AD FS 문제 해결 - 클레임 규칙 구문
클레임은 한 주체가 자신 또는 다른 주제에 대해 만드는 진술입니다. 클레임은 신뢰 당사자가 발급하고 하나 이상의 값을 부여한 다음 AD FS 서버에서 발급한 보안 토큰에 패키지됩니다. 이 문서에서는 클레임 구문 및 만들기를 다룹니다. 클레임 발급에 대한 자세한 내용은 AD FS 문제 해결 - 클레임 발급을 참조 하세요.
참고 항목
AD FS 도움말 사이트에서 ClaimsXRay를 사용하여 클레임 문제 해결을 지원할 수 있습니다.
클레임 규칙을 처리하는 방법
클레임 규칙은 클레임 엔진을 사용하여 클레임 파이프라인 을 통해 처리됩니다. 클레임 엔진은 사용자로부터의 들어오는 클레임 집합을 검사하고 각 규칙의 논리를 기준으로 클레임의 출력 집합을 생성하는 페더레이션 서비스의 논리적 구성 요소입니다.
클레임 규칙을 만드는 방법
클레임 규칙은 페더레이션 서비스 내의 각 페더레이션 트러스터 관계에 대해 개별적으로 만들어지며 여러 트러스트 간에 공유되지 않습니다. 클레임 규칙 템플릿에서 규칙을 만들거나, 클레임 규칙 언어를 사용하여 규칙을 작성하여 처음부터 시작하거나, Windows PowerShell을 사용하여 규칙을 사용자 지정할 수 있습니다.
클레임 규칙 언어의 구성 요소 이해
클레임 규칙 언어는 "=" 연산자로 구분된 다음 구성 요소로> 구성됩니다.
조건: 입력 클레임을 검사 규칙의 발급 문을 실행할지 여부를 결정하는 데 사용됩니다. 규칙 본문 부분을 실행하려면 true로 평가해야 하는 논리 식을 나타냅니다.
발급 문입니다.
예시:
c:[type == "Name", value == "domain user"] => issue(type = "Role", value = "employee");
이 클레임에는 다음이 있습니다.
- 조건 -
c:[type == "Name", value == "domain user"]windows 계정 이름이 do기본 사용자인지 여부에 대한 입력 클레임을 평가합니다. - 발급 -
issue(type = "Role", value = "employee")조건이 true이면 직원의 역할로 입력 클레임에 새 클레임을 추가합니다.
클레임 및 구문에 대한 자세한 내용은 클레임 규칙 언어의 역할을 참조 하세요.
클레임 규칙 편집기
클레임을 완료하고 확인을 클릭하면 클레임 규칙 편집기에서 구문 검사 수행됩니다. 따라서 잘못된 구문이 있는 경우 편집기에서 알려 드리겠습니다.
이벤트 로그
로그를 사용하여 클레임 문제를 해결하려고 할 때 가장 좋은 방법은 클레임 출력을 찾는 것입니다. 이벤트 로그에서 1000 및 1001 이벤트를 찾을 수 있습니다.
샘플 애플리케이션 만들기
클레임을 에코하는 샘플 애플리케이션을 만들 수도 있습니다. 예를 들어 샘플 애플리케이션을 사용하고 문제를 해결하려는 클레임이 동일한 신뢰 당사자를 만들고 앱에 해당 클레임에 문제가 있는지 확인할 수 있습니다.
좋은 샘플 웹앱은 여기에서 사용할 수 있습니다. 이 앱은 신뢰 당사자로부터 받은 클레임을 다시 에코합니다. 이를 사용하려면 다음을 통해 web.config 앱을 편집해야 합니다.
- 샘플 앱을 호스팅하는 데 사용할 URL로 변경 https://app1.contoso.com/sampapp 합니다.
- AD FS 페더레이션 서버를 가리키도록 sts.contoso.com 모든 인스턴스를 변경합니다.
- 지문을 지문으로 바꿔 줍니다.
다음 블로그 문서에 는 이를 설정하기 위한 훌륭한 심층 지침이 있습니다.