All Collections
SSO - Leiðbeiningar
Skrefin á ADFS þjóni
Claim reglur
Claim reglur

Hvernig á að setja upp claim reglur og hvaða reglur eru í boði fyrir CCQ

S
Written by SusieQ
Updated over a week ago


Um nokkrar mismunandi tegundir claim reglna er að ræða.

1. Email

2. Name

3. Group

4. Display-Name

5. Manager - ManagerMail (custom)

Mikilvægt er að öll fyrirtæki setji upp claim reglur fyrir Email og Name, en það er að sjálfsögðu mismunandi eftir fyrirtækjum hvaða AD grúppur er verið að nota og hvað þær heita.

Þegar búið er setja upp relying party trust Í ADFS þá er hægt að búa til claim reglur fyrir viðkomandi RPT. Edit Claim Rules glugginn er opnaður og smellt á Add Rule... til að opna Add Transform Claim Rule wizardinn sem tekur okkur í gegnum ferlið skref fyrir skref.

Setja upp claim reglur fyrir Email:

1. Choose Rule Type
Fyrsta skrefið er að velja rétta gerð af claim reglu.
Fyrir "email reglu" skal velja Send LDAP Attributes as Claims undir Claim rule template – og smella á Next.

2. Configure Claim Rule
Næsta skref er að gefa reglunni eitthvað lýsandi nafn og velja "Active Directory" sem Attribute store.
Þá þarf að velja "E-Mail-Addresses" sem LDAP Attribute og mappa saman við "E-Mail-Address" undir Outgoing Claim Type.
Smellið á Finish til að vista regluna.

Auðvelt er að breyta reglum eftir á, ef þörf krefur, með því að smella á Edit Rule...
Mikilvægt er að email-svæði séu rétt útfyllt í AD, því netföng eru notuð til auðkenningar á notendum í CCQ.

Setja upp claim reglu fyrir Name:

1. Choose Rule Type
Undir Claim rule template skal velja Pass Through or Filter an Incoming Claim og smella á Next.

2. Configure Claim Rule
Gefa skal reglunni nafn eins og áður, og í Incoming claim type þarf að velja "Name."
Nauðsynlegt er að haka í "Pass through all claim values" radio takkann og smella á Finish til að vista regluna.

Setja upp claim rule fyrir Group:

1. Choose Rule Type
Misjafnt er eftir CCQ áskrift fyrirtækja hversu mörgum kerfiseiningum þau hafa aðgang að, en fyrir hvern aðgangshóp í AD þarf að búa til "group" claim reglu. Ferlið er það sama fyrir flestar tegundir claim reglna og sniðmátin ósköp svipuð, en í þessu tilfelli þarf að velja Send Group Membership as a Claim undir Claim rule template – og smella á Next.

2. Configure Claim Rule
Nafn reglunnar þarf helst að vera nokkuð lýsandi, og hér þarf að passa vel upp á að velja réttan AD aðgangshóp undir User's group.
Þá þarf að velja "Group" sem Outgoing claim type og eitthvað gildi á Outgoing claim value. Ágætis venja er að nota sama nafn og er á claim reglunni sjálfri í claim value reitnum, til að draga úr líkum á ruglingi og stafsetningarvillum.
Smellið á Finish til að vista regluna.

Mikilvægt er að gildið sem slegið er inn í Outgoing claim value, sé það sama og notað er í SSO stillingunum í CCQ.

Nánar verður farið í það hvernig grúppur eru mappaðar saman í kaflanum ADFS | Aðgangshópar kerfiseininga hér fyrir neðan, en samsvarandi grúppur og sjást á myndinni hér að ofan þyrftu að líta einhvern veginn svona út CCQ megin:

Setja upp claim reglu fyrir Display-Name:

Nýlega hefur verið bætt við þeim möguleika að senda Display-Name frá AD til CCQ, þannig að notendur sem skrá sig inn í gegnum SSO verða til undir fullu nafni eins og það er skráð í AD (Display-Name) í stað þess að nafnið verður til á forminu DOMAIN\user. Einnig hefur verið bætt við möguleika að senda netfang yfirmanns notanda, managerEmail, eins og það er skráð í AD, sjá hér nánar í næstu málsgrein.

Nýskráning með SSO án þess að nota DisplayName reglu:

Nýskráning með SSO þar sem notuð er DisplayName regla:

Þetta er gert með sama hætti og hinar reglurnar.

Velja þarf "Display-Name" sem LDAP Attribute og mappa saman við "DisplayName" undir Outgoing Claim Type.

Athugið að Outgoing Claim Type verður að vera DisplayName án bandstriks svo það virki í CCQ.

(Því miður vantar skýringarmyndir úr ADFS fyrir DISPLAYNAME reglu)

Setja upp claim reglu fyrir Manager - ManagerMail (custom):

Hægt er að senda netfang yfirmanns notanda með innskráningu, er sá reitur notaður af sumum fyrirtækjum, m.a. í CCQ Ábendingum.

Útbúa þarf tvær sérreglur (e. custom rules) „Get Managers Email“ og „Send Managers Email“. Sjá dæmi um þá fyrri hér á myndinni, og nákvæma lýsingu á hvorri reglu fyrir sig hér að neðan.

Athugið að í skráningu notanda í Active Directory verður þetta svæði þá að vera útfyllt með viðkomandi yfirmanni svo að þær upplýsingar fylgi með í innskráningunni.

Innihald custom rule fyrir Get Managers Email:

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]

=> add(store = "Active Directory", types = ("claim:manager/dn"), query = ";manager;{0}", param = c.Value);

Innihald custom rule fyrir Send Managers Email:

c1:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]

&& c2:[Type == "claim:manager/dn"]

=> issue(store = "Active Directory", types = ("claim:managerEmail"), query = "(distinguishedName={1});mail;{0}", param = c1.Value, param = c2.Value);

Næsta skref - CCQ Stillingar

Related Articles
Búa til relying party trust
Email regla
Group regla
DisplayName regla
Entra ID (Azure) | CCQ stillingar vegna SSO
Did this answer your question?