none
ADFS - was ist ImpersonationAuthorizationRules? RRS feed

  • Frage

  • Hallo, Wir hatten mal ADFS 2.0 Stanalone Server 2008r2, dort hatte man in  jeder Vertrauensstellung egal ob das Office 365 ist oder was anderes, irgendwelche Reglen unter ImpersonationAuthorizationRules.  In der neuen ADFS 3.0 Farm geben es diese Regeln nicht und es scheint alles zu funktionieren.

    Kann mir jemand erklären wozu man die ImpersonationAuthorizationRules braucht?

    Mittwoch, 11. Februar 2015 15:15

Antworten

  • Hallo Orcus,

    Die ImpersonationAuthorizationRules legen fest, ob ein Benutzer einen anderen Benutzer vollkommen und mit allen Rechten verkörpern kann. Man sollte sich gut überlegen wem man solch ein Recht gewährt, da die Partei, vor der du dich als jemand anderer ausgibst, nicht weiß ob es der wahre Benutzer oder nur ein Vertreter ist.

    Mehr Informationen über Autorisierungsregeln findest du unter [1].

    Ich hoffe das konnte die Unklarheiten beseitigen.

    [1] https://technet.microsoft.com/en-us/library/ee913560.aspx


    Viele Grüße,
    Anton Mehlmann
    TechNet Deployment Hotline    

    TechNet Deployment-Hotline

    Disclaimer:

    Bitte haben Sie Verständnis dafür, dass wir hier auf Rückfragen gar nicht oder nur sehr zeitverzögert antworten können.
    Bitte nutzen Sie für Rückfragen oder neue Fragen den telefonischen Weg über die TechNet Deployment Hotline: http://technet.microsoft.com/de-de/ff959330

    TechNet Deployment-Hotline
    Telefon: 0800-6087338*
    Email: msdn-technet-support@escde.net

    * 16:00 – 18:00 Uhr (außer an bundeseinheitlichen Feiertagen). Kostenfrei aus dem dt. Festnetz, Mobilfunknetz ggfs. abweichend. Anrufer aus Österreich und der Schweiz können die Telefon-Hotline aus technischen Gründen über +49 721 693 7233 zum Tarif für Auslandsverbindungen des jeweiligen Telefonanbieters erreichen.
    Es gelten Nutzungsbedingungen, Hinweise zu Markenzeichen sowie die allgemein gültigen Informationen zu Datenschutz und Cookies. Bitte beachten Sie auch die gesonderten Nutzungsbedingungen für die Deployment-Hotline.

    Donnerstag, 12. Februar 2015 09:47

Alle Antworten

  • Hallo Orcus,

    Die ImpersonationAuthorizationRules legen fest, ob ein Benutzer einen anderen Benutzer vollkommen und mit allen Rechten verkörpern kann. Man sollte sich gut überlegen wem man solch ein Recht gewährt, da die Partei, vor der du dich als jemand anderer ausgibst, nicht weiß ob es der wahre Benutzer oder nur ein Vertreter ist.

    Mehr Informationen über Autorisierungsregeln findest du unter [1].

    Ich hoffe das konnte die Unklarheiten beseitigen.

    [1] https://technet.microsoft.com/en-us/library/ee913560.aspx


    Viele Grüße,
    Anton Mehlmann
    TechNet Deployment Hotline    

    TechNet Deployment-Hotline

    Disclaimer:

    Bitte haben Sie Verständnis dafür, dass wir hier auf Rückfragen gar nicht oder nur sehr zeitverzögert antworten können.
    Bitte nutzen Sie für Rückfragen oder neue Fragen den telefonischen Weg über die TechNet Deployment Hotline: http://technet.microsoft.com/de-de/ff959330

    TechNet Deployment-Hotline
    Telefon: 0800-6087338*
    Email: msdn-technet-support@escde.net

    * 16:00 – 18:00 Uhr (außer an bundeseinheitlichen Feiertagen). Kostenfrei aus dem dt. Festnetz, Mobilfunknetz ggfs. abweichend. Anrufer aus Österreich und der Schweiz können die Telefon-Hotline aus technischen Gründen über +49 721 693 7233 zum Tarif für Auslandsverbindungen des jeweiligen Telefonanbieters erreichen.
    Es gelten Nutzungsbedingungen, Hinweise zu Markenzeichen sowie die allgemein gültigen Informationen zu Datenschutz und Cookies. Bitte beachten Sie auch die gesonderten Nutzungsbedingungen für die Deployment-Hotline.

    Donnerstag, 12. Februar 2015 09:47
  • Danke für die Erklärung, das gleiche steht in dem Link, aber so richtig verstehe ich es leider nicht. Nehmen wir an Beispiel von Office 365. Was sagen die aus, was ist wenn die nicht das sind?

    PS C:\> (Get-ADFSRelyingPartyTrust -name "Microsoft Office 365 Identity Platform").ImpersonationAuthorizationRules

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid", Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"]

     => issue(store = "_ProxyCredentialStore", types = ("http://schemas.microsoft.com/authorization/claims/permit"), query = "isProxySid({0})", param = c.Value);

     

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"]

     => issue(store = "_ProxyCredentialStore", types = ("http://schemas.microsoft.com/authorization/claims/permit"), query = "isProxySid({0})", param = c.Value);

     

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/proxytrustid", Issuer =~ "^SELF AUTHORITY$"]

     => issue(store = "_ProxyCredentialStore", types = ("http://schemas.microsoft.com/authorization/claims/permit"), query = "isProxyTrustProvisioned({0})", param = c.Value);

    Donnerstag, 12. Februar 2015 13:54