Active Directory フェデレーション サービス (AD FS) でこの規則を使用できるのは、指定した Active Directory セキュリティ グループのメンバーであるユーザーに対してのみ、新しい送信要求値を発行する場合です。 この規則を使用する場合は、次の表に示すように、指定したグループに対してのみ 1 つの要求を発行し、ルール ロジックに一致します。
| ルール オプション | ルール ロジック |
|---|---|
| 出力方向の要求の値 | ユーザーのグループ メンバーシップが 指定したグループ と等しく、送信要求の種類が 指定した要求の種類と等しい場合は、既存のグループ名の値を 指定した送信要求の値 に置き換え、要求を発行します。 |
次のセクションでは、要求規則の基本的な概要について説明します。 また、グループ メンバーシップの送信を要求規則として使用するタイミングに関する詳細も提供します。
要求規則について
要求規則は、受信要求を受け取り、条件を適用し (x の場合は y の場合)、条件パラメーターに基づいて送信要求を生成するビジネス ロジックのインスタンスを表します。 次の一覧では、このトピックの詳細を読む前に要求規則について知っておくべき重要なヒントの概要を示します。
AD FS 管理スナップインでは、要求規則は要求規則テンプレートを使用してのみ作成できます
要求規則は、要求プロバイダー (Active Directory や別のフェデレーション サービスなど) から直接、または要求プロバイダー信頼に対する受け入れ変換規則の出力から受信要求を処理します。
要求規則は、特定の規則セット内の時系列の順序で要求発行エンジンによって処理されます。 ルールに優先順位を設定することで、特定のルール セット内の以前のルールによって生成された要求をさらに絞り込んだり、フィルター処理したりできます。
要求規則テンプレートでは、常に受信要求の種類を指定する必要があります。 ただし、1 つの規則を使用して、同じ要求の種類を持つ複数の要求値を処理できます。
要求規則と要求規則セットの詳細については、「要求規則 の役割」を参照してください。 ルールの処理方法の詳細については、「 要求エンジンの役割」を参照してください。 要求規則セットの処理方法の詳細については、「要求パイプラインの役割」を参照してください。
出力方向の要求の値
[グループ メンバーシップの送信] を要求規則テンプレートとして使用すると、指定したグループのメンバーがユーザーであるかどうかを示す要求を発行できます。
つまり、このルール テンプレートは、管理者が指定した Active Directory グループに一致するグループ セキュリティ ID (SID) をユーザーが持っている場合にのみ要求を発行します。 Active Directory Domain Services (AD DS) に対して認証を行うすべてのユーザーは、所属するグループごとに受信グループ SID 要求を受け取ります。 既定では、Active Directory 要求プロバイダー信頼の受け入れ変換規則は、これらのグループ SID 要求を通過します。 要求を発行するための基礎としてこれらのグループ SID を使用すると、AD DS でユーザーのグループを検索するよりもはるかに高速です。
この規則を使用すると、選択した Active Directory グループに基づいて、1 つの要求のみが送信されます。 たとえば、ユーザーが Domain Admins セキュリティ グループのメンバーである場合は、このルール テンプレートを使用して、"Admin" の値を持つグループ要求を送信するルールを作成できます。
クレームプロバイダーの信頼関係にこの規則を設定する
グループSIDがクレームプロバイダーから受信される場合に限り、この規則の種類を要求プロバイダー信頼の受け入れ変換規則で使用する必要がありますが、これは Active Directory または AD DS の場合を除き、クレームプロバイダーでは非常にまれです。管理者はこの条件をしっかりと理解しておくべきです。
このルールを作成する方法
この規則は、要求規則言語を使用するか、AD FS 管理スナップインの要求規則テンプレートとして LDAP グループ メンバーシップを送信して作成します。 このルール テンプレートには、次の構成オプションが用意されています。
要求規則名を指定する
オブジェクト ピッカーを使用してユーザーのグループを選択する
出力方向の要求の種類を選択する
送信名 ID 形式を選択します ([名前 ID] が [送信要求の種類] フィールドから選択されている場合にのみ使用できます)。
出力方向の要求の値を指定する
このルールを作成する方法の詳細については、「 グループ メンバーシップを要求として送信するルールを作成する」を参照してください。
要求規則言語の使用
グループ SID 以外の受信 SID に基づいて要求を発行する場合は、受信要求規則テンプレートの変換を使用します。 管理者がユーザーがメンバーになっているすべてのグループの名前を取得する場合は、 代わりに tokenGroups 属性と共に LDAP 属性を要求として送信ルール テンプレートを使用します。
例: ユーザーのグループ メンバーシップに基づいてグループ要求を発行する方法
次の規則は、受信グループ SID に基づいてユーザーのグループ要求を発行します。
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == "S-1-5-21-397933417-626991126-188441444-512", Issuer == "AD AUTHORITY"]
=> issue(Type = "http://schemas.xmlsoap.org/claims/Group", Value = "administrators", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, ValueType = c.ValueType);