Determinar o tipo de modelo de regra de declaração a ser usado
Uma parte importante de projetar uma infraestrutura dos Serviços de Federação do Active Directory (AD FS) é determinar o conjunto completo de regras de declaração (e quais modelos de regras de declaração correspondentes são necessários para criá-la) para cada parceiro que participa da federação com sua organização. Você cria regras usando modelos de regras de declaração no snap-in de gerenciamento do AD FS.
Cada conjunto de regras de declaração que você configura só pode ser associado uma relação federada de confiança. Isso significa que você não pode criar um conjunto de regras em uma relação de confiança e usá-las em outras relações de confiança no Serviço de Federação. Em vez disso, você pode facilmente criar regras dos modelos de regra de declaração para ajudar a produzir um conjunto desejado de declarações, com a concordância dos parceiros federados e de sua organização.
Para obter mais informações sobre regras e modelos de regras, consulte The Role of Claim Rules.
Antes de começar a determinar os tipos de modelos de regras de declaração que você deve usar, considere as seguintes perguntas:
Quais declarações serão fornecidas por seus provedores de declarações confiáveis?
Quais declarações de cada provedor de declarações você confia?
Quais declarações são exigidas pelas partes confiantes que confiam neste Serviço de Federação?
Que declarações você está disposto a divulgar a cada terceira parte confiável?
Quais usuários terão acesso a cada terceira parte confiável?
A resposta a essas perguntas ajudará a planejar um design sólido de regra de declaração. Também ajudará criar uma autorização suave e estratégia de controle de acesso e tornará sua equipe de implantação mais eficiente durante a distribuição.
Na próxima seção você pode aprender sobre o tipo de modelos de regras a selecionar para o seu ambiente com base no que a empresa precisa.
Tipos de modelo de regra de declaração
A tabela a seguir descreve todos os tipos de modelos de regras de declaração que você pode usar para criar regras usando o snap-in de gerenciamento do AD FS e os benefícios de usar um tipo de modelo em detrimento a outro.
Tipos de modelo de regra | Descrição | Vantagens | Desvantagens |
---|---|---|---|
Passar ou filtrar uma declaração de entrada | Usado para criar uma regra que passará todos os valores de declaração para um tipo selecionado ou filtrará declarações com base nos valores da declaração para que somente determinados valores de um tipo de declaração selecionado sejam passados. Para obter mais informações, consulte When to Use a Pass Through or Filter Claim Rule. |
– Pode ser usado para selecionar declarações específicas a serem aceitas ou emitidas inalteradas | – O tipo e o valor da declaração não podem ser alterados |
Transformar uma declaração de entrada | Usado para criar uma regra que pode selecionar uma declaração de entrada e mapeá-la para um tipo de declaração diferente ou mapear seu valor para um novo valor. Para obter mais informações, consulte When to Use a Transform Claim Rule. |
– Pode ser usado para normalizar tipos ou valores de declaração – Pode substituir um sufixo de email de uma declaração de entrada |
– Substituições de cadeia de caracteres mais complexas exigem uma regra personalizada |
Enviar atributos LDAP como declarações | Usado para criar uma regra que selecionará os atributos de um repositório de atributos LDAP para enviar como declarações à terceira parte confiável. Para obter mais informações, consulte When to Use a Send LDAP Attributes as Claims Rule. |
– Pode extrair declarações de qualquer repositório de atributos do AD DS/AD LDS – Várias declarações podem ser emitidas com uma única regra |
– Desempenho – lento como resultado da pesquisa de conta – Não é possível usar um filtro LDAP personalizado para consulta |
Enviar uma associação de grupo como uma declaração | Usado para criar uma regra que pode enviar um tipo de declaração especificado e um valor quando um usuário é membro de um grupo de segurança do Active Directory. Apenas uma única declaração será enviada usando essa regra, com base no grupo selecionado. Para obter mais informações, consulte When to Use a Send Group Membership as a Claim Rule. |
– Desempenho rápido para emitir declarações de grupo – nenhuma pesquisa de conta | – O usuário deve ser membro de um grupo local do Active Directory |
Enviar declarações usando uma regra personalizada | Usado para criar uma regra personalizada que forneça mais opções avançadas de um modelo de regra padrão. Você escreve regras personalizadas com a linguagem de regra de declaração do AD FS. Para obter mais informações, consulte When to Use a Custom Claim Rule. |
– Pode ser usado para extrair declarações de um repositório de atributos de SQL – Pode ser usado para especificar um filtro LDAP personalizado – Pode ser usado para emitir um PPID – Pode ser usado com um repositório de atributos personalizados – Pode ser usado para adicionar declarações somente ao conjunto de declarações de entrada – Pode ser usado para enviar solicitações com base em mais de uma declaração de entrada |
– Mais difícil de configurar – algum tempo de atividade para evolução pode ser necessário para obter inicialmente o conhecimento do idioma da regra de declaração |
Permitir ou negar usuários com base em uma declaração de entrada | Usado para criar uma regra que vai permitir ou negar o acesso de usuários à terceira parte confiável, com base no tipo e valor de uma declaração de entrada. Para obter mais informações, consulte When to Use an Authorization Claim Rule. |
– Simplifica o processo de autorização | – Exige que apenas um tipo de declaração e um valor de declaração sejam especificados – Não oferece suporte para padrões correspondentes aos valores de declaração |
Permitir todos os usuários | Usado para criar uma regra que permitirá que todos os usuários acessem a terceira parte confiável. Para obter mais informações, consulte When to Use an Authorization Claim Rule. |
– Simples de configurar | – Menos seguro do que usar Permitir ou Recusar usuários com base em um modelo de declaração de entrada |