Quando usare una regola attestazioni di trasformazione
È possibile utilizzare questa regola in Active Directory Federation Services (AD FS) quando è necessario eseguire il mapping di un tipo di attestazione in ingresso a un tipo di attestazione in uscita e quindi applicare un'azione che determina quale tipo di output debba essere eseguito in base ai valori che ha originato nell'attestazione in ingresso. Quando si usa questa regola, si consente l'ingresso o si trasformano le attestazioni corrispondenti alla logica della regola seguente, in base all'opzione configurata nella regola, come descritto nella tabella seguente.
| Opzione della regola | Logica della regola |
|---|---|
| Passare tutte le attestazioni in ingresso | Se il tipo di attestazione in ingresso è uguale a specificato tipo di attestazione e valore è uguale a qualsiasi valore, quindi passare l'attestazione tramite con corrispondono al tipo di attestazione in uscita specificato tipo di attestazione |
| Sostituire un valore attestazione in ingresso con un valore attestazione in uscita diverso | Se il tipo di attestazione in ingresso è uguale a specificato tipo di attestazione e valore è uguale a valore di attestazione specificato, quindi trasformano l'attestazione con il nuovo valore attestazione in uscita specificato il valore dell'attestazione e tipo di attestazione con in uscita specificato tipo di attestazione |
| Sostituzione di attestazioni con suffisso di posta elettronica in ingresso con un nuovo suffisso di posta elettronica | Se il tipo di attestazione in ingresso è uguale a specificato tipo di attestazione e valore è uguale a qualsiasi suffisso valore, quindi trasformano l'attestazione con il nuovo valore attestazione in uscita specificato valore suffisso e tipo di attestazione con in uscita specificato tipo di attestazione |
Le sezioni seguenti forniscono un'introduzione di base alle regole attestazioni e indicano i casi in cui è necessario usare questa regola.
Informazioni sulle regole attestazioni
Una regola attestazioni rappresenta un'istanza della logica di business che accetta un'attestazione in ingresso, applica una condizione (se x quindi y) e genera un'attestazione in uscita in base ai parametri della condizione. L'elenco seguente fornisce suggerimenti importanti sulle regole attestazioni da tenere presenti prima di procedere con la lettura di questo argomento:
Nello snap-in di gestione di AD FS, le regole attestazioni possono essere create solo utilizzando modelli di regola attestazioni
Le regole attestazioni elaborano le attestazioni in ingresso direttamente da un provider di attestazioni (ad esempio Active Directory o un altro servizio federativo) oppure dall'output delle regole di trasformazione accettazione in un trust del provider di attestazioni.
Le regole attestazioni sono elaborate dal motore di rilascio delle attestazioni in ordine cronologico entro un determinato set di regole. Impostando la precedenza sulle regole, è possibile perfezionare o filtrare ulteriormente le attestazioni generate dalle regole precedenti all'interno di un set di regole specificato.
Per i modelli di regola attestazioni è sempre necessario specificare un tipo di attestazione in ingresso. Tuttavia, è possibile elaborare più valori di attestazione con lo stesso tipo di attestazione usando una singola regola.
Per ulteriori informazioni sulle regole attestazione e i set di regole attestazione, vedere ruolo delle attestazioni regole. Per ulteriori informazioni sulle modalità di elaborazione delle regole, vedere il ruolo del motore di attestazioni. Per ulteriori informazioni, modalità di elaborazione dei set di regole attestazione, vedere ruolo delle Pipeline delle attestazioni.
Pass-through di tutti i valori attestazione
Quando si usa questa azione, per tutti i valori attestazione in ingresso che corrispondono a un tipo di attestazione in ingresso specificato viene eseguito il mapping a un tipo di attestazione in uscita specificato prima che di essere inviati come attestazioni in uscita in token firmati dal servizio federativo.
Ad esempio, quando una regola è impostata con il Pass-through di tutti i valori di attestazione opzione logica e in ingresso attestazione di tipo di gruppo e viene specificato il tipo di attestazione in uscita del ruolo, vengono copiati tutti i valori di attestazione in ingresso che vengono inseriti dall'emittente singolarmente in nuove attestazioni in uscita con il tipo di attestazione del ruolo.
Trasformazione di un'attestazione
In ADFS, il termine trasformazione di attestazioni mezzi per sostituire un fax in ingresso attestazione valore con un diverso valore attestazione in uscita. È la regola Trasformazione di un'attestazione in ingresso che rende possibile questa funzione. Nelle proprietà di questa regola è possibile impostare le condizioni per trasformare i valori in ingresso con un valore attestazione in uscita diverso in base al tipo di attestazione in ingresso specificato.
Ad esempio, come illustrato nella figura seguente, quando è impostata una regola con la condizione per sostituire un valore in ingresso con un valore attestazione in uscita diverso, viene eseguito il mapping di tutti i tipi di attestazione in ingresso del gruppo ai nuovi tipi di attestazione in uscita del ruolo. In questo caso, il valore attestazione in ingresso dell'acquirente, viene sostituito con il nuovo valore attestazione in uscita dell'amministrazione.
È anche possibile usare questa regola per applicare una condizione che sostituirà tutte le attestazioni in ingresso che hanno un valore suffisso di posta elettronica specificato con un nuovo valore. Ad esempio, è possibile impostare una condizione nella regola per modificare tutti i valori attestazione con il suffisso sales.corp.fabrikam.com in fabrikam.com.
Configurazione della regola in un trust del provider di attestazioni
Quando si usa un trust del provider di attestazioni, è possibile configurare questa regola perché trasformi le attestazioni in ingresso in equivalenti attendibili. I tipi di attestazione o i valori attestazione possono avere un significato diverso all'interno dell'organizzazione rispetto alle organizzazioni di provider di attestazioni. È possibile usare questa regola per normalizzare i tipi di attestazione e i valori attestazione provenienti dal provider di attestazioni, in modo che i rispettivi equivalenti delle attestazione in uscita possano essere riconosciuti dalla relying party.
Configurazione di questa regola in un trust della relying party
Quando si usa un trust della relying party, questa regola può essere configurata per trasformare le attestazioni per la relying party specifica. I tipi di attestazione o i valori attestazione possono avere un significato diverso per una relying party specifica e questa regola consente di modificare i tipi di attestazione e i valori attestazione in uscita per una singola relying party.
Come creare la regola
Creare questa regola utilizzando il linguaggio di regola attestazioni o il modello di regola trasformare un'attestazione in ingresso nello snap-in di gestione AD FS. Questo modello di regola offre le opzioni di configurazione seguenti:
Specificare un nome regola attestazione
Trasformare un tipo di attestazione in ingresso specifico in un tipo di attestazione in uscita specificato
Pass-through di tutti i valori attestazione
Sostituire un valore attestazione in ingresso con un valore attestazione in uscita diverso
Sostituire attestazioni con suffisso di posta elettronica in ingresso con un nuovo suffisso di posta elettronica
Per ulteriori istruzioni su come creare questo modello, vedere creare una regola per trasformare un'attestazione in ingresso nella Guida alla distribuzione di ADFS.
Uso del linguaggio delle regole attestazioni
Se l'attestazione in uscita deve essere creata dal contenuto di più di un'attestazione in ingresso, è necessario usare invece una regola personalizzata. Se il valore attestazione dell'attestazione in uscita deve essere basato sul valore dell'attestazione in ingresso, ma con contenuto aggiuntivo, è necessario includere una regola personalizzata anche in quel contesto. Per altre informazioni, vedere When to Use a Custom Claim Rule.
Esempi di creazione della sintassi di una regola di trasformazione
Quando si usa la sintassi del linguaggio delle regole attestazioni per trasformare le attestazioni, è possibile impostare una proprietà dell'attestazione trasformata in un nuovo valore letterale. Ad esempio, la regola seguente modifica il valore attestazione del ruolo da "Amministratori" a "radice" mantenendo lo stesso tipo di attestazione:
c:[type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/role", value == "Administrators"] => issue(type = c.type, value = "root");
Per le trasformazioni delle attestazioni è anche possibile usare espressioni regolari. Ad esempio, la regola seguente imposta il dominio in attestazioni nome utente di Windows nel formato DOMINIO\UTENTE in FABRIKAM:
c:[type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"] => issue(type = c.type, value = regexreplace(c.value, "(?<domain>[^\\]+)\\(?<user>.+)", "FABRIKAM\${user}"));
Procedure consigliate per la creazione di regole personalizzate
Le trasformazioni di attestazioni possono essere applicate selettivamente alle attestazioni selezionate con funzionalità di filtro di base. A ogni proprietà di attestazione usata per il filtro è possibile assegnare valori, con le avvertenze seguenti:
| Proprietà attestazione | Descrizione |
|---|---|
| Type, Value, ValueType | Queste proprietà vengono usate più di frequente per le assegnazioni. Come minimo, è necessario specificare il tipo e il valore per l'attestazione di trasformazione risultante. |
| Autorità di certificazione | Anche se il linguaggio delle regole attestazioni consente di impostare l'autorità emittente di un'attestazione, questa operazione non è in genere consigliabile. L'autorità emittente dell'attestazione non è serializzata nel token. Quando si riceve un token, la proprietà Issuer di tutte le attestazioni è impostata sull'identificatore del server federativo che ha firmato il token. Di conseguenza, l'impostazione dell'autorità emittente di un'attestazione nelle regole non avrà effetto sul contenuto del token e l'impostazione andrà persa dopo l'inclusione dell'attestazione in un token. Il solo scenario in cui può risultare utile impostare l'autorità emittente di un'attestazione è quando questa è impostata su un valore specifico nel set di regole del provider di attestazioni e il set di regole della relying party viene creato con regole che fanno riferimento a questo valore specifico. Se la proprietà Issuer non è impostata esplicitamente su un valore in una regola attestazioni, il motore di rilascio delle attestazioni la imposta su "LOCAL AUTHORITY". |
| OriginalIssuer | In modo analogo a Issuer, a OriginalIssuer non deve in genere essere assegnato esplicitamente un valore. A differenza di Issuer, la proprietà OriginalIssuer viene serializzata nel token, ma l'aspettativa di consumer di token è che, se impostata, conterrà l'identificatore del server federativo che ha emesso originariamente un'attestazione. |
| Proprietà | Come descritto nella sezione precedente, il contenitore delle proprietà di un'attestazione non è persistente nel token, quindi le assegnazioni alle proprietà devono essere eseguite solo se i criteri locali successivi intende faranno riferimento le informazioni archiviate nella proprietà. |
Per ulteriori informazioni su come utilizzare il linguaggio di regola attestazione, vedere il ruolo del linguaggio di regola attestazione.