Descrizione | Usato su |
|---|---|---|
| Set di regole di trasformazione dell'accettazione | Il insieme di regole sulle attestazioni usate in un determinato trust del fornitore di attestazioni per specificare le attestazioni in entrata accettate dalla sua organizzazione e le attestazioni in uscita inviate al trust del servizio di relying party. Le attestazioni in ingresso che verranno usate per creare questo set di regole saranno le attestazioni restituite dal set di regole di trasformazione per il rilascio come specificato nella organizzazione del provider di attestazioni. Per impostazione predefinita, il nodo trust del provider di attestazioni contiene un trust del provider di attestazioni denominato Active Directory che viene usato per rappresentare l'archivio attributi di origine per il set di regole di trasformazione accettazione. Questo oggetto trust viene usato per rappresentare la connessione dal servizio federativo a un database di Active Directory nella rete. Questo trust predefinito è ciò che elabora le attestazioni per gli utenti autenticati da Active Directory e non può essere eliminato. |
Fiducie del fornitore di attestazioni |
| Set di regole di trasformazione del rilascio | Un insieme di regole di attestazione utilizzate in un trust relativo alle relying party per specificare le attestazioni che verranno rilasciate alle relying party. Le attestazioni in ingresso che verranno usate per alimentare questo set di regole saranno inizialmente le attestazioni restituite dalle regole di trasformazione di accettazione. |
Relazioni di fiducia delle parti affidabili |
| Set di regole per l'autorizzazione al rilascio | Il set di regole di attestazione usate in un trust della parte fidata per specificare quali utenti potranno ricevere un token per la parte fidata. Queste regole determinano se un utente può ricevere attestazioni per una parte affidataria e quindi accedere alla parte affidataria. A meno che non si specifichi una regola di autorizzazione di rilascio, per impostazione predefinita tutti gli utenti verranno negati l'accesso. |
Relazioni di fiducia delle parti affidabili |
| Set di regole di autorizzazione di delega | Un insieme di regole di attestazione che si utilizza su un trust di una relying party per specificare gli utenti che saranno autorizzati a fungere da delegati per altri utenti per la relying party. Queste regole determinano se il richiedente è autorizzato a impersonare un utente pur continuando a identificare il richiedente nel token inviato alla parte fidata. A meno che non si specifichi una regola di autorizzazione di delega, nessun utente può agire come delegati per impostazione predefinita. |
Relazioni di fiducia delle parti affidabili |
| Set di regole di autorizzazione di impersonificazione | Un insieme di regole di attestazione che configuri utilizzando Windows PowerShell per determinare se un utente può impersonare completamente un altro utente alla parte fidata. Queste regole determinano se il richiedente è autorizzato a rappresentare un utente senza identificare il richiedente nel token inviato alla relying party. Impersonare un altro utente in questo modo è una capacità molto potente, perché la relying party non saprà che l'utente è impersonato. |
Affidabilità del relying party |
Per altre informazioni su come selezionare le regole di attestazione appropriate da usare nell'organizzazione, vedere Determinare il tipo di modello di regola di attestazione da usare.