Einsatzbereiche für das Versenden einer Gruppenmitgliedschaft als Anspruchsregel

Sie können diese Regel in Active Directory-Verbunddienste (AD FS) verwenden, wenn Sie nur für Benutzer einen neuen ausgehenden Anspruchswert ausstellen möchten, die Mitglieder einer bestimmten Active Directory-Sicherheitsgruppe sind. Wenn Sie diese Regel anwenden, stellen Sie einen einzelnen Anspruch aus, der nur für die angegebene Gruppe gilt, wie in folgender Tabelle beschrieben.

Regeloption Regellogik
Ausgehender Anspruchswert Wenn die Gruppenmitgliedschaft des Benutzers gleich der angegebenen Gruppe und der Typ des ausgehenden Anspruchs gleich dem angegebenen Anspruchstyp ist, ersetzen Sie den vorhandenen Wert des Gruppennamens durch den angegebenen ausgehenden Anspruchswert und stellen den Anspruch aus.

Die folgenden Abschnitte enthalten eine grundlegende Einführung in Anspruchsregeln. Darüber hinaus werden Details zu Einsatzbereichen für das Versenden der Gruppenmitgliedschaft als Anspruchsregel angesprochen.

Informationen zu Anspruchsregeln

Eine Anspruchsregel stellt eine Instanz der Geschäftslogik dar, die auf einen eingehenden Anspruch eine Bedingung anwendet (wenn x, dann y) und auf der Grundlage der Bedingungsparameter einen ausgehenden Anspruch erzeugt. Die folgende Liste enthält wichtige Tipps zu Anspruchsregeln, die Sie kennen sollten, bevor Sie fortfahren, dieses Thema zu lesen:

  • Im AD FS-Verwaltungs-Snap-In können Anspruchsregeln nur mit Anspruchsregelvorlagen erstellt werden.

  • Anspruchsregeln verarbeiten eingehende Ansprüche entweder direkt von einem Anspruchsanbieter (wie Active Directory oder einem anderen Verbunddienst) oder von der Ausgabe der Akzeptanztransformationsregeln in einer Anspruchsanbietervertrauensstellung aus.

  • Anspruchsregeln werden von der Anspruchsausstellungs-Engine chronologisch nach einem bestimmten Regelsatz verarbeitet. Indem Sie eine Rangfolge der Regeln festlegen, können Sie Ansprüche, die durch vorausgehende Regeln in einem bestimmten Regelsatz generiert werden, weiter optimieren oder filtern.

  • Anspruchsregelvorlagen erfordern immer, dass Sie einen eingehenden Anspruchstyp angeben. Allerdings können Sie mehrere Anspruchswerte mit den gleichen Anspruchstyp mithilfe einer einzigen Regel verarbeiten.

Ausführlichere Informationen zu Anspruchsregeln und Anspruchsregelsätzen finden Sie unter Die Rolle von Anspruchsregeln. Weitere Informationen dazu, wie Regeln verarbeitet werden, finden Sie unter Die Rolle der Anspruchs-Engine. Weitere Informationen dazu, wie Anspruchsregelsätze verarbeitet werden, finden Sie unter Die Rolle der Anspruchspipeline.

Ausgehender Anspruchswert

Mithilfe der Regelvorlage „Send Group Membership as a Claim“, können Sie einen Anspruch ausstellen, der abhängig davon ist, ob ein Benutzer Mitglied einer von Ihnen festgelegten Gruppe ist.

Anders ausgedrückt, stellt diese Regelvorlage einen Anspruch nur dann aus, wenn der Benutzer die Gruppensicherheits-ID (SID) besitzt, die der vom Administrator angegebenen Active Directory-Gruppe entspricht. Alle Benutzer, die sich an Active Directory-Domänendiensten (AD DS) authentifizieren, haben Ansprüche für die SIDs eingehende Gruppen, denen sie angehören. Standardmäßig leiten die Akzeptanztransformationsregeln in der Active Directory-Anspruchsanbieter-Vertrauensstellung diese Gruppen-SID-Ansprüche durch. Das Verwenden dieser Gruppen-SIDs als Basis für das Ausstellen von Ansprüchen ist sehr viel schneller als das Nachschlagen der Benutzergruppen in AD DS.

Wenn Sie diese Regel verwenden, wird nur ein einzelner Anspruch anhand der ausgewählten Active Directory-Gruppe gesendet. Beispielsweise können Sie diese Regelvorlage zum Erstellen einer Regel nutzen, die einen Gruppenanspruch mit dem Wert „Admin“ sendet, wenn der Benutzer ein Mitglied der Sicherheitsgruppe „Domänenadmins“ ist.

Konfigurieren diese Regel in einer Anspruchsanbietervertrauensstellung

Administratoren sollten diesen Regeltyp in Akzeptanztransformationsregeln des Anspruchsanbieters nur dann verwenden, wenn von dem Anspruchsanbieter Gruppen-SIDs empfangen werden. Das ist für Anspruchsanbieter außer Active Directory oder AD DS sehr ungewöhnlich.

Erstellen dieser Regel

Sie erstellen diese Regel entweder mithilfe der Anspruchsregelsprache oder mithilfe der Regelvorlage „Send LDAP Group Membership as a Claim“ im AD FS-Verwaltungs-Plug-In. Diese Regelvorlage bietet die folgenden Konfigurationsoptionen:

  • Angeben eines Anspruchsregelnamens

  • Auswählen der Gruppe eines Benutzers mithilfe der Objektauswahl

  • Auswählen eines ausgehenden Anspruchstyps

  • Auswählen eines ausgehenden Name-ID-Formats (das nur verfügbar ist, wenn „Name-ID“ im Feld für den Typ des ausgehenden Anspruchs ausgewählt wird).

  • Angeben eines ausgehenden Anspruchswerts

Weitere Informationen zum Erstellen dieser Regel finden Sie unter Erstellen einer Regel zum Senden einer Gruppenmitgliedschaft als Anspruch.

Verwenden der Anspruchsregelsprache

Wenn Ansprüche anhand einer eingehenden SID ausgestellt werden sollen, die keine Gruppen-ID ist, können Sie hierzu die Regelvorlage „Transform an Incoming Claim“ verwenden. Wenn der Administrator die Namen aller Gruppen abrufen möchte, in welcher der Benutzer Mitglied ist, verwenden Sie stattdessen die Regelvorlage „Send LDAP Attributes as Claims“ mit dem TokenGroups-Attribut.

Beispiel: Ausstellen von Gruppenansprüchen auf Basis der Gruppenmitgliedschaft des Benutzers

Die folgende Regel stellt Gruppenansprüche für einen Benutzer anhand einer eingehenden Gruppen-SID aus:

c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == "S-1-5-21-397933417-626991126-188441444-512", Issuer == "AD AUTHORITY"]
=> issue(Type = "http://schemas.xmlsoap.org/claims/Group", Value = "administrators", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, ValueType = c.ValueType);

Weitere Verweise

Erstellen einer Regel zum Senden von LDAP-Attributen als Ansprüche