要求規則の役割

  • [アーティクル]

Active Directory Federation Services (AD FS) のフェデレーション サービスの全体的な機能は、一連の要求が含まれたトークンを発行することです。 AD FS が許可して、発行は、どのようなクレームに関する決定は、要求規則が適用されます。

要求規則とは

要求規則は、ビジネス ロジックのインスタンスを表します。このビジネス ロジックでは、1 つまたは複数の入力方向の要求を取得し、条件を適用して (if-then)、条件パラメーターに基づいて 1 つまたは複数の出力方向の要求を生成します。 着信および発信のクレームの詳細については、次を参照してください。 、ロール クレームします。

要求規則は、要求パイプラインを通過する要求のフローを制御するビジネス ロジックを実装する必要がある場合に使用します。 要求パイプラインは、要求を渡すためのエンド ツー エンドのプロセスです。一方、要求規則は、要求の発行プロセスを通じて要求のフローをカスタマイズするために使用できる実際の管理要素です。

要求パイプラインの詳細については、次を参照してください。 要求エンジンの役割します。

要求規則には、次のような利点があります。

  • 要求プロバイダーからの要求を信頼するための実行時のビジネス ロジックを管理者が適用できるようにするメカニズムを提供します。

  • どの要求を証明書利用者にリリースするかを管理者が定義できるようにするメカニズムを提供します。

  • 特定のユーザーへのアクセスを許可または拒否する管理者向けに、多機能かつ詳細な要求ベースの承認機能を提供します。

要求規則の処理方法

要求規則は、要求エンジンを使用して要求パイプライン内で処理されます。 要求エンジンは、ユーザーによって提示される入力方向の要求のセットを調査し、各規則のロジックに応じて要求の出力セットを生成する、フェデレーション サービスの論理コンポーネントです。

要求規則エンジンと特定のフェデレーションによる信頼に関連付けられた要求規則のセットにより、入力方向の要求は、そのまま渡されるか、特定の条件に一致するようフィルター選択されるか、または完全に新しい要求セットに変換された後、フェデレーション サービスによって出力方向の要求として発行されます。

このプロセスの詳細については、次を参照してください。 要求エンジンの役割します。

要求規則テンプレートとは

AD FS には、定義済みを容易に設計されたテンプレートを選択し、特定のビジネス ニーズに最も適切な要求規則の作成の要求規則のセットが含まれています。 要求規則テンプレートは、要求規則の作成プロセス中にのみ使用します。

AD FS 管理スナップインで規則を作成するには、必ず要求規則テンプレートを使用する必要があります。 スナップインを使用して要求規則テンプレートを選択した後、規則のロジックに必要なデータを入力して構成データベースに保存すると、(その時点から) UI で要求規則として参照されるようになります。

要求規則テンプレートのしくみ

一見すると、要求規則テンプレートは、データを収集して入力方向の要求に対して特定のロジックを処理するための、スナップインによって提供される単なる入力フォームのように見えます。 ただし、より詳細なレベルでは、要求規則テンプレートは、必要な要求規則言語フレームワークを格納するものです。この要求規則言語フレームワークは、言語を深く理解する必要なく手軽に規則を作成するのに必要な基本ロジックを構成します。

ユーザー インターフェイス (UI) で提供される各テンプレートは、最も一般的に必要な管理タスクに基づいた、事前設定済みの要求規則言語構文を表します。 ただし、例外となる規則テンプレートが 1 つあります。 このテンプレートは、カスタム規則テンプレートと呼ばれます。 このテンプレートには、構文が事前に設定されていません。 このテンプレートを使用する場合は、要求規則言語構文を使用して要求規則テンプレート フォームの本文に要求規則言語構文を直接作成する必要があります。

要求規則言語の構文を使用する方法の詳細については、次を参照してください。 要求規則言語の役割 で AD FS 展開ガイド。

ヒント

要求規則のプロパティの [規則言語の表示] をクリックすると、規則に関連付けられている要求規則言語をいつでも表示できます。

要求規則の作成方法

要求規則は、フェデレーション サービス内のフェデレーションによる信頼関係ごとに作成され、複数の信頼間で共有されません。 できますし、要求規則テンプレートからルールを作成する要求規則言語を使用してルールを作成してゼロから始めるか Windows PowerShell を使用してルールをカスタマイズしてもします。

特定のシナリオに合わせて、これらの方法を柔軟に選択できます。 要求規則を作成する方法の詳細については、次を参照してください。 要求規則を構成する AD FSDeployment ガイドです。

要求規則テンプレートの使用

要求規則テンプレートは、要求規則の作成プロセス中にのみ使用します。 次のテンプレートのいずれかを使用して要求規則を作成できます。

  • 入力方向の要求を通すか、フィルター処理する

  • 入力方向の要求を変換する

  • LDAP 属性を要求として送信する

  • グループ メンバーシップを要求として送信する

  • カスタム規則を使用して要求を送信する

  • 入力方向の要求に基づくユーザーの許可または拒否

  • すべてのユーザーを許可

詳細については説明するこれらの各要求規則テンプレートを参照してください 決定、型の要求規則テンプレートの使用にします。

要求規則言語の使用

標準の要求規則テンプレートの範囲を超えるビジネス規則に対しては、カスタム規則テンプレートで要求規則言語を使用して一連の複雑なロジック条件を表現することができます。 詳細については、カスタム ルールを使用して、次を参照してください。 カスタム要求規則を使用する場合します。

Windows PowerShell を使用する

作成または AD FS で規則を管理する Windows PowerShell を使用した ADFSClaimRuleSet コマンドレット オブジェクトを使用することもできます。 Windows PowerShell でこのコマンドレットを使用する方法の詳細については、Windows PowerShell を使用した AD FS の管理に関するページを参照してください。

要求規則セットとは

次の図に示すように、要求規則セットは、要求規則エンジンによる要求の処理方法を定義する、特定のフェデレーションによる信頼の 1 つまたは複数の規則のグループです。 入力方向の要求がフェデレーション サービスによって受信されると、要求規則エンジンは、適切な要求規則セットで指定されたロジックを適用します。 セット内の各規則のロジックを適用した最終的な結果によって、特定の信頼に対して発行される要求が決まります。

AD FS roles

要求規則は、要求エンジンによって特定の規則セット内で時間順に処理されます。 1 つの規則の出力がセット内の次の規則の入力として使用されるため、この順序は重要です。

要求規則セットの種類とは

要求規則セットの種類は、フェデレーションによる信頼の論理セグメントであり、信頼に関連付けられている要求規則セットが要求の発行、承認、受け入れのどの操作に使用されるのかを明確に識別します。 使用される信頼の種類に応じて、それぞれのフェデレーションによる信頼に 1 つまたは複数の要求規則セットの種類を関連付けることができます。

次の表では、さまざまな種類の要求規則セットについて説明すると共に、要求プロバイダー信頼または証明書利用者信頼のどちらかとの関係を示します。

要求規則セットの種類 説明 対象
受け入れ変換規則セット 特定の要求プロバイダー信頼に対して使用する要求規則のセットで、要求プロバイダーによって受け入れられる入力方向の要求と証明書利用者信頼に送信される出力方向の要求を指定します。

この規則セットのソースとして使用される入力方向の要求は、要求プロバイダー組織で指定された発行変換規則セットによって出力される要求になります。

既定では、要求プロバイダー信頼ノードには、受け入れ変換規則セットのソース属性ストアを表すために使用される、Active Directory という名前の要求プロバイダー信頼が含まれます。 この信頼オブジェクトを使用して、フェデレーション サービスからネットワーク上の Active Directory データベースへの接続を表します。 この既定の信頼は、Active Directory によって認証されたユーザーの要求を処理するものであり、削除することはできません。

 要求プロバイダー信頼
発行変換規則セット 証明書利用者信頼に対して使用する要求規則のセットで、証明書利用者に対して発行される要求を指定します。

この規則セットのソースとして使用される入力方向の要求は、最初は受け入れ変換規則によって出力される要求になります。

 証明書利用者信頼
発行承認規則セット 証明書利用者信頼に対して使用する要求規則のセットで、証明書利用者のトークンを受信することが許可されるユーザーを指定します。

この規則により、ユーザーが証明書利用者の要求を受信できるかどうか、つまり、その証明書利用者にアクセスできるかどうかが決まります。

発行承認規則を指定しない限り、既定ですべてのユーザーのアクセスが拒否されます。

 証明書利用者信頼
委任承認規則セット 証明書利用者信頼に対して使用する要求規則のセットで、証明書利用者に対して他のユーザーの代理人として振る舞うことが許可されるユーザーを指定します。

これらの規則により、証明書利用者に送信されるトークン内で要求元が識別される一方で、要求元がユーザーを偽装することが許可されるかどうかが決まります。

委任承認規則を指定しない限り、既定ではすべてのユーザーが代理人として振る舞うことができません。

 証明書利用者信頼
偽装承認規則セット ユーザーかどうかを判断する Windows PowerShell を使用して構成したルールが完全にできるクレームのセットは、別のユーザーが証明書利用者を偽装します。

これらの規則により、証明書利用者に送信されるトークン内で要求元が識別されることなく、要求元がユーザーを偽装することが許可されるかどうかが決まります。

ユーザーが偽装されていることは証明書利用者に認識されないため、このように他のユーザーを偽装するこの機能は非常に強力です。

 証明書利用者信頼

組織で使用する適切な要求規則を参照してください] を選択の詳細については 決定、型の要求規則テンプレートの使用にします。