Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
È possibile usare questa regola in Active Directory Federation Services (AD FS) quando si desidera rilasciare un nuovo valore di attestazione in uscita solo per gli utenti membri di un gruppo di sicurezza di Active Directory specificato. Quando si usa questa regola, si rilascia una singola attestazione solo per il gruppo specificato e che corrisponde alla logica della regola, come descritto nella tabella seguente.
| Opzione di regola | Logica delle regole |
|---|---|
| Valore richiesta in uscita | Se l'appartenenza al gruppo di un utente è uguale al gruppo specificato e al tipo di attestazione in uscita è uguale al tipo di attestazione specificato, sostituire il valore del nome del gruppo esistente con il valore dell'attestazione in uscita specificato e rilasciare l'attestazione. |
Le sezioni seguenti forniscono un'introduzione di base alle regole di attestazione. Forniscono anche informazioni dettagliate su quando usare la condizione "Invia appartenenza al gruppo" come regola di attestazione.
Informazioni sulle regole delle richieste
Una regola di attestazione rappresenta un'istanza della logica aziendale che riceve un'attestazione in entrata, applica una condizione (se x allora y) e genera un'attestazione in uscita in base ai parametri della condizione. L'elenco seguente illustra suggerimenti importanti che dovresti conoscere riguardo alle regole dei reclami prima di continuare a leggere questo argomento.
Nello snap-in Gestione AD FS le regole di attestazione possono essere create solo usando i modelli di regola di attestazione
Le regole delle attestazioni processano le attestazioni in ingresso, sia direttamente da un provider di attestazioni (ad esempio Active Directory o un altro servizio federativo), sia dal risultato delle regole di trasformazione di accettazione sul trust del provider di attestazioni.
Le regole delle richieste vengono elaborate dal motore di rilascio delle richieste in ordine cronologico all'interno di un determinato insieme di regole. Impostando la precedenza sulle regole, è possibile perfezionare o filtrare ulteriormente le attestazioni generate dalle regole precedenti all'interno di un determinato set di regole.
I modelli di regole di attestazione richiedono sempre di specificare un tipo di attestazione in ingresso. Tuttavia, è possibile elaborare più valori di attestazione con lo stesso tipo di attestazione usando una singola regola.
Per informazioni più dettagliate sulle regole di attestazione e sugli insiemi di regole di attestazione, vedere Il ruolo delle regole di attestazione. Per altre informazioni sull'elaborazione delle regole, vedere Ruolo del motore delle attestazioni. Per altre informazioni su come vengono elaborate le regole dei set di attestazioni, vedere Ruolo della pipeline di attestazioni.
Valore richiesta in uscita
Usando il modello di regola Invia appartenenza al gruppo come attestazione, è possibile emettere un'attestazione che dipende dal fatto che un utente sia membro di un gruppo specificato.
In altre parole, questo modello di regola rilascia un'attestazione solo quando l'utente ha l'ID di sicurezza del gruppo (SID) che corrisponde al gruppo di Active Directory specificato dall'amministratore. Tutti gli utenti che eseguono l'autenticazione con Active Directory Domain Services (AD DS) avranno attestazioni SID di gruppo in ingresso per ogni gruppo a cui appartengono. Per impostazione predefinita, le regole di trasformazione di accettazione nel trust del provider di attestazioni di Active Directory consentono il passaggio di queste attestazioni SID di gruppo. L'uso di questi SID di gruppo come base per l'emissione di attestazioni è molto più veloce rispetto alla ricerca dei gruppi dell'utente in Servizi di dominio Active Directory.
Quando si usa questa regola, viene inviata solo una singola attestazione, in base al gruppo di Active Directory selezionato. Ad esempio, è possibile usare questo modello di regola per creare una regola che invierà un'attestazione di gruppo con il valore "Admin" se l'utente è membro del gruppo di sicurezza Domain Admins.
Configurazione di questa regola in un trust del provider di attestazioni
Gli amministratori devono usare questo tipo di regola nelle regole di trasformazione di accettazione di un trust del provider di attestazioni solo quando i SID di gruppo vengono ricevuti dal provider di attestazioni, che è un evento raro per qualsiasi provider di attestazioni ad eccezione di Active Directory o dei Servizi di dominio Active Directory (AD DS).
Come creare questa regola
Questa regola viene creata utilizzando il linguaggio delle regole delle attestazioni o il modello Invia appartenenza a gruppi LDAP come regola delle attestazioni nello snap-in Gestione AD FS. Questo modello di regola offre le opzioni di configurazione seguenti:
Specificare un nome di regola di attestazione
Selezionare il gruppo di un utente utilizzando il selettore di oggetti
Selezionare un tipo di dichiarazione in uscita
Selezionare un formato ID nome in uscita (disponibile solo quando viene scelto ID nome dal campo tipo di dichiarazione in uscita)
Specificare un valore dell'attestazione in uscita
Per altre informazioni su come creare questa regola, vedere Creare una regola per inviare l'appartenenza a un gruppo come attestazione.
Uso del linguaggio delle regole delle attestazioni
Se si desidera emettere attestazioni in base a un SID in ingresso diverso da un SID di gruppo, usare il modello di regola Trasforma attestazione in ingresso. Se l'amministratore vuole recuperare i nomi di tutti i gruppi di cui l'utente fa parte, si deve utilizzare il modello di regola Invia attributi LDAP come attestazioni con l'attributo tokenGroups.
Esempio: Come rilasciare attestazioni di gruppo in base all'appartenenza al gruppo dell'utente
La regola seguente emette rivendicazioni di gruppo per un utente in base a un SID del gruppo in ingresso.
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == "S-1-5-21-397933417-626991126-188441444-512", Issuer == "AD AUTHORITY"]
=> issue(Type = "http://schemas.xmlsoap.org/claims/Group", Value = "administrators", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, ValueType = c.ValueType);
Altri riferimenti
Creare una regola per inviare attributi LDAP come attestazioni