Поделиться через

Устранение неполадок AD FS — синтаксис правил утверждений

  • Статья

Утверждение является заявлением, что один субъект делает о себе или другом субъекте. Утверждения выдаются проверяющей стороной, и они получают одно или несколько значений, а затем упаковываются в маркеры безопасности, выданные сервером AD FS. В этой статье рассматриваются синтаксис утверждений и создание. Сведения об выдаче утверждений см. в разделе "Устранение неполадок AD FS — выдача утверждений".

Примечание.

Вы можете использовать ClaimsXRay на сайте справки AD FS для устранения неполадок с утверждениями.

Порядок обработки правил утверждений

Правила утверждений обрабатываются через конвейер утверждений с помощью обработчика утверждений. Модуль утверждений — это логический компонент службы федерации, который проверяет набор входящих утверждений, представленный пользователем, и в соответствии с логикой каждого правила создает выходной набор утверждений.

Создание правила утверждения

Правила утверждений создаются отдельно для каждого федеративного отношения доверия в службе федерации и не используются совместно несколькими отношениями. Вы можете создать правило из шаблона правила утверждения, начать с нуля, создав правило с помощью языка правила утверждения или с помощью Windows PowerShell для настройки правила.

Общие сведения о компонентах языка правила утверждения

Язык правила утверждения состоит из следующих компонентов, разделенных оператором "=>" :

  • Условие: используется для проверка входных утверждений и определяет, следует ли выполнять инструкцию выдачи правила. Он представляет логическое выражение, которое должно быть оценено как true для выполнения части текста правила.

  • Инструкция выдачи.

Пример:

c:[type == "Name", value == "domain user"] => issue(type = "Role", value = "employee");

Это утверждение имеет следующее:

  • Условие — c:[type == "Name", value == "domain user"] вычисляет входное утверждение о том, является ли имя учетной записи Windows пользователем домена.
  • Выдача - issue(type = "Role", value = "employee") если условие верно, добавляет новое утверждение в входное утверждение с ролью сотрудника.

Дополнительные сведения о утверждениях и синтаксисе см. в разделе "Роль языка правил утверждений".

Редактор правил утверждений

Синтаксис проверка выполняется редактором правил утверждений после завершения утверждения и нажмите кнопку ОК. Таким образом, если у вас неправильный синтаксис, редактор даст вам знать.

Screenshot of the A D F S Management dialog box showing a message stating that the custom claim rule syntax is not valid.

Журналы событий

При попытке устранить неполадки с утверждением с помощью журналов лучше всего искать выходные данные утверждений. В журнале событий можно найти 1000 и 1001 событий.

Screenshot of the Event Properties dialog box showing the results of a 1000 event I D.

Создание примера приложения

Вы также можете создать пример приложения, которое отражает утверждения. Например, можно использовать пример приложения и создать проверяющую сторону с тем же утверждением, которое вы пытаетесь устранить неполадки и узнать, имеет ли приложение какие-либо проблемы с этим утверждением.

Screenshot of the sample application displayed in a browser.

Здесь доступен хороший пример веб-приложения. Это приложение повторяет утверждения, полученные от проверяющей стороны. Чтобы использовать это, необходимо изменить приложение web.config следующим образом:

  • Измените https://app1.contoso.com/sampapp URL-адрес, который будет использоваться для размещения примера приложения.
  • Изменение всех экземпляров sts.contoso.com на сервер федерации AD FS.
  • Замена отпечатка отпечатком отпечатка отпечатком.

Screenshot of Visual Studio showing the web config file.

В следующей статье блога приведены отличные подробные инструкции по настройке этой статьи.

Next Steps