Erstellen einer Regel zum Senden eines mit AD FS 1.x kompatiblen Anspruchs

  • Artikel

In Situationen, in denen Sie Active Directory-Verbunddienste (AD FS) zum Ausstellen von Ansprüchen verwenden, die von Verbundservern mit AD FS 1.0 (Windows Server 2003 R2) oder AD FS 1.1 (Windows Server 2008 oder Windows Server 2008 R2) empfangen werden, müssen Sie Folgendes tun:

  • Erstellen Sie eine Regel, die einen Namens-ID-Anspruchstyp im Format „UPN“, „E-Mail“ oder „Allgemeiner Name“ sendet.

  • Alle anderen gesendeten Ansprüche müssen einen der folgenden Anspruchstypen aufweisen:

    • AD FS 1.x -E-Mailadresse

    • AD FS 1.x UPN

    • Allgemeiner Name

    • Group

    • Jeder andere Anspruchstyp, der mit https://schemas.xmlsoap.org/claims/beginnt, wie z. B. https://schemas.xmlsoap.org/claims/EmployeeID

Verwenden Sie je nach Bedarf Ihrer Organisation eines der folgenden Verfahren, um einen AD FS 1.x-kompatiblen Namens-ID-Anspruch zu erstellen:

  • Erstellen Sie diese Regel, um einen AD FS 1.x-Namens-ID-Anspruch mithilfe der RegelvorlageEingehenden Anspruch weiterleiten oder filtern auszustellen.

  • Erstellen Sie diese Regel, um einen AD FS 1.x-Namens-ID-Anspruch mithilfe der RegelvorlageEingehenden Anspruch transformieren auszustellen. Sie können diese Regelvorlage in Situationen verwenden, in denen Sie den vorhandenen Anspruchstyp in einen neuen Anspruchstyp ändern möchten, der mit AD FS 1. x-Ansprüchen funktioniert.

Hinweis

Damit diese Regel wie erwartet funktioniert, stellen Sie sicher, dass die Vertrauensstellung der vertrauenden Seite oder der Anspruchsanbieter, in der Sie diese Regel erstellen, für die Verwendung des AD FS 1.0- und 1.1-Profils konfiguriert wurde.

So erstellen Sie eine Regel, um einen AD FS 1.x-Namens-ID-Anspruch unter Verwendung der Regelvorlage „Eingehenden Anspruch weiterleiten oder filtern“ für eine Vertrauensstellung der vertrauenden Seite in Windows Server 2016 auszustellen.

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie in der Konsolenstruktur unter AD FS auf Vertrauensstellungen der vertrauenden Seite. Screenshot that shows where to select Relying Party Trusts when you create a rule to issue an AD FS 1.x Name ID claim.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie anschließend auf Anspruchsausstellungsrichtlinie bearbeiten. Screenshot that shows where to select the Edit Claim Issuance Policy option when you create a rule to issue an AD FS 1.x Name ID claim.

  4. Klicken Sie im Dialogfeld Anspruchsausstellungsrichtlinie bearbeiten unter Ausstellungstransformationsregeln auf Regel hinzufügen, um den Regel-Assistenten zu starten. Screenshot that shows where to select Add Rule when you create a rule to issue an AD FS 1.x Name ID claim.

  5. Wählen Sie auf der Seite Regelvorlage auswählen unter Anspruchsregelvorlage aus der Liste Eingehenden Anspruch weiterleiten oder filtern aus, und klicken Sie anschließend auf Weiter. Screenshot that shows where to select the Pass Through or Filter an Incoming Claim template when you create a rule to issue an AD FS 1.x Name ID claim.

  6. Geben Sie auf der Seite Regel konfigurieren einen Anspruchsregelnamen ein.

  7. Wählen Sie unter Eingehender Anspruchstyp die Option Namens-ID aus der Liste aus.

  8. Wählen Sie unter Format der eingehenden Namens-ID eines der folgenden AD FS 1.x-kompatiblen Anspruchsformate aus der Liste aus:

    • UPN

    • E-Mail

    • Allgemeiner Name

  9. Wählen Sie abhängig von den Anforderungen Ihrer Organisation eine der folgenden Optionen aus:

    • Alle Anspruchswerte weiterleiten

    • Nur einen bestimmten Anspruchswert weiterleiten

    • Nur Anspruchswerte weiterleiten, die einem bestimmten E-Mail-Suffixwert entsprechen

    • Pass-Through nur von Anspruchswerten, die mit einem bestimmten Wert beginnenScreenshot that shows the Configure Claim Rule screen.

  10. Klicken Sie auf Fertig stellen und dann auf OK, um die Regel zu speichern.

So erstellen Sie eine Regel, um einen AD FS 1.x-Namens-ID-Anspruch unter Verwendung der Regelvorlage „Eingehenden Anspruch weiterleiten oder filtern“ für eine Vertrauensstellung des Anspruchsanbieters in Windows Server 2016 auszustellen.

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie in der Konsolenstruktur unter AD FS auf Anspruchsanbieter-Vertrauensstellungen. Screenshot that shows where to select Claims Provider Trusts in the console tree.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie anschließend auf Anspruchsregeln bearbeiten. Screenshot that shows where to select the Edit Claim Rules menu option when you create a rule to issue an AD FS 1.x Name ID claim.

  4. Klicken Sie im Dialogfeld Anspruchsregeln bearbeiten unter Akzeptanztransformationsregeln auf Regel hinzufügen, um den Regel-Assistenten zu starten. Screenshot that shows the Add Rule button on the Acceptance Transform Rules tab.

  5. Wählen Sie auf der Seite Regelvorlage auswählen unter Anspruchsregelvorlage aus der Liste Eingehenden Anspruch weiterleiten oder filtern aus, und klicken Sie anschließend auf Weiter. Screenshot that shows where to select the Pass Through or Filter an Incoming Claim template when you create a rule to issue an AD FS 1.x Name ID claim.

  6. Geben Sie auf der Seite Regel konfigurieren einen Anspruchsregelnamen ein.

  7. Wählen Sie unter Eingehender Anspruchstyp die Option Namens-ID aus der Liste aus.

  8. Wählen Sie unter Format der eingehenden Namens-ID eines der folgenden AD FS 1.x-kompatiblen Anspruchsformate aus der Liste aus:

    • UPN

    • E-Mail

    • Allgemeiner Name

  9. Wählen Sie abhängig von den Anforderungen Ihrer Organisation eine der folgenden Optionen aus:

    • Alle Anspruchswerte weiterleiten

    • Nur einen bestimmten Anspruchswert weiterleiten

    • Nur Anspruchswerte weiterleiten, die einem bestimmten E-Mail-Suffixwert entsprechen

    • Pass-Through nur von Anspruchswerten, die mit einem bestimmten Wert beginnenScreenshot that shows where to select the options on the Configure Claim Rule screen.

  10. Klicken Sie auf Fertig stellen und dann auf OK, um die Regel zu speichern.

Erstellen einer Regel zum Transformieren eines eingehenden Anspruchs für eine Vertrauensstellung der vertrauenden Seite in Windows Server 2016

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie in der Konsolenstruktur unter AD FS auf Vertrauensstellungen der vertrauenden Seite. Screenshot that shows where to select Relying Party Trusts when you create a rule to transform an incoming claim.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie anschließend auf Anspruchsausstellungsrichtlinie bearbeiten. Screenshot that shows where to select the Edit Claim Issuance Policy menu option when you create a rule to transform an incoming claim.

  4. Klicken Sie im Dialogfeld Anspruchsausstellungsrichtlinie bearbeiten unter Ausstellungstransformationsregeln auf Regel hinzufügen, um den Regel-Assistenten zu starten. Screenshot that shows where to select the Add Rule button.

  5. Wählen Sie auf der Seite Regelvorlage auswählen unter Anspruchsregelvorlage aus der Liste Eingehenden Anspruch transformieren aus, und klicken Sie anschließend auf Weiter. Screenshot that shows where to select Transform an Incoming Claim when you create a rule to transform an incoming claim.

  6. Geben Sie auf der Seite Regel konfigurieren einen Anspruchsregelnamen ein.

  7. Wählen Sie unter Eingehender Anspruchstyp den Typ des eingehenden Anspruchs aus, den Sie in der Liste transformieren möchten.

  8. Wählen Sie unter ausgehender Anspruchstyp die Option Namens-ID aus der Liste aus.

  9. Wählen Sie unter Format der ausgehenden Namens-ID eines der folgenden AD FS 1.x-kompatiblen Anspruchsformate aus der Liste aus:

    • UPN

    • E-Mail

    • Allgemeiner Name

  10. Wählen Sie abhängig von den Anforderungen Ihrer Organisation eine der folgenden Optionen aus:

    • Alle Anspruchswerte weiterleiten

    • Ersetzen Sie einen eingehenden Anspruchswert durch einen anderen ausgehenden Anspruchswert

    • Suffixansprüche eingehender E-Mails durch neues E-Mail-Suffix ersetzenScreenshot that shows the options you can select on the Configure Claim Rule screen when you create a rule to transform an incoming claim.

  11. Klicken Sie auf Fertig stellen und dann auf OK, um die Regel zu speichern.

Erstellen einer Regel zum Transformieren eines eingehenden Anspruchs für eine Vertrauensstellung eines Anspruchsanbieters in Windows Server 2016

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie in der Konsolenstruktur unter AD FS auf Anspruchsanbieter-Vertrauensstellungen. Screenshot that shows where to select Claims Provider Trusts in the console tree when you create a rule to transform an incoming claim.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie anschließend auf Anspruchsregeln bearbeiten. Screenshot that shows where to select the Edit Claim Rules menu option when you create a rule to transform an incoming claim.

  4. Klicken Sie im Dialogfeld Anspruchsregeln bearbeiten unter Akzeptanztransformationsregeln auf Regel hinzufügen, um den Regel-Assistenten zu starten. Screenshot that shows where to select the Add Rule button on the Acceptance Transform Rules tab when you create a rule to transform an incoming claim.

  5. Wählen Sie auf der Seite Regelvorlage auswählen unter Anspruchsregelvorlage aus der Liste Eingehenden Anspruch transformieren aus, und klicken Sie anschließend auf Weiter. Screenshot that shows where to select Transform an Incoming Claim when you create a rule to transform an incoming claim.

  6. Geben Sie auf der Seite Regel konfigurieren einen Anspruchsregelnamen ein.

  7. Wählen Sie unter Eingehender Anspruchstyp den Typ des eingehenden Anspruchs aus, den Sie in der Liste transformieren möchten.

  8. Wählen Sie unter ausgehender Anspruchstyp die Option Namens-ID aus der Liste aus.

  9. Wählen Sie unter Format der ausgehenden Namens-ID eines der folgenden AD FS 1.x-kompatiblen Anspruchsformate aus der Liste aus:

    • UPN

    • E-Mail

    • Allgemeiner Name

  10. Wählen Sie abhängig von den Anforderungen Ihrer Organisation eine der folgenden Optionen aus:

    • Alle Anspruchswerte weiterleiten

    • Ersetzen Sie einen eingehenden Anspruchswert durch einen anderen ausgehenden Anspruchswert

    • Suffixansprüche eingehender E-Mails durch neues E-Mail-Suffix ersetzenScreenshot that shows where to select the options on the Configure Claim Rule screen when you create a rule to transform an incoming claim.

  11. Klicken Sie auf Fertig stellen und dann auf OK, um die Regel zu speichern.

So erstellen Sie eine Regel, um einen AD FS 1.x-Namens-ID-Anspruch unter Verwendung der Regelvorlage „Eingehenden Anspruch weiterleiten oder filtern“ in Windows Server 2012 R2 auszustellen.

  1. Klicken Sie im Server-Manager auf Tools und anschließend auf AD FS-Verwaltung.

  2. Klicken Sie in der Konsolenstruktur unter AD FS\Vertrauensstellungen entweder auf Anspruchsanbieter-Vertrauensstellungen oder Vertrauensstellungen der vertrauenden Seite, und klicken Sie dann auf eine bestimmte Vertrauensstellung in der Liste, in der Sie diese Regel erstellen möchten.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie anschließend auf Anspruchsregeln bearbeiten. Screenshot that shows where to select the Edit Claim Rules menu option when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  4. Wählen Sie im Dialogfeld Anspruchsregeln bearbeiten eine der folgenden Registerkarten aus, je nachdem, welche Vertrauensstellung Sie bearbeiten und in welchem Regelsatz Sie diese Regel erstellen möchten, und klicken Sie dann auf Regel hinzufügen, um den Regelerstellungs-Assistenten zu starten, der diesem Regelsatz zugeordnet ist:

    • Akzeptanztransformations-Regeln

    • Ausstellungstransformationsregeln

    • Ausstellungsautorisierungsregeln

    • DelegierungsautorisierungsregelnScreenshot that shows where to select Add Rule when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  5. Wählen Sie auf der Seite Regelvorlage auswählen unter Anspruchsregelvorlage aus der Liste Eingehenden Anspruch weiterleiten oder filtern aus, und klicken Sie anschließend auf Weiter. Screenshot that shows where to select the Pass Through or Filter an Incoming Claim template when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  6. Geben Sie auf der Seite Regel konfigurieren einen Anspruchsregelnamen ein.

  7. Wählen Sie unter Eingehender Anspruchstyp die Option Namens-ID aus der Liste aus.

  8. Wählen Sie unter Format der eingehenden Namens-ID eines der folgenden AD FS 1.x-kompatiblen Anspruchsformate aus der Liste aus:

    • UPN

    • E-Mail

    • Allgemeiner Name

  9. Wählen Sie abhängig von den Anforderungen Ihrer Organisation eine der folgenden Optionen aus:

    • Alle Anspruchswerte weiterleiten

    • Nur einen bestimmten Anspruchswert weiterleiten

    • Nur Anspruchswerte weiterleiten, die einem bestimmten E-Mail-Suffixwert entsprechen

    • Pass-Through nur von Anspruchswerten, die mit einem bestimmten Wert beginnenScreenshot that shows where to select the options on the Configure Claim Rule screen when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  10. Klicken Sie auf Fertig stellen und dann auf OK, um die Regel zu speichern.

So erstellen Sie eine Regel, um einen AD FS 1.x-Namens-ID-Anspruch unter Verwendung der Regelvorlage „Eingehenden Anspruch transformieren“ in Windows Server 2012 R2 auszustellen.

  1. Klicken Sie im Server-Manager auf Tools und anschließend auf AD FS-Verwaltung.

  2. Klicken Sie in der Konsolenstruktur unter AD FS\Vertrauensstellungen entweder auf Anspruchsanbieter-Vertrauensstellungen oder Vertrauensstellungen der vertrauenden Seite, und klicken Sie dann auf eine bestimmte Vertrauensstellung in der Liste, in der Sie diese Regel erstellen möchten.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie anschließend auf Anspruchsregeln bearbeiten. Screenshot that shows where to select Edit Claim Rules when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  4. Wählen Sie im Dialogfeld Anspruchsregeln bearbeiten eine der folgenden Registerkarten aus, je nachdem, welche Vertrauensstellung Sie bearbeiten und in welchem Regelsatz Sie diese Regel erstellen möchten, und klicken Sie dann auf Regel hinzufügen, um den Regel-Assistenten zu starten, der diesem Regelsatz zugeordnet ist:

    • Akzeptanztransformationsregeln

    • Ausstellungstransformationsregeln

    • Ausstellungsautorisierungsregeln

    • DelegierungsautorisierungsregelnScreenshot that shows where to add a rule when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  5. Wählen Sie auf der Seite Regelvorlage auswählen unter Anspruchsregelvorlage aus der Liste Eingehenden Anspruch transformieren aus, und klicken Sie anschließend auf Weiter. Screenshot that shows where to select Transform an Incoming Claim when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  6. Geben Sie auf der Seite Regel konfigurieren einen Anspruchsregelnamen ein.

  7. Wählen Sie unter Eingehender Anspruchstyp den Typ des eingehenden Anspruchs aus, den Sie in der Liste transformieren möchten.

  8. Wählen Sie unter ausgehender Anspruchstyp die Option Namens-ID aus der Liste aus.

  9. Wählen Sie unter Format der ausgehenden Namens-ID eines der folgenden AD FS 1.x-kompatiblen Anspruchsformate aus der Liste aus:

    • UPN

    • E-Mail

    • Allgemeiner Name

  10. Wählen Sie abhängig von den Anforderungen Ihrer Organisation eine der folgenden Optionen aus:

    • Alle Anspruchswerte weiterleiten

    • Ersetzen Sie einen eingehenden Anspruchswert durch einen anderen ausgehenden Anspruchswert

    • Suffixansprüche eingehender E-Mails durch neues E-Mail-Suffix ersetzencreate rule

  11. Klicken Sie auf Fertig stellen und dann auf OK, um die Regel zu speichern.

Weitere Verweise

Konfigurieren von Anspruchsregeln

Prüfliste: Erstellen von Anspruchsregeln für eine Vertrauensstellung der vertrauenden Seite

Prüfliste: Erstellen von Anspruchsregeln für eine Anspruchsanbieter-Vertrauensstellung

Wann sollte eine Autorisierungsanspruchsregel verwendet werden

Rolle von Ansprüchen

Rolle von Anspruchsregeln