Quand utiliser la règle Envoyer l’appartenance à un groupe en tant que revendication
Vous pouvez utiliser cette règle dans les services de fédération Active Directory (AD FS) lorsque vous souhaitez émettre une nouvelle valeur de revendication sortante destinée uniquement aux utilisateurs membres d’un groupe de sécurité Active Directory spécifié. Lorsque vous utilisez cette règle, vous émettez une seule revendication pour le groupe que vous spécifiez et qui correspond à la logique de la règle, comme décrit dans le tableau suivant.
| Option de règle | Logique de règle |
|---|---|
| Valeur de revendication sortante | Si l’appartenance au groupe de l’utilisateur est égale au groupe spécifié et que le type de revendication sortante est égal au type de revendication spécifié, remplacez la valeur de nom de groupe existante avec la valeur de revendication sortante spécifiée et émettez la revendication. |
Les sections suivantes présentent brièvement les règles de revendication. Elles expliquent également quand utiliser la règle Envoyer l’appartenance en tant que revendication.
À propos des règles de revendication
Une règle de revendication représente une instance de logique métier qui gère une revendication entrante, lui applique une condition (si x, alors y) et génère une revendication sortante en fonction des paramètres de la condition. La liste suivante présente d’importantes astuces sur les règles de revendication dont vous devez prendre connaissance avant de poursuivre la lecture de cette rubrique :
Dans le composant logiciel enfichable Gestion AD FS, les règles de revendication peuvent uniquement être créées à l’aide de modèles de règle de revendication.
Les règles de revendication traitent les revendications entrantes soit directement depuis un fournisseur de revendications (tel qu’Active Directory ou un autre service de fédération), soit à partir du résultat des règles de transformation d’acceptation sur une approbation de fournisseur de revendications.
Les règles de revendication sont traitées par le moteur d’émission des revendications au sein d’un ensemble de règles donné et dans l’ordre chronologique. En définissant la hiérarchie des règles, vous pouvez affiner ou filtrer des revendications générées par des règles précédentes dans un ensemble de règles donné.
Les modèles de règles de revendication vous obligent toujours à spécifier un type de revendication entrante. Toutefois, vous pouvez traiter plusieurs valeurs de revendication avec le même type de revendication en vous appuyant sur une règle unique.
Pour plus d’informations sur les règles de revendication et les ensembles de règles de revendication, consultez Rôle des règles de revendication. Pour plus d’informations sur le traitement des règles, consultez Rôle du moteur de revendications. Pour plus d’informations sur le traitement des ensembles de règles de revendication, consultez Rôle du pipeline de revendications.
Valeur de revendication sortante
À l’aide du modèle de règle Envoyer l’appartenance à un groupe en tant que revendication, vous pouvez émettre une revendication en fonction de l’appartenance de l’utilisateur au groupe que vous spécifiez.
En d’autres termes, ce modèle de règle émet une revendication uniquement lorsque l’ID de sécurité de groupe de l’utilisateur (SID) correspond au groupe Active Directory spécifié par l’administrateur. Tous les utilisateurs qui s’authentifient auprès des services de domaine Active Directory (AD DS) recevront des revendications SID de groupe entrantes pour chaque groupe auquel ils appartiennent. Par défaut, les règles de transformation d’acceptation dans l’approbation de fournisseur de revendications Active Directory passent par ces revendications SID de groupe. L’utilisation de ces SID de groupe comme base pour l’émission de revendications est beaucoup plus rapide que la recherche des groupes de l’utilisateur dans AD DS.
Lorsque vous utilisez cette règle, une seule demande est envoyée, en fonction du groupe Active Directory que vous sélectionnez. Par exemple, vous pouvez utiliser ce modèle de règle pour créer une règle qui envoie une revendication de groupe avec la valeur Admin si l’utilisateur est membre du groupe de sécurité Administrateurs du domaine.
Configuration de cette règle sur une approbation de fournisseur de revendications
Les administrateurs doivent utiliser ce type de règle dans les règles de transformation d’acceptation d’une approbation de fournisseur de revendications uniquement lorsque les SID de groupe sont reçus à partir du fournisseur de revendications. Il s’agit d’un cas de figure rare pour les fournisseurs de revendications, à l’exception d’Active Directory ou des services AD DS.
Comment créer cette règle
Vous pouvez créer cette règle à l’aide du langage des règles de revendication ou du modèle de règle Envoyer l’appartenance au groupe LDAP en tant que revendication dans le composant logiciel enfichable Gestion AD FS. Ce modèle de règle fournit les options de configuration suivantes :
Spécifier un nom de règle de revendication
Sélectionner le groupe d’un utilisateur à l’aide du sélecteur d’objet
Sélectionner un type de revendication sortante
Sélectionner un format d’ID de nom sortant (disponible uniquement lorsque l’ID de nom est choisi dans le champ Type de revendication sortante)
Spécifier une valeur de revendication sortante
Pour plus d’informations sur la création de cette règle, consultez Créer une règle pour envoyer l’appartenance à un groupe en tant que revendication.
Utilisation du langage des règles de revendication
Si vous souhaitez émettre des revendications basées sur un SID entrant autre qu’un SID de groupe, utilisez le modèle de règle Transformer une revendication entrante. Si l’administrateur souhaite récupérer les noms de tous les groupes dont l’utilisateur est membre, utilisez le modèle de règle Envoyer les attributs LDAP en tant que revendication à la place de l’attribut tokenGroups.
Exemple : comment émettre les revendications de groupe selon l’appartenance au groupe de l’utilisateur
La règle suivante émet des revendications de groupe pour un utilisateur en fonction du SID de groupe entrant :
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == "S-1-5-21-397933417-626991126-188441444-512", Issuer == "AD AUTHORITY"]
=> issue(Type = "http://schemas.xmlsoap.org/claims/Group", Value = "administrators", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, ValueType = c.ValueType);
Références supplémentaires
Créer une règle pour envoyer des attributs LDAP en tant que revendications