Dela via

När du ska använda en regel för pass-through eller filteranspråk

Du kan använda den här regeln i Active Directory Federation Services (AD FS) när du behöver ta en specifik inkommande anspråkstyp och sedan tillämpa en åtgärd som avgör vilka utdata som ska ske baserat på värdena i det inkommande anspråket. När du använder den här regeln släpper du igenom eller filtrerar alla anspråk som matchar regellogiken i följande tabell, baserat på något av de alternativ som du angett i regeln.

Regelalternativ Regellogik
Skicka vidare alla värden för anspråk Om inkommande anspråkstyp är lika med angiven anspråkstyp och värdet är lika med ett värde skickar du anspråket genom
Skicka endast igenom ett specifikt anspråksvärde Om inkommande anspråkstyp är lika med angiven anspråkstyp och värdet är lika med angivet anspråksvärde skickar du anspråket genom
Släpp igenom endast de anspråksvärden som matchar ett specifikt e-postsuffixvärde Om inkommande anspråkstyp är lika med angiven anspråkstyp och värdet är lika med angivet suffixvärde skickar du anspråket genom
Skicka endast igenom anspråksvärden som börjar med ett specifikt värde Om inkommande anspråkstyp är lika med angiven anspråkstyp och värdet börjar med det angivna anspråksvärdet skickar du anspråket genom

Följande avsnitt innehåller en grundläggande introduktion till anspråksregler och ger ytterligare information om när den här regeln ska användas.

Om anspråksregler

En anspråksregel representerar en instans av affärslogik som tar ett inkommande anspråk, tillämpar ett villkor på den (om x sedan y) och skapar ett utgående anspråk baserat på villkorsparametrarna. I följande lista beskrivs viktiga tips som du bör känna till om anspråksregler innan du läser vidare i det här avsnittet:

  • I snapin-modulen AD FS Management kan anspråksregler endast skapas med hjälp av anspråksregelmallar

  • Anspråksregler bearbetar inkommande anspråk antingen direkt från en anspråksleverantör (till exempel Active Directory eller en annan federationstjänst) eller från resultatet av godkännandetransformeringsreglerna på ett förtroende för anspråksleverantör.

  • Anspråksregler bearbetas av anspråksutfärdarmotorn i kronologisk ordning inom en viss regeluppsättning. Genom att ange prioritet för regler kan du ytterligare förfina eller filtrera anspråk som genereras av tidigare regler i en viss regeluppsättning.

  • Anspråksregelmallar kräver alltid att du anger en inkommande anspråkstyp. Du kan dock bearbeta flera anspråksvärden med samma anspråkstyp med hjälp av en enda regel.

Mer detaljerad information om anspråksregler och anspråksregeluppsättningar finns i Rollen för anspråksregler. Mer information om hur regler bearbetas finns i Rollen för anspråksmotorn. Mer information om hur anspråksregeluppsättningar bearbetas finns i Rollen för anspråkspipelinen.

Skicka vidare alla värden för anspråk

När du använder den här åtgärden skickas alla inkommande anspråksvärden för den angivna anspråkstypen igenom som utgående anspråk. När till exempel den inkommande anspråkstypen anges som typ av rollanspråk kopieras alla inkommande anspråksvärden individuellt till nya utgående anspråk med den utgående anspråkstypen Roll.

Filtrera ett anspråk

I AD FS innebär termen anspråksfiltrering att filtrera eller begränsa inkommande anspråksvärden så att endast vissa värden skickas eller skickas via som utgående anspråk. Det är Skicka vidare eller Filtrera en inkommande fordran-mallen som gör den här funktionen möjlig. I egenskaperna för den här regeln kan du ange villkor för att filtrera inkommande värden så att endast de värden som uppfyller dina angivna villkor skickas igenom.

Du kan till exempel använda den här regeln för att endast skicka igenom anspråk som matchar anspråksvärdet för köparen när den inkommande anspråkstypen matchar anspråkstypen roll eller om du bara vill utfärda anspråk om användarens namn, men inte anspråk som innehåller användarens personnummer.

När du använder ett filtervillkor med den här regeln granskas alla inkommande anspråk för att avgöra vilka anspråk som matchar de kriterier som anges av regeln. Alla andra anspråk ignoreras så att endast angivna anspråksvärden som matchar en vald anspråkstyp skickas igenom.

Till exempel, som visas i följande bild, när en regel anges med villkoret att endast filtrera inkommande anspråk som är kopplade till UPN-anspråkstypen och även slutar med @fabrikam.com, ignoreras alla andra inkommande anspråk om de inte uppfyller dessa kriterier. Detta inkluderar det inkommande anspråket med anspråkstypen e-postadress, även om anspråksvärdet slutar med @fabrikam.com. I det här fallet skickas endast anspråket som innehåller värdet för Nick@fabrikam.com till den förlitande parten.

när man ska använda pass-through

Konfigurera den här regeln på en anspråksleverantörstillit

När du använder ett anspråksproviderförtroende kan den här regeln konfigureras för att endast passera inkommande anspråk från anspråksprovidern som matchar vissa begränsningar. Du kanske till exempel bara vill acceptera e-postanspråk från anspråksprovidern. Därför använder du den här regelmallen för att acceptera e-postanspråkstyper som slutar i anspråksproviderns DNS-namn (Domain Name System).

Konfigurera den här regeln på ett förlitande partförtroende

När du använder ett förlitande partförtroende kan den här regeln konfigureras för att skicka igenom eller filtrera utgående anspråk som skickas till den förlitande parten. Vissa förlitande parter kanske inte förstår vissa anspråkstyper, eller så kan vissa anspråk innehålla känslig information som inte bör skickas till vissa förlitande parter. Den här regelmallen kan hjälpa till att upprätthålla dessa policyer för en viss förlitande parts förtroende.

Så här skapar du den här regeln

Du skapar den här regeln med antingen anspråksregelspråket eller med hjälp av mallen Skicka genom eller Filtrera en inkommande anspråksregel i snapin-modulen AD FS Management. Den här regelmallen innehåller följande konfigurationsalternativ:

  • Ange ett namn på anspråksregeln

  • Ange en inkommande anspråkstyp

  • Skicka vidare alla värden för anspråk

  • Skicka endast igenom ett specifikt anspråksvärde

  • Släpp igenom endast de anspråksvärden som matchar ett specifikt e-postsuffixvärde

  • Skicka endast igenom anspråksvärden som börjar med ett specifikt värde

Mer information om hur du skapar den här mallen finns i Skapa en regel för att passera eller filtrera ett inkommande anspråk i AD FS-distributionsguiden.

Att använda anspråksregelspråket

Om ett anspråk endast ska skickas när anspråksvärdet matchar ett anpassat mönster måste du använda en anpassad regel. Mer information finns i När du ska använda en anpassad regel.

Exempel på hur du konstruerar en genomströmnings- eller filterregelsyntax

En enkel filtreringsregel skulle filtrera anspråk baserat på en av egenskaperna som beskrivs ovan. Till exempel kommer följande regel att släppa igenom alla e-postmeddelanden:

c:[type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]  => issue(claim  = c);

Filtret kan logiskt kombineras med OCH. Följande regel accepterar till exempel alla e-postanspråk med värdet johndoe@fabrikam.com:

c:[type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress", value == "johndoe@fabrikam.com "]  => issue(claim  = c);

I exemplen ovan använde filtren alltid en likhetsoperator. Anspråksregelspråket stöder följande operatorer:

  • == - är lika med (skiftlägeskänsligt)

  • != – är inte lika med (skiftlägeskänslig)

  • =~- reguljär uttrycksmatchning

  • !~ – reguljärt uttryck som inte matchar

Följande regel accepterar till exempel alla e-postanspråk som inte utfärdats av den lokala federationsservern som har suffixet boeing.com:

c:[type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress", value =~ "^.*@boeing\.com$" , issuer != "LOCAL AUTHORITY"]  => issue(claim  = c);

Metodtips för att skapa anpassade regler

Ett filter kan tillämpas på en eller flera av egenskaperna för varje anspråk, enligt beskrivningen i följande tabell.

Anspråksegenskap Description
Type Anspråkstypen (representeras vanligtvis som en Uri) återspeglar ett implicit avtal mellan partner i en federation om vilken typ av information som förmedlas i anspråket. Anspråk av typen http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress innehåller till exempel användarens e-postadress.
Value Anspråkets värde. Ett anspråk av typen http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress kan till exempel ha värdet johndoe@fabrikam.com
ValueType ValueType representerar hur informationen i anspråkets värde ska tolkas. Normalt anges ValueType till http://www.w3.org/2001/XMLSchema#string, men anspråksvärdet kan innehålla Base64Binary-kodade data (till exempel en bild) eller ett datum, booleskt värde och så vidare.
Issuer Utfärdaren representerar den part som senast utfärdade anspråken om användaren. Om anspråken hämtas på en federationsserver för anspråkstillhandahållare kommer utfärdaren för alla anspråk att anges som "LOKAL MYNDIGHET". Om anspråken togs emot av en federationsserver för federationsprovider kommer utfärdaren av anspråken att ställas in på identifieraren för anspråksprovidern som signerade säkerhetsmarkören. När regler för anspråk som tas emot från en anspråksleverantör bearbetas kommer därför utfärdaren av alla anspråk att ställas in på samma värde. När du skapar regler för en förlitande part kan utfärdare-egenskapen användas för att skilja mellan anspråk som kommer från olika anspråksproviders.
OriginalIssuer Den här anspråksegenskapen är avsedd att förmedla vilken federationsserver som ursprungligen utfärdade anspråket. Eftersom utfärdareegenskapen för anspråk är inställd på den sista federationsservern som signerade token är den ursprungliga utfärdaren användbar i scenarier där ett anspråk har flödat via mer än en federationsserver (till exempel kan en förlitande part som tar emot en token från en federationsproviderfederationsserver vara intresserad av vilken specifik anspråksleverantörsfederationsserver som autentiserade användaren)
Properties Förutom de fem egenskaper som beskrivs ovan har varje anspråk också en egenskapssamling där namngivna egenskaper kan lagras. Dessa egenskaper serialiseras inte i token och är bara meningsfulla för att skicka information mellan komponenter i anspråksutfärdarpipelinen inom omfånget för en enda federationsserver. Du kan till exempel ange en egenskap under regelhantering för anspråksleverantör och sedan referera till den i regler för betroende part.