Erstellen einer Regel zum Senden eines Authentifizierungsmethodenanspruchs

  • Artikel

Sie können entweder die Regelvorlage Gruppenmitgliedschaft als Anspruch senden oder die Regelvorlage Eingehenden Anspruch transformieren verwenden, um einen Authentifizierungsmethodenanspruch zu senden. Die vertrauende Seite kann einen Authentifizierungsmethodenanspruch verwenden, um den Anmeldemechanismus zu bestimmen, den der Benutzer zum Authentifizieren und Abrufen von Ansprüchen von Active Directory-Verbunddienste (AD FS) verwendet. Sie können auch das Feature der Authentifizierungsabsicherung von Active Directory-Verbunddienste (AD FS) in Windows Server 2012 R2 als Eingabe verwenden, um Authentifizierungsmethodenansprüche für Situationen zu generieren, in denen die vertrauende Seite die Zugriffsebene bestimmen möchte, die auf Smartcardanmeldungen basiert. Ein Entwickler kann beispielsweise Verbundbenutzern der Anwendung der vertrauenden Seite verschiedene Zugriffsebenen zuweisen. Die Zugriffsebenen hängen davon ab, ob sich die Benutzer mit ihren Anmeldeinformationen mittels Benutzernamen und Kennwort anmelden statt mit ihren Smartcards.

Verwenden Sie abhängig von den Anforderungen Ihres Unternehmens eines der folgenden Verfahren:

  • Erstellen Sie diese Regel mithilfe der Regelvorlage Gruppenmitgliedschaft als Anspruch senden: Sie können diese Regelvorlage verwenden, wenn die Gruppe, die Sie in dieser Vorlage angeben, letztendlich bestimmen soll, welcher Authentifizierungsmethodenanspruch auszugeben ist.

  • Erstellen Sie diese Regel mithilfe der Regelvorlage Eingehenden Anspruch transformieren: Sie können diese Regelvorlage verwenden, wenn Sie die vorhandene Authentifizierungsmethode in eine neue Authentifizierungsmethode ändern möchten, die mit einem Produkt funktioniert, das AD FS-Standardauthentifizierungsmethoden-Ansprüche nicht erkennt.

So erstellen Sie die Regel mithilfe der Regelvorlage „Gruppenmitgliedschaft als Anspruch senden“ für eine Vertrauensstellung der vertrauenden Seite in Windows Server 2016

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie in der Konsolenstruktur unter AD FS auf Vertrauensstellungen der vertrauenden Seite. Screenshot that shows where to select Relying Party Trusts in the console tree when you create a rule by using the Send Group Membership as Claims rule template.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie anschließend auf Anspruchsausstellungsrichtlinie bearbeiten. Screenshot that shows where to select the Edit Claim Issuance Policy menu option when you create a rule by using the Send Group Membership as Claims rule template.

  4. Klicken Sie im Dialogfeld Anspruchsausstellungsrichtlinie bearbeiten unter Ausstellungstransformationsregeln auf Regel hinzufügen, um den Regel-Assistenten zu starten. Screenshot that shows how to add a rule when you create a rule by using the Send Group Membership as Claims rule template.

  5. Wählen Sie auf der Seite Regelvorlage auswählen unter Anspruchsregelvorlage aus der Liste die Option Gruppenmitgliedschaft als Anspruch senden aus, und klicken Sie anschließend auf Weiter. Screenshot that shows where to select the Send Group Membership as Claim template.

  6. Geben Sie auf der Seite Regel konfigurieren einen Anspruchsregelnamen ein.

  7. Klicken Sie auf Durchsuchen, wählen Sie die Gruppe aus, deren Mitglieder diesen Anspruch für die Authentifizierungsmethode erhalten sollen, und klicken Sie dann auf OK.

  8. Wählen Sie unter Typ des ausgehenden Anspruchs in der Liste die Option Authentifizierungsmethode aus.

  9. Geben Sie unter Wert des ausgehenden Anspruchs einen der Standardwerte für den Uniform Resource Identifier (URI), der von Ihrer bevorzugten Authentifizierungsmethode abhängt, aus der folgenden Tabelle ein. Klicken Sie auf Fertig stellen, und klicken Sie dann auf OK, um die Regel zu speichern.

Tatsächliche Authentifizierungsmethode Entsprechender URI
Benutzernamen- und Kennwortauthentifizierung https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Windows-Authentifizierung https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Transport Layer Security (TLS) – gegenseitige Authentifizierung, bei der X.509-Zertifikate verwendet werden https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
X.509-basierte Authentifizierung ohne TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Screenshot that shows where to select Finish when you create a rule by using the Send Group Membership as Claims rule template in Windows Server 2016.

So erstellen Sie die Regel mithilfe der Regelvorlage „Gruppenmitgliedschaft als Anspruch senden“ für eine Anspruchsanbieter-Vertrauensstellung in Windows Server 2016

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie in der Konsolenstruktur unter AD FS auf Anspruchsanbieter-Vertrauensstellungen. Screenshot that shows where to select Claims Provider Trusts when you create a rule by using the Send Group Membership as Claims rule template in Windows Server 2016.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie anschließend auf Anspruchsregeln bearbeiten. Screenshot that shows where to select Edit Claim Rules when you create a rule by using the Send Group Membership as Claims rule template in Windows Server 2016.

  4. Klicken Sie im Dialogfeld Anspruchsregeln bearbeiten unter Akzeptanztransformationsregeln auf Regel hinzufügen, um den Regel-Assistenten zu starten. Screenshot that shows where to select the Add Rule button when you create a rule by using the Send Group Membership as Claims rule template in Windows Server 2016.

  5. Wählen Sie auf der Seite Regelvorlage auswählen unter Anspruchsregelvorlage aus der Liste die Option Gruppenmitgliedschaft als Anspruch senden aus, und klicken Sie anschließend auf Weiter. Screenshot that shows where to select the Send Group Membership as Claim template when you create a rule in Windows Server 2016.

  6. Geben Sie auf der Seite Regel konfigurieren einen Anspruchsregelnamen ein.

  7. Klicken Sie auf Durchsuchen, wählen Sie die Gruppe aus, deren Mitglieder diesen Anspruch für die Authentifizierungsmethode erhalten sollen, und klicken Sie dann auf OK.

  8. Wählen Sie unter Typ des ausgehenden Anspruchs in der Liste die Option Authentifizierungsmethode aus.

  9. Geben Sie unter Wert des ausgehenden Anspruchs einen der Standardwerte für den Uniform Resource Identifier (URI), der von Ihrer bevorzugten Authentifizierungsmethode abhängt, aus der folgenden Tabelle ein. Klicken Sie auf Fertig stellen, und klicken Sie dann auf OK, um die Regel zu speichern.

Tatsächliche Authentifizierungsmethode Entsprechender URI
Benutzernamen- und Kennwortauthentifizierung https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Windows-Authentifizierung https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Transport Layer Security (TLS) – gegenseitige Authentifizierung, bei der X.509-Zertifikate verwendet werden https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
X.509-basierte Authentifizierung ohne TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Screenshot that shows where to select Finish when you create a rule by using the Send Group Membership as Claims rule template in Windows Server 2016.

So erstellen Sie diese Regel mithilfe der Regelvorlage „Eingehenden Anspruch transformieren“ für eine Vertrauensstellung der vertrauenden Seite in Windows Server 2016

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie in der Konsolenstruktur unter AD FS auf Vertrauensstellungen der vertrauenden Seite. Screenshot that shows where to select Relying Party Trusts in the console tree when you create a rule by using the transform an incoming claim rule template.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie anschließend auf Anspruchsausstellungsrichtlinie bearbeiten. Screenshot that shows where to select Edit Claim Issuance Policy when you create a rule by using the transform an incoming claim rule template.

  4. Klicken Sie im Dialogfeld Anspruchsausstellungsrichtlinie bearbeiten unter Ausstellungstransformationsregeln auf Regel hinzufügen, um den Regel-Assistenten zu starten. Screenshot that shows where to select Add Rule when you create a rule by using the transform an incoming claim rule template.

  5. Wählen Sie auf der Seite Regelvorlage auswählen unter Anspruchsregelvorlage aus der Liste Eingehenden Anspruch transformieren aus, und klicken Sie anschließend auf Weiter. Screenshot that shows where to select the Transform an Incoming Claim template when you create a rule.

  6. Geben Sie auf der Seite Regel konfigurieren einen Anspruchsregelnamen ein.

  7. Wählen Sie unter Typ des eingehenden Anspruchs in der Liste die Option Authentifizierungsmethode aus.

  8. Wählen Sie unter Typ des ausgehenden Anspruchs in der Liste die Option Authentifizierungsmethode aus.

  9. Wählen Sie Wert eines eingehenden Anspruchs durch den Wert eines anderen ausgehenden Anspruchs ersetzen aus, und führen Sie dann die folgenden Schritte aus:

    1. Geben Sie unter Wert des eingehenden Anspruchs einen der folgenden URI-Werte ein, die auf dem ursprünglich verwendeten URI der Authentifizierungsmethode basieren. Klicken Sie auf Fertig stellen, und klicken Sie dann auf OK, um die Regel zu speichern.

    2. Geben Sie unter Wert des ausgehenden Anspruchs einen der Standardwerte für den Uniform Resource Identifier (URI), der von Ihrer bevorzugten Authentifizierungsmethode abhängt, aus der folgenden Tabelle ein. Klicken Sie auf Fertig stellen, und klicken Sie dann auf OK, um die Regel zu speichern.

Tatsächliche Authentifizierungsmethode Entsprechender URI
Benutzernamen- und Kennwortauthentifizierung https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Windows-Authentifizierung https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Gegenseitige TLS-Authentifizierung mit X.509-Zertifikaten https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
X.509-basierte Authentifizierung ohne TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Screenshot that shows where to select Finish when you create a rule by using the transform an incoming claim rule template.

Hinweis

Zusätzlich zu den Werten in der Tabelle können weitere URI-Werte verwendet werden. Die in der vorherigen Tabelle angezeigten URI-Werte spiegeln die URIs wider, die die vertrauende Seite standardmäßig akzeptiert.

So erstellen Sie diese Regel mithilfe der Regelvorlage „Eingehenden Anspruch transformieren“ für eine Anspruchsanbieter-Vertrauensstellung in Windows Server 2016

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie in der Konsolenstruktur unter AD FS auf Anspruchsanbieter-Vertrauensstellungen. Screenshot that shows where to select Claims Provider Trusts in the console tree when you create a rule by using the transform an incoming claim rule template in Windows Server 2016.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie anschließend auf Anspruchsregeln bearbeiten. Screenshot that shows where to select Edit Claim Rules when you create a rule by using the transform an incoming claim rule template in Windows Server 2016.

  4. Klicken Sie im Dialogfeld Anspruchsregeln bearbeiten unter Akzeptanztransformationsregeln auf Regel hinzufügen, um den Regel-Assistenten zu starten. Screenshot that shows where to select Add Rule when you create a rule by using the transform an incoming claim rule template in Windows Server 2016.

  5. Wählen Sie auf der Seite Regelvorlage auswählen unter Anspruchsregelvorlage aus der Liste Eingehenden Anspruch transformieren aus, und klicken Sie anschließend auf Weiter. Screenshot that shows where to select the Transform an Incoming Claim template when you create a rule in Windows Server 2016.

  6. Geben Sie auf der Seite Regel konfigurieren einen Anspruchsregelnamen ein.

  7. Wählen Sie unter Typ des eingehenden Anspruchs in der Liste die Option Authentifizierungsmethode aus.

  8. Wählen Sie unter Typ des ausgehenden Anspruchs in der Liste die Option Authentifizierungsmethode aus.

  9. Wählen Sie Wert eines eingehenden Anspruchs durch den Wert eines anderen ausgehenden Anspruchs ersetzen aus, und führen Sie dann die folgenden Schritte aus:

    1. Geben Sie unter Wert des eingehenden Anspruchs einen der folgenden URI-Werte ein, die auf dem ursprünglich verwendeten URI der Authentifizierungsmethode basieren. Klicken Sie auf Fertig stellen, und klicken Sie dann auf OK, um die Regel zu speichern.

    2. Geben Sie unter Wert des ausgehenden Anspruchs einen der Standardwerte für den Uniform Resource Identifier (URI), der von Ihrer bevorzugten Authentifizierungsmethode abhängt, aus der folgenden Tabelle ein. Klicken Sie auf Fertig stellen, und klicken Sie dann auf OK, um die Regel zu speichern.

Tatsächliche Authentifizierungsmethode Entsprechender URI
Benutzernamen- und Kennwortauthentifizierung https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Windows-Authentifizierung https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Gegenseitige TLS-Authentifizierung mit X.509-Zertifikaten https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
X.509-basierte Authentifizierung ohne TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Screenshot that shows where to select Finish when you create a rule by using the transform an incoming claim rule template in Windows Server 2016.

So erstellen Sie diese Regel mithilfe der Regelvorlage „Gruppenmitgliedschaft als Anspruch senden“ in Windows Server 2012 R2

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie in der Konsolenstruktur unter AD FS\Vertrauensstellungen entweder auf Anspruchsanbieter-Vertrauensstellungen oder Vertrauensstellungen der vertrauenden Seite, und klicken Sie dann auf eine bestimmte Vertrauensstellung in der Liste, in der Sie diese Regel erstellen möchten.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie anschließend auf Anspruchsregeln bearbeiten. Screenshot that shows where to select Edit Claim Rules when you create a rule by using the Send Group Membership as Claims rule template.

  4. Wählen Sie im Dialogfeld Anspruchsregeln bearbeiten eine der folgenden Registerkarten aus, je nachdem, welche Vertrauensstellung Sie bearbeiten und in welchem Regelsatz Sie diese Regel erstellen möchten, und klicken Sie dann auf Regel hinzufügen, um den Regel-Assistenten zu starten, der diesem Regelsatz zugeordnet ist:

    • Akzeptanztransformationsregeln

    • Ausstellungstransformationsregeln

    • Ausstellungsautorisierungsregeln

    • DelegierungsautorisierungsregelnScreenshot that shows where to select Add Rule when you create a rule by using the Send Group Membership as Claims rule template.

  5. Wählen Sie auf der Seite Regelvorlage auswählen unter Anspruchsregelvorlage aus der Liste die Option Gruppenmitgliedschaft als Anspruch senden aus, und klicken Sie anschließend auf Weiter. Screenshot that shows where to select the Send Group Membership as a Claim template when you create a rule.

  6. Geben Sie auf der Seite Regel konfigurieren einen Anspruchsregelnamen ein.

  7. Klicken Sie auf Durchsuchen, wählen Sie die Gruppe aus, deren Mitglieder diesen Anspruch für die Authentifizierungsmethode erhalten sollen, und klicken Sie dann auf OK.

  8. Wählen Sie unter Typ des ausgehenden Anspruchs in der Liste die Option Authentifizierungsmethode aus.

  9. Geben Sie unter Wert des ausgehenden Anspruchs einen der Standardwerte für den Uniform Resource Identifier (URI), der von Ihrer bevorzugten Authentifizierungsmethode abhängt, aus der folgenden Tabelle ein. Klicken Sie auf Fertig stellen, und klicken Sie dann auf OK, um die Regel zu speichern.

Tatsächliche Authentifizierungsmethode Entsprechender URI
Benutzernamen- und Kennwortauthentifizierung https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Windows-Authentifizierung https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Transport Layer Security (TLS) – gegenseitige Authentifizierung, bei der X.509-Zertifikate verwendet werden https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
X.509-basierte Authentifizierung ohne TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Screenshot that shows where to select Finish when you create a rule by using the Send Group Membership as Claims rule template.

Hinweis

Zusätzlich zu den Werten in der Tabelle können weitere URI-Werte verwendet werden. Die in der vorherigen Tabelle angezeigten URI-Werte spiegeln die URIs wider, die die vertrauende Seite standardmäßig akzeptiert.

So erstellen Sie diese Regel mithilfe der Regelvorlage „Eingehenden Anspruch transformieren“ in Windows Server 2012 R2

  1. Klicken Sie im Server-Manager auf Tools und anschließend auf AD FS-Verwaltung.

  2. Klicken Sie in der Konsolenstruktur unter AD FS\Vertrauensstellungen entweder auf Anspruchsanbieter-Vertrauensstellungen oder Vertrauensstellungen der vertrauenden Seite, und klicken Sie dann auf eine bestimmte Vertrauensstellung in der Liste, in der Sie diese Regel erstellen möchten.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie anschließend auf Anspruchsregeln bearbeiten. Screenshot that shows where to select Edit Claim Rules when you create a rule by using the Transform an Incoming Claim rule template in Windows Server 2012 R2.

  4. Wählen Sie im Dialogfeld Anspruchsregeln bearbeiten eine der folgenden Registerkarten aus, je nachdem, welche Vertrauensstellung Sie bearbeiten und in welchem Regelsatz Sie diese Regel erstellen möchten, und klicken Sie dann auf Regel hinzufügen, um den Regel-Assistenten zu starten, der diesem Regelsatz zugeordnet ist:

    • Akzeptanztransformationsregeln

    • Ausstellungstransformationsregeln

    • Ausstellungsautorisierungsregeln

    • DelegierungsautorisierungsregelnScreenshot that shows where to select Add Rule when you create a rule by using the Transform an Incoming Claim rule template in Windows Server 2012 R2.

  5. Wählen Sie auf der Seite Regelvorlage auswählen unter Anspruchsregelvorlage aus der Liste Eingehenden Anspruch transformieren aus, und klicken Sie anschließend auf Weiter. Screenshot that shows where to select the Transform an Incoming Claim template when you create a rule in Windows Server 2012 R2.

  6. Geben Sie auf der Seite Regel konfigurieren einen Anspruchsregelnamen ein.

  7. Wählen Sie unter Typ des eingehenden Anspruchs in der Liste die Option Authentifizierungsmethode aus.

  8. Wählen Sie unter Typ des ausgehenden Anspruchs in der Liste die Option Authentifizierungsmethode aus.

  9. Wählen Sie Wert eines eingehenden Anspruchs durch den Wert eines anderen ausgehenden Anspruchs ersetzen aus, und führen Sie dann die folgenden Schritte aus:

    1. Geben Sie unter Wert des eingehenden Anspruchs einen der folgenden URI-Werte ein, die auf dem ursprünglich verwendeten URI der Authentifizierungsmethode basieren. Klicken Sie auf Fertig stellen, und klicken Sie dann auf OK, um die Regel zu speichern.

    2. Geben Sie unter Wert des ausgehenden Anspruchs einen der Standardwerte für den Uniform Resource Identifier (URI), der von Ihrer bevorzugten Authentifizierungsmethode abhängt, aus der folgenden Tabelle ein. Klicken Sie auf Fertig stellen, und klicken Sie dann auf OK, um die Regel zu speichern.

Tatsächliche Authentifizierungsmethode Entsprechender URI
Benutzernamen- und Kennwortauthentifizierung https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Windows-Authentifizierung https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Gegenseitige TLS-Authentifizierung mit X.509-Zertifikaten https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
X.509-basierte Authentifizierung ohne TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

create rule

Hinweis

Zusätzlich zu den Werten in der Tabelle können weitere URI-Werte verwendet werden. Die in der vorherigen Tabelle angezeigten URI-Werte spiegeln die URIs wider, die die vertrauende Seite standardmäßig akzeptiert.

Weitere Verweise

Konfigurieren von Anspruchsregeln

Prüfliste: Erstellen von Anspruchsregeln für eine Vertrauensstellung der vertrauenden Seite

Prüfliste: Erstellen von Anspruchsregeln für eine Anspruchsanbieter-Vertrauensstellung

Wann sollte eine Autorisierungsanspruchsregel verwendet werden

Rolle von Ansprüchen

Rolle von Anspruchsregeln