Active Directory フェデレーション サービス (AD FS) インフラストラクチャを設計する際の重要な部分は、組織とのフェデレーションに参加するパートナーごとに、要求規則の完全なセット(およびそれらを作成するために使用する必要がある対応する要求規則テンプレート)を決定することです。 規則は、AD FS 管理スナップインで要求規則テンプレートを使用して作成します。
構成する要求規則の各セットは、1 つのフェデレーション信頼にのみ関連付けることができます。 つまり、1 つの信頼に対して一連の規則を作成し、フェデレーション サービスの他の信頼に使用することはできません。 代わりに、要求規則テンプレートから規則を簡単に作成して、各フェデレーション パートナーと組織の間で合意された要求のセットをより迅速に生成できます。
ルールとルール テンプレートの詳細については、「 要求規則の役割」を参照してください。
使用する必要がある要求規則テンプレートの種類を決定する前に、次の質問を検討してください。
信頼されたクレーム プロバイダーによってどのような要求が提供されますか?
各クレーム プロバイダーからどのような要求を信頼していますか?
このフェデレーション サービスを信頼している依拠する当事者には、どのような主張が必要ですか。
各証明書利用者にはどのような要求を公開しますか
各証明書利用者にアクセスできる必要があるユーザーは誰ですか
これらの質問に回答すると、信頼性の高い要求規則の設計を計画するのに役立ちます。 また、スムーズな承認とアクセス制御の戦略を作成し、ロールアウト中にデプロイ チームの効率を高めるのにも役立ちます。
この次のセクションでは、ビジネス ニーズに基づいて環境に合わせて選択するルール テンプレートの種類について説明します。
要求規則テンプレートの種類
次の表では、AD FS 管理スナップインを使用して規則を作成するために使用できるすべての種類の要求規則テンプレートと、別の種類のテンプレートを使用する利点について説明します。
| ルール テンプレートの種類 | 説明 | 利点 | 欠点 |
|---|---|---|---|
| 受信要求をパススルーまたはフィルター処理する | 選択した要求の種類のすべての要求値を通過する規則を作成するか、選択した要求の種類の特定の要求値のみが通過するように、要求の値に基づいて要求をフィルター処理するために使用します。 詳細については、「 パススルー要求規則またはフィルター要求規則を使用するタイミング」を参照してください。 |
- 受け入れる、または変更せずに発行する特定の要求を選択するために使用できます | - 要求の種類と値を変更できない |
| 受信クレームを変換する | 受信要求を選択して別の要求の種類にマップしたり、その要求値を新しい要求値にマップしたりできる規則を作成するために使用します。 詳細については、「 変換要求規則を使用するタイミング」を参照してください。 |
- 要求の種類または値を正規化するために使用できます - 受信要求の電子メール サフィックスを置き換えることができます |
- より複雑な文字列の置換にはカスタム規則が必要です |
| LDAP 属性を要求として送信する | LDAP属性ストアから属性を選択し、それをクレームとして証明書利用者に送信する規則を作成するために使用します。 詳細については、「 要求規則として LDAP 属性を送信するタイミング」を参照してください。 |
- 任意の AD DS/AD LDS 属性ストアからクレームを取得できます - 1 つのルールを使用して複数の要求を発行できる |
- パフォーマンス - アカウント検索のため遅い - クエリにカスタム LDAP フィルターを使用できない |
| グループ メンバーシップを要求として送信する | ユーザーが Active Directory セキュリティ グループのメンバーである場合に、指定した要求の種類と値を送信できる規則を作成するために使用します。 選択したグループに基づいて、この規則を使用して送信される要求は 1 つだけです。 詳細については、「 送信グループ メンバーシップを要求規則として使用する場合」を参照してください。 |
- グループ要求を発行するための高速なパフォーマンス - アカウント参照なし | - ユーザーはローカル Active Directory グループのメンバーである必要があります |
| カスタム規則を使用して要求を送信する | 標準ルール テンプレートよりも高度なオプションを提供するカスタム ルールを作成するために使用します。 AD FS 要求規則言語を使用してカスタム規則を記述します。 詳細については、「 カスタム要求規則を使用する場合」を参照してください。 |
- SQL 属性ストアから要求をソースするために使用できます - カスタム LDAP フィルターを指定するために使用できます - PPID の発行に使用できます - カスタム属性ストアで使用できます - 入力要求セットにのみ要求を追加するために使用できます - 複数の受信要求に基づいて要求を送信するために使用できます |
- 構成が難しい - 最初に要求規則言語の知識を得るために、一部のスケールアップ時間が必要になる場合があります |
| 受信要求に基づいてユーザーを許可または拒否する | 受信要求の種類と値に基づいて、証明書利用者へのユーザーによるアクセスを許可または拒否する規則を作成するために使用します。 詳細については、「 承認要求規則を使用するタイミング」を参照してください。 |
- 承認プロセスを簡略化する | - 1 つの要求の種類と 1 つの要求値のみを指定する必要があります - 要求値のパターン マッチングはサポートされていません |
| すべてのユーザーを許可する | すべてのユーザーに証明書利用者へのアクセスを許可する規則を作成するために使用します。 詳細については、「 承認要求規則を使用するタイミング」を参照してください。 |
- 構成が簡単 | - 受信要求テンプレートに基づくユーザーの許可または拒否を使用するよりも安全性が低い |