Déterminer le type de modèle de règle de revendication à utiliser
Une partie importante de la conception d’une infrastructure des services de fédération Active Directory (AD FS) consiste à déterminer l’ensemble complet des règles de revendication, et quels modèles de règles de revendication correspondants vous devez utiliser pour les créer, pour chaque partenaire participant à la fédération avec votre organisation. Vous créez des règles à l’aide de modèles de règle de revendication dans le composant logiciel enfichable Gestion AD FS.
Chaque ensemble de règles de revendication configuré peut uniquement être associé à une approbation fédérée. Cela signifie que vous ne pouvez pas créer d’ensemble de règles sur une approbation et l’utiliser pour d’autres approbations de votre service FS (Federation Service). Au lieu de cela, vous pouvez facilement créer des règles à partir de modèles de règles de revendication de manière à produire plus rapidement un ensemble de revendications souhaité convenu entre chaque partenaire fédéré et votre organisation.
Pour plus d’informations sur les règles et les modèles de règle, voir The Role of Claim Rules.
Avant de commencer à déterminer les types de modèles de règle de revendication que vous devez utiliser, posez-vous les questions suivantes :
Quelles revendications seront fournies par vos fournisseurs de revendications approuvés ?
Quelles revendications issues de quel fournisseur approuvez-vous ?
Quelles sont les revendications requises par les parties de confiance qui approuvent ce service FS (Federation Service) ?
Quelles revendications êtes-vous prêtes à divulguer à chaque partie de confiance ?
Quels utilisateurs doivent avoir accès à chaque partie de confiance ?
La réponse à ces questions vous aidera à planifier une conception de règle de revendication solide. Cela vous aidera également à créer une stratégie de contrôle d’accès et d’autorisation en continu et d’améliorer l’efficacité de votre équipe lors du déploiement.
La section suivante vous permet de découvrir le type de modèles de règle à sélectionner pour votre environnement en fonction des besoins de votre entreprise.
Types de modèles de règle de revendication
Le tableau suivant décrit tous les types de modèles de règle de revendication que vous pouvez utiliser pour créer des règles à l’aide du composant logiciel enfichable Gestion AD FS et les avantages liés à l’utilisation d’un type de modèle par rapport à un autre.
Type de modèle de règle | Description | Avantages | Inconvénients |
---|---|---|---|
Passer ou filtrer une revendication entrante | Utilisé pour créer une règle qui transmet toutes les valeurs de revendication d’un type de revendication sélectionné ou filtre les revendications en fonction de leurs valeurs afin de ne transmettre que certaines valeurs de revendication pour un type de revendication sélectionné. Pour plus d'informations, voir When to Use a Pass Through or Filter Claim Rule. |
- Peut être utilisé pour sélectionner des revendications à accepter ou à émettre sans modification. | - Le type de revendication et la valeur ne peuvent pas être modifiés. |
Transformer une revendication entrante | Utilisé pour créer une règle qui peut sélectionner une revendication entrante et la mapper à un type de revendication différent ou mapper sa valeur à une nouvelle valeur de revendication. Pour plus d'informations, voir When to Use a Transform Claim Rule. |
- Peut être utilisé pour normaliser des types des valeurs de revendication. - Peut remplacer le suffixe d’adresse e-mail d’une revendication entrante. |
- Les remplacements de chaîne plus complexes nécessitent une règle personnalisée. |
Envoyer les attributs LDAP en tant que revendications | Utilisé pour créer une règle qui sélectionne les attributs à partir d’un magasin d’attributs LDAP à envoyer en tant que revendications à la partie de confiance. Pour plus d'informations, voir When to Use a Send LDAP Attributes as Claims Rule. |
- Peut obtenir des revendications à partir de n’importe quel magasin d’attributs AD DS/AD LDS. - Plusieurs revendications peuvent être émises à l’aide d’une seule règle. |
- Ralentissement des performances en raison de la recherche de compte. - Impossible d’utiliser un filtre LDAP personnalisé pour l’interrogation. |
Envoyer l’appartenance à un groupe en tant que revendication | Utilisé pour créer une règle qui peut envoyer une valeur et un type de revendication spécifié lorsqu’un utilisateur est membre d’un groupe de sécurité Active Directory. Une seule revendication sera envoyée à l’aide de cette règle, en fonction du groupe que vous sélectionnez. Pour plus d'informations, voir When to Use a Send Group Membership as a Claim Rule. |
- Rapidité d’émission des revendications de groupe : aucune recherche de compte. | - L’utilisateur doit être membre d’un groupe Active Directory local. |
Envoyer des revendications à l’aide d’une règle personnalisée | Utilisé pour créer une règle personnalisée qui offre des options plus avancées qu’un modèle de règle standard. - Les règles personnalisées sont rédigées à l’aide du langage de règle de revendication AD FS. Pour plus d'informations, voir When to Use a Custom Claim Rule. |
- Peut être utilisé pour obtenir des revendications auprès d’un magasin d’attributs SQL. - Peut être utilisé pour spécifier un filtre LDAP personnalisé. - Peut être utilisé pour émettre un PPID (Private Personal Identifier). - Peut être utilisé avec un magasin d’attributs personnalisés. - Peut être utilisé pour ajouter des revendications uniquement à l’ensemble de revendications d’entrée. - Peut être utilisé pour envoyer des revendications en fonction de plusieurs revendications entrantes. |
- Plus difficile à configurer : un délai de prise en main peut être nécessaire pour prendre connaissance, dans un premier temps, du langage de règle de revendication. |
Autoriser ou refuser des utilisateurs en fonction d'une revendication entrante | Utilisé pour créer une règle qui autorise ou refuse l’accès à la partie de confiance aux utilisateurs, selon le type et la valeur d’une revendication entrante. Pour plus d'informations, voir When to Use an Authorization Claim Rule. |
- Simplifie le processus d’autorisation. | - Exige qu’un seul type de revendication et une seule valeur de revendication soient spécifiés. - Ne prend pas en charge la correspondance au modèle pour les valeurs de revendication. |
Autoriser tous les utilisateurs | Utilisé pour créer une règle qui autorise tous les utilisateurs à accéder à la partie de confiance. Pour plus d'informations, voir When to Use an Authorization Claim Rule. |
– Facile à configurer | - Moins sécurisé que l’utilisation du modèle Autoriser ou refuser des utilisateurs en fonction d’une revendication entrante |