Ruolo delle regole delle attestazioni
La funzione generale del servizio federativo in Active Directory Federation Services (AD FS) deve emettere un token che contiene un set di attestazioni. La decisione che riguarda le attestazioni ADFS accetta e quindi invia è disciplinata dalle regole attestazione.
Che cosa sono le regole attestazioni?
Una regola attestazioni rappresenta un'istanza della logica di business che accetta una o più attestazioni in ingresso, applica condizioni alle attestazioni (se x allora y) e genera una o più attestazioni in uscita in base ai parametri delle condizioni. Per ulteriori informazioni sulle attestazioni in ingresso e in uscita, vedere il ruolo di attestazioni.
Le regole attestazioni si usano quando è necessario implementare una logica di business per controllare il flusso di attestazioni nella pipeline delle attestazioni. Mentre la pipeline delle attestazioni è soprattutto un concetto logico del processo end-to-end per il flusso delle attestazioni, le regole attestazioni sono invece un vero e proprio elemento amministrativo che è possibile usare per personalizzare il flusso delle attestazioni durante il processo di rilascio delle attestazioni.
Per ulteriori informazioni sulla pipeline delle attestazioni, vedere il ruolo del motore di attestazioni.
Le regole attestazioni offrono i vantaggi seguenti:
Forniscono un meccanismo per consentire agli amministratori di applicare una logica di business in fase di esecuzione per considerare attendibili le attestazioni dei provider di attestazioni
Forniscono un meccanismo per consentire agli amministratori di definire le attestazioni rilasciate alle relying party
Forniscono funzionalità complete e dettagliate di autorizzazione basata sulle attestazioni per gli amministratori che vogliono consentire o negare l'accesso a utenti specifici
Modalità di elaborazione delle regole attestazioni
Regole attestazione vengono elaborate tramite la pipeline di attestazioni utilizzando il motore delle attestazioni. Il motore delle attestazioni è un componente logico del servizio federativo che esamina il set di attestazioni in ingresso fornite da un utente e quindi, in base alla logica di ogni regola, produce un set di attestazioni di output.
Insieme, il motore delle regole di attestazioni e il set di regole attestazioni associato a un trust federativo specifico determinano se le attestazioni in ingresso devono essere passate come sono, filtrate in modo da soddisfare i criteri di una condizione specifica o trasformate in un set completamente nuovo di attestazioni prima di essere rilasciate come attestazioni in uscita dal servizio federativo.
Per ulteriori informazioni su questo processo, vedere il ruolo del motore di attestazioni.
Che cosa sono i modelli di regole attestazioni?
ADFS include un set predefinito di regola attestazione basata su modelli che sono progettati per consentono di selezionare e creano le regole attestazione più appropriate alle esigenze aziendali particolari. I modelli di regole attestazioni vengono usati solo durante il processo di creazione delle regole attestazioni.
Nello snap di gestione di AD FS, le regole possono essere create solo utilizzando modelli di regola attestazione. Dopo aver usato lo snap-in per selezionare un modello di regola attestazioni, immettere i dati necessari per la logica della regola e salvare il modello nel database di configurazione. Da questo momento, il modello verrà indicato nell'interfaccia utente come regola attestazioni.
Funzionamento dei modelli di regole attestazioni
A prima vista, i modelli di regole attestazioni sembrano essere solo moduli di input forniti dallo snap-in per raccogliere dati ed elaborare una logica specifica nelle attestazioni in ingresso. Tuttavia, a un livello molto più dettagliato, i modelli di regole attestazioni archiviano il framework di lingua delle regole attestazioni che costituisce la logica di base necessaria per creare in modo rapido una regola senza che sia necessario conoscere a fondo la lingua.
Ogni modello che viene fornito nell'interfaccia utente rappresenta una sintassi della lingua delle regole attestazioni prepopolata, in base alle attività amministrative più spesso necessarie. C'è tuttavia un modello di regola che rappresenta un'eccezione. Questo modello è detto modello di regola personalizzata. Con questo modello non c'è una sintassi prepopolata. È invece necessario modificare direttamente la sintassi della lingua delle regole attestazioni nel corpo del modello di regola attestazioni usando la sintassi stessa della lingua delle regole attestazioni.
Per ulteriori informazioni su come utilizzare la sintassi del linguaggio di regola attestazione, vedere il ruolo del linguaggio di regola attestazione nella Guida alla distribuzione di ADFS.
Suggerimento
È possibile visualizzare il linguaggio di regola attestazione associato a una regola in qualsiasi momento facendo clic di Visualizza lingua delle regole pulsante delle proprietà di una regola di attestazione.
Come creare una regola attestazioni
Le regole attestazioni vengono create separatamente per ogni relazione di trust federativa nel servizio federativo e non vengono condivise tra più trust. È possibile creare una regola da un modello di regola attestazione, iniziare da zero per la regola utilizzando il linguaggio di regola attestazione di creazione o l'utilizzo di Windows PowerShell per personalizzare una regola.
Tutte queste opzioni coesistono per offrire flessibilità di scelta del metodo appropriato per uno scenario specifico. Per ulteriori informazioni su come creare una regola attestazione, vedere configurazione di regole attestazione nella Guida alla FSDeployment.
Uso di modelli di regole attestazioni
I modelli di regole attestazioni vengono usati solo durante il processo di creazione delle regole attestazioni. Per creare una regola attestazioni, è possibile usare uno dei modelli seguenti:
Applicare la funzione di pass-through o di filtro a un'attestazione in ingresso
Trasformare un'attestazione in ingresso
Inviare attributi LDAP come attestazioni
Inviare l'appartenenza a un gruppo come attestazione
Inviare attestazioni mediante una regola personalizzata
Consentire o negare l'accesso agli utenti in base a un'attestazione in ingresso
Consentire l'accesso a tutti gli utenti
Per ulteriori informazioni che descrivono ognuno di questi modelli di regole di attestazioni, vedere determinare il tipo di modello di regola da utilizzare.
Uso del linguaggio delle regole attestazioni
Per le regole di business che non rientrano nell'ambito dei modelli di regole attestazioni standard, è possibile usare un modello di regola personalizzata per esprimere una serie di condizioni logiche complesse usando la lingua delle regole attestazioni. Per ulteriori informazioni sull'utilizzo di una regola personalizzata, vedere quando utilizzare una regola attestazione personalizzata.
Tramite Windows PowerShell
È inoltre possibile utilizzare l'oggetto di cmdlet ADFSClaimRuleSet con Windows PowerShell per creare o gestire le regole in ADFS. Per ulteriori informazioni sull'utilizzo di Windows PowerShell con questo cmdlet, vedere amministrazione di ADFS con Windows PowerShell.
Che cos'è un set di regole attestazioni?
Come illustrato nella figura seguente, un set di regole attestazioni è un raggruppamento di una o più regole per un trust federativo specifico che definisce come verranno elaborate le attestazioni dal motore delle regole attestazioni. Quando il servizio federativo riceve un'attestazione in ingresso, il motore delle regole attestazioni applica la logica specificata dal set di regole attestazioni appropriato. È la somma della logica di ogni regola nel set che determina come verranno rilasciate le attestazioni per un trust specifico.
Le regole attestazioni vengono elaborate dal motore delle attestazioni in ordine cronologico all'interno di un determinato set di regole. Questo ordine è importante perché l'output di una regola può essere usato come input per la regola successiva nel set.
Che cosa sono i tipi di set di regole attestazioni?
Un tipo di set di regole attestazioni è un segmento logico di un trust federativo che identifica in modo categorico se il set di regole attestazioni associato al trust verrà usato per il rilascio, l'autorizzazione o l'accettazione delle attestazioni. Ogni trust federativo può avere uno o più tipi di set di regole attestazioni associati, a seconda del tipo di trust usato.
La tabella seguente descrive i vari tipi di set di regole attestazioni e spiega la loro relazione con un trust del provider di attestazioni o della relying party.
Tipo di set di regole attestazioni | Descrizione | Usato in |
---|---|---|
Set di regole di trasformazione accettazione | Set di regole attestazioni usato in un trust del provider di attestazioni specifico per indicare le attestazioni in ingresso che verranno accettate dall'organizzazione del provider di attestazioni e le attestazioni in uscita che verranno inviate al trust della relying party. Le attestazioni in ingresso che verranno usate come origine per il set di regole saranno le attestazioni di output del set di regole di trasformazione rilascio come specificato nell'organizzazione del provider di attestazioni. Per impostazione predefinita, il nodo di attendibilità provider di attestazioni contiene un'attendibilità del provider di attestazioni denominata Active Directory che viene utilizzata per rappresentare l'archivio di attributi di origine per il set di regole di trasformazione accettazione. Questo oggetto trust viene utilizzato per rappresentare la connessione dal servizio federativo a un database di Active Directory nella rete. Questo trust predefinito elabora le attestazioni per gli utenti che sono stati autenticati da Active Directory e non può essere eliminato. |
Trust del provider di attestazioni |
Set di regole di trasformazione rilascio | Set di regole attestazioni usato in un trust della relying party per specificare le attestazioni che verranno rilasciate alla relying party. Le attestazioni in ingresso che verranno usate come origine per il set di regole saranno inizialmente le attestazioni di output delle regole di trasformazione accettazione. |
Trust della relying party |
Set di regole di autorizzazione di rilascio | Set di regole attestazioni usato in un trust della relying party per specificare gli utenti che potranno ricevere un token per la relying party. Queste regole determinano se un utente può ricevere attestazioni per una relying party e perciò accedere alla relying party. A meno che non si specifichi una regola di autorizzazione rilascio, a tutti gli utenti viene negato l'accesso per impostazione predefinita. |
Trust della relying party |
Set di regole di autorizzazione di delega | Set di regole attestazioni usato in un trust della relying party per specificare gli utenti che potranno fungere da delegati per altri utenti nella relying party. Queste regole determinano se il richiedente può rappresentare un utente identificando comunque il richiedente nel token inviato alla relying party. A meno che non si specifichi una regola di autorizzazione delega, nessun utente può fungere da delegato per impostazione predefinita. |
Trust della relying party |
Set di regole di autorizzazione di rappresentazione | Un set di regole configurate utilizzando Windows PowerShell per determinare se un utente possono completamente attestazione rappresentare un altro utente per la relying party. Queste regole determinano se il richiedente può rappresentare un utente senza identificare il richiedente nel token inviato alla relying party. La rappresentazione di un altro utente in questo modo è una funzionalità molto potente, perché la relying party non riconoscerà che l'utente è rappresentato. |
Trust della relying party |
Per ulteriori informazioni su, selezionare le regole attestazione appropriato da utilizzare nell'organizzazione, vedere determinare il tipo di modello di regola da utilizzare.