Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Uma parte importante da criação de uma infraestrutura dos Serviços de Federação do Ative Directory (AD FS) é determinar o conjunto completo de regras de declaração — e quais modelos de regra de declaração correspondentes você deve usar para criá-los — para cada parceiro que participará da federação com sua organização. Você cria regras usando modelos de regra de declaração no snap-in de Gestão do AD FS.
Cada conjunto de regras de declaração que você configurar só pode ser associado a uma confiança federada. Isso significa que você não pode criar um conjunto de regras em uma relação de confiança e usá-las para outras relações de confiança em seu Serviço de Federação. Em vez disso, você pode criar facilmente regras a partir de modelos de regras de declaração para ajudar a produzir mais rapidamente um conjunto desejado de declarações acordadas entre cada parceiro federado e sua organização.
Para obter mais informações sobre regras e modelos de regras, consulte The Role of Claim Rules.
Antes de começar a determinar os tipos de modelos de regra de declaração que você deve usar, considere as seguintes perguntas:
Que reclamações serão fornecidas pelos seus fornecedores de declarações fidedignos?
Em que reclamações confia de cada fornecedor de reclamações?
Quais declarações são exigidas pelas partes confiáveis que confiam neste Serviço de Federação?
Que reclamações está disposto a divulgar a cada parte confiadora?
Que utilizadores devem ter acesso a cada entidade confiadora?
Responder a essas perguntas ajudará você a planejar um design sólido de regra de reivindicação. Ele também ajudará você a criar uma estratégia suave de autorização e controle de acesso e tornará sua equipe de implantação mais eficiente durante a implantação.
Nesta próxima seção, você pode aprender sobre o tipo de modelos de regras a serem selecionados para seu ambiente com base em suas necessidades de negócios.
Tipos de modelo de regra de declaração
A tabela a seguir descreve todos os tipos de modelos de regras de reivindicação que se podem usar para criar regras através do snap-in de Gestão do AD FS, e os benefícios de escolher um modelo em vez de outro.
| Tipo de modelo de regra | Description | Advantages | Disadvantages |
|---|---|---|---|
| Passar ou filtrar uma declaração de entrada | Usado para criar uma regra que passará por todos os valores de declaração para um tipo de declaração selecionado ou filtrará declarações com base nos valores de declaração para que apenas determinados valores de declaração para um tipo de declaração selecionado passem. Para obter mais informações, consulte Quando usar uma regra de declaração de passagem ou filtro. |
- Pode ser usado para selecionar reivindicações específicas a serem aceitas ou emitidas inalteradas | - O tipo e o valor do sinistro não podem ser alterados |
| Transformar um pedido recebido | Usado para criar uma regra que pode selecionar uma declaração de entrada e mapeá-la para um tipo de declaração diferente ou mapear seu valor de declaração para um novo valor de declaração. Para obter mais informações, consulte Quando usar uma regra de declaração de transformação. |
- Pode ser usado para normalizar tipos ou valores de sinistros - Pode substituir um sufixo de e-mail de uma reivindicação recebida |
- Substituições de string mais complexas exigem uma regra personalizada |
| Enviar atributos LDAP como declarações | Usado para criar uma regra que selecionará atributos de um repositório de atributos LDAP para enviar como afirmações para a parte confiável. Para obter mais informações, consulte Quando usar a regra de envio de atributos LDAP como declarações. |
- Pode obter declarações de qualquer armazenamento de atributos AD DS/AD LDS - Várias reivindicações podem ser emitidas usando uma única regra |
- Desempenho – lento devido à consulta de conta - Não é possível usar um filtro LDAP personalizado para consultar |
| Enviar afiliação de grupo sob a forma de uma declaração | Usado para criar uma regra que pode enviar um tipo e valor de declaração especificado quando um utilizador é membro de um grupo de segurança do Active Directory. Apenas uma única declaração será enviada usando essa regra, com base no grupo selecionado. Para obter mais informações, consulte Quando usar uma associação a um grupo de envio como uma regra de reivindicação. |
- Desempenho rápido para emissão de reclamações em grupo – sem necessidade de consulta à conta | - O usuário deve ser membro de um grupo local do Ative Directory |
| Enviar declarações usando uma regra personalizada | Usado para criar uma regra personalizada que fornecerá opções mais avançadas do que um modelo de regra padrão. Você escreve regras personalizadas com a linguagem da regra de declaração do AD FS. Para obter mais informações, consulte Quando usar uma regra de declaração personalizada. |
- Pode ser usado para originar declarações de um repositório de atributos SQL - Pode ser usado para especificar um filtro LDAP personalizado - Pode ser usado para emitir um PPID - Pode ser usado com um repositório de atributos personalizados - Pode ser usado para adicionar declarações apenas ao conjunto de declarações de entrada - Pode ser usado para enviar reclamações com base em mais de uma reivindicação recebida |
- Mais difícil de configurar - Algum tempo de ramp up pode ser necessário para inicialmente obter conhecimento da linguagem da regra de reivindicação |
| Permitir ou negar usuários com base em uma declaração de entrada | Usado para criar uma regra que permitirá ou negará o acesso dos utilizadores à parte confiável, com base no tipo e valor de uma declaração de entrada. Para mais informações, consulte Quando utilizar uma regra de reivindicação de autorização. |
- Simplifica o processo de autorização | - Requer que apenas um tipo de sinistro e um valor de sinistro sejam especificados - Não suporta correspondência de padrões para valores de sinistro |
| Permitir todos os usuários | Usado para criar uma regra que permitirá que todos os utilizadores acessem a parte confiável. Para mais informações, consulte Quando utilizar uma regra de reivindicação de autorização. |
- Simples de configurar | - Menos seguro do que usar o modelo Permitir ou Negar Usuários com base em um modelo de Reclamação de Entrada |