當您想要只針對屬於指定 Active Directory 安全組成員的使用者發出新的連出宣告值時,您可以在 Active Directory 同盟服務 (AD FS) 中使用此規則。 當您使用此規則時,只會針對您指定的群組發出單一宣告,且符合規則邏輯,如下表所述。
| 規則選項 | 規則邏輯 |
|---|---|
| 外發索賠金額 | 如果使用者的群組成員資格等於 指定的群組 ,而傳出宣告 類型等於指定的宣告類型,則以 指定的傳出宣告值 取代現有的組名值,併發出宣告。 |
下列各節提供索賠規則的基本簡介。 它們也會提供何時應該使用傳送群組成員資格作為宣告規則的詳細資訊。
關於索賠規則
宣告規則代表一種商業邏輯規則,它將接收傳入的宣告,對其應用條件(如果 x 則為 y),然後根據條件參數生成傳出宣告。 在您進一步閱讀本主題之前,下列清單概述您應該瞭解的宣告規則的重要提示:
在 AD FS 管理控制台中,宣告規則只能使用宣告規則範本來建立。
宣告規則會處理從宣告提供者 (例如 Active Directory 或其他同盟服務) 直接接收的宣告,或者從宣告提供者信任的接受轉換規則輸出接收的宣告。
宣告規則會依照指定規則集內的時間順序,由宣告發行引擎處理。 藉由設定規則的優先順序,您可以進一步精簡或篩選指定規則集內先前規則所產生的宣告。
宣告規則範本一律會要求您指定傳入宣告類型。 不過,您可以使用單一規則來處理具有相同宣告類型的多個宣告值。
如需宣告規則和宣告規則集的詳細資訊,請參閱宣告規則的角色。 如需規則處理方式的詳細資訊,請參閱《宣告引擎的角色》。 如需了解有關處理宣告規則集的更多資訊,請參閱「宣告管線的角色」。
欠款申報值
使用「傳送群組成員資格作為宣告」規則範本,您可以根據使用者是否屬於您指定的群組來發出宣告。
換句話說,只有當用戶擁有符合系統管理員所指定 Active Directory 群組的群組安全性識別碼 (SID) 時,此規則範本才會發出宣告。 所有通過 Active Directory 網域服務(AD DS)驗證的使用者,對其所屬的每一個群組都會獲得相應的群組 SID 宣告。 根據預設,Active Directory 宣告提供者信任中的接受轉換規則會傳遞這些群組 SID 宣告。 使用這些群組 SID 作為發出宣告的基礎,比在 AD DS 中查閱使用者的群組快得多。
當您使用此規則時,只會根據您選取的 Active Directory 群組傳送單一宣告。 例如,您可以使用此規則範本來建立規則,如果使用者是 Domain Admins 安全組的成員,則會傳送值為 “Admin” 的群組宣告。
在宣告提供者信任上設定此規則
系統管理員應僅在從宣告提供者收到群組 SID 的情況下,才在宣告提供者信任的接受轉換規則中使用此規則類型。不過,除了 Active Directory 或 AD DS 以外,從其他宣告提供者收到群組 SID 是非常罕見的。
如何建立此規則
您可以使用宣告規則語言,或在 AD FS 管理嵌入式工具中使用「傳送 LDAP 群組成員資格作為宣告」規則範本來建立此規則。 此規則範本提供下列組態選項:
指定宣告規則名稱
使用物件選擇器選取使用者的群組
選取傳出宣告類型
選取傳出名稱識別碼格式(只有在從[傳出宣告類型] 字段中選擇 [名稱識別元] 時才可使用)
指定傳出宣告值
如需如何建立此規則的詳細資訊,請參閱 建立規則以傳送群組成員資格作為宣告。
使用宣告規則語言
如果您想要根據群組 SID 以外的傳入 SID 發出宣告,請使用轉換傳入宣告規則範本。 如果系統管理員想要擷取用戶所屬之所有群組的名稱,請改用 tokenGroups 屬性來使用 Send LDAP Attributes 作為宣告規則範本。
範例:如何根據使用者的群組成員資格發出群組宣告
根據傳入的群組 SID,下列規則會為使用者發出群組聲明:
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == "S-1-5-21-397933417-626991126-188441444-512", Issuer == "AD AUTHORITY"]
=> issue(Type = "http://schemas.xmlsoap.org/claims/Group", Value = "administrators", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, ValueType = c.ValueType);