設計 Active Directory 同盟服務 (AD FS) 基礎結構的一個重要部分是為每個將與貴組織建立同盟的合作夥伴決定一組完整的宣告規則,以及選擇用於創建這些規則的相應宣告規則範本。 您可以在 AD FS 管理嵌入式管理單元中使用宣告規則範本來建立規則。
您設定的每個宣告規則集只能與一個同盟信任相關聯。 這表示您無法在一個信任上建立一組規則,並將它們用於同盟服務中的其他信任。 相反地,您可以從宣告規則範本輕鬆建立規則,以更快速地協助產生一組所需的宣告,這些宣告會經由每個同盟夥伴與貴組織共同協商並達成一致。
如需了解有關規則及規則範本的更多資訊,請參閱 宣告規則的作用。
開始判斷您應該使用的宣告規則範本類型之前,請考慮下列問題:
您信任的宣告提供者會提供哪些宣告?
您對每個宣告提供者的哪些宣告感到信任?
信任此同盟服務的依賴方需要哪些聲明?
您願意向每個依賴方透露哪些聲明?
哪些用戶應該可以存取每個信賴方?
回答這些問題可協助您規劃穩固的宣告規則設計。 它也將協助您建立順暢的授權和訪問控制策略,並讓您的部署小組在推出期間更有效率。
在下一節中,您可以了解根據您的業務需求,為您的環境選取的規則範本類型。
宣告規則範本類型
下表描述您可以使用 AD FS 管理工具建立規則的所有宣告規則範本類型,以及使用不同範本類型來建立規則的優缺點。
| 規則範本類型 | 說明 | 優點 | 缺點 |
|---|---|---|---|
| 傳遞或篩選傳入聲明 | 用來建立規則,以根據宣告值傳遞所選宣告類型的所有宣告值或篩選宣告,以便只有所選宣告類型的特定宣告值才會通過。 如需詳細資訊,請參閱 何時使用傳遞或篩選宣告規則。 |
- 可以用來選取要被接受或不變更發行的特定申請 | - 宣告類型和值無法變更 |
| 轉換傳入申索 | 用來建立可以選取傳入宣告的規則,並將其對應至不同的宣告類型,或將其宣告值對應至新的宣告值。 如需詳細資訊,請參閱 使用轉換宣告規則的時機。 |
- 可用來將宣告類型或值標準化 - 可以替換傳入的請求之電子郵件地址的後綴 |
- 更複雜的字串取代需要自定義規則 |
| 將LDAP屬性作為宣告傳送 | 用來建立規則,從 LDAP 屬性存放區選取屬性,然後將其作為宣告傳送給信賴憑證者。 如需詳細資訊,請參閱 何時使用傳送 LDAP 屬性作為宣告規則。 |
- 可從任何 AD DS/AD LDS 屬性來源取得宣告 - 您可以使用單一規則發出多個聲明 |
- 效能 – 因帳戶查閱而變慢 - 無法使用自訂 LDAP 篩選條件進行查詢 |
| 將群組成員資格傳送為宣告 | 用來建立規則,當使用者是Active Directory安全組的成員時,可以傳送指定的宣告類型和值。 根據您選取的群組,此規則只會傳送一項索賠。 如需詳細資訊,請參閱 何時使用傳送群組成員資格作為宣告規則。 |
- 發行群組理賠的快速效能 – 無需查閱帳戶 | - 用戶必須是本機 Active Directory 群組的成員 |
| 使用自訂規範傳送索賠 | 用來建立自定義規則,以提供比標準規則範本更進階的選項。 您可以使用 AD FS 宣告規則語言撰寫自訂規則。 如需詳細資訊,請參閱 使用自訂宣告規則的時機。 |
- 可用來從 SQL 屬性存放區提取宣告資訊 - 可用來指定自定義LDAP篩選條件 - 可用來發行 PPID - 可與自定義屬性存放區搭配使用 - 僅可用於將宣告添加至輸入宣告集 - 可用於基於多個傳入要求發送申請 |
- 設定較困難 - 一開始可能需要一些時間熟悉宣告規則語言 |
| 根據傳入的聲明允許或拒絕使用者 | 用來建立一個規則,根據傳入宣告的類型和值,允許或拒絕使用者存取依賴方。 如需詳細資訊,請參閱 何時使用授權宣告規則。 |
- 簡化授權程式 | - 只需要指定一個宣告類型和一個宣告值 - 不支援宣告值的模式比對 |
| 允許所有使用者 | 用於創建一條規則,以允許所有使用者訪問依賴方。 如需詳細資訊,請參閱 何時使用授權宣告規則。 |
- 設定簡單 | - 比起根據傳入宣告範本來允許或拒絕使用者,這種方式的安全性較低。 |