Créer une règle pour envoyer une revendication compatible avec AD FS 1.x

  • Article

Dans les situations où vous utilisez les Services ADFS (AD FS) pour émettre des revendications qui seront reçues par les serveurs de fédération exécutant AD FS 1.0 (Windows Server 2003 R2) ou AD FS 1.1 (Windows Server 2008 ou Windows Server 2008 R2), vous devez effectuer les opérations suivantes :

  • Créez une règle qui enverra un type de revendication d’ID de nom avec un format UPN, Email ou Common Name.

  • Toutes les autres revendications envoyées doivent avoir l’un des types de revendications suivants :

    • Adresse de messagerie AD FS 1.x

    • AD FS 1.x UPN

    • Nom commun

    • Groupe

    • Tout autre type de revendication commençant par https://schemas.xmlsoap.org/claims/, tel que https://schemas.xmlsoap.org/claims/EmployeeID

Selon les besoins de votre organisation, utilisez l’une des procédures suivantes pour créer une revendication d’ID de nom AD FS 1.x compatible :

  • Créez cette règle pour émettre une revendication d’ID de nom AD FS 1.x à l’aide du modèle de règle Passer ou filtrer une revendication entrante

  • Créez cette règle pour émettre une revendication d’ID de nom AD FS 1.x à l’aide du modèle de règle Transformer une revendication entrante. Vous pouvez utiliser ce modèle de règle dans les situations dans lesquelles vous souhaitez modifier le type de revendication existant en un nouveau type de revendication qui fonctionnera avec les revendications AD FS 1. x.

Notes

Pour que cette règle fonctionne comme prévu, assurez-vous que l’approbation de la partie de confiance ou le fournisseur de revendications où vous créez cette règle a été configurée pour utiliser le profil AD FS 1.0 et 1.1.

Créer une règle pour émettre une revendication d’ID de nom AD FS 1.x utilisant le modèle de règle Passer ou filtrer une revendication entrante sur une approbation de partie de confiance dans Windows Server 2016

  1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sélectionnez Gestion AD FS.

  2. Dans l’arborescence de la console, sous AD FS, cliquez sur Approbations de partie de confiance. Screenshot that shows where to select Relying Party Trusts when you create a rule to issue an AD FS 1.x Name ID claim.

  3. Cliquez avec le bouton droit sur l’approbation sélectionnée, puis sélectionnez Modifier la stratégie d’émission de revendications. Screenshot that shows where to select the Edit Claim Issuance Policy option when you create a rule to issue an AD FS 1.x Name ID claim.

  4. Dans la boîte de dialogue Modifier la stratégie d’émission de revendications, sous Règles de transformation d’émission, cliquez sur Ajouter une règle pour démarrer l’Assistant Règle. Screenshot that shows where to select Add Rule when you create a rule to issue an AD FS 1.x Name ID claim.

  5. Sur la page Sélectionner un modèle de règle, sous Modèle de règle de revendication, sélectionnez Passer ou filtrer une revendication entrante dans la liste, puis cliquez sur Suivant. Screenshot that shows where to select the Pass Through or Filter an Incoming Claim template when you create a rule to issue an AD FS 1.x Name ID claim.

  6. Dans la page Configurer la règle, tapez un nom de règle de revendication.

  7. Dans Type de revendication entrante, sélectionnez ID de nom dans la liste.

  8. Dans Format d’ID de nom entrant, sélectionnez l’un des formats de revendication compatibles AD FS 1x dans la liste :

    • UPN

    • E-mail

    • Nom commun

  9. Sélectionnez l’une des options suivantes, en fonction des besoins de votre organisation :

    • Passer toutes les valeurs de revendication

    • Transmettre uniquement une valeur de revendication spécifique

    • Transmettre uniquement les valeurs de revendication qui correspondent à une valeur de suffixe de messagerie spécifique

    • Transmettre uniquement les valeurs de revendication qui commencent par une valeur spécifiqueScreenshot that shows the Configure Claim Rule screen.

  10. Cliquez sur Terminer, puis sur OK pour enregistrer la règle.

Créer une règle pour émettre une revendication d’ID de nom AD FS 1.x utilisant le modèle de règle Passer ou filtrer une revendication entrante sur une approbation du fournisseur de revendications dans Windows Server 2016

  1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sélectionnez Gestion AD FS.

  2. Dans l’arborescence de la console, sous AD FS, cliquez sur Approbations de fournisseur de revendications. Screenshot that shows where to select Claims Provider Trusts in the console tree.

  3. Cliquez avec le bouton droit sur l’approbation sélectionnée, puis sélectionnez Modifier les règles de revendication. Screenshot that shows where to select the Edit Claim Rules menu option when you create a rule to issue an AD FS 1.x Name ID claim.

  4. Dans la boîte de dialogue Modifier les règles de revendication, sous Règles de transformation d’acceptation, cliquez sur Ajouter une règle pour démarrer l’Assistant Règle. Screenshot that shows the Add Rule button on the Acceptance Transform Rules tab.

  5. Sur la page Sélectionner un modèle de règle, sous Modèle de règle de revendication, sélectionnez Passer ou filtrer une revendication entrante dans la liste, puis cliquez sur Suivant. Screenshot that shows where to select the Pass Through or Filter an Incoming Claim template when you create a rule to issue an AD FS 1.x Name ID claim.

  6. Dans la page Configurer la règle, tapez un nom de règle de revendication.

  7. Dans Type de revendication entrante, sélectionnez ID de nom dans la liste.

  8. Dans Format d’ID de nom entrant, sélectionnez l’un des formats de revendication compatibles AD FS 1x dans la liste :

    • UPN

    • E-mail

    • Nom commun

  9. Sélectionnez l’une des options suivantes, en fonction des besoins de votre organisation :

    • Passer toutes les valeurs de revendication

    • Transmettre uniquement une valeur de revendication spécifique

    • Transmettre uniquement les valeurs de revendication qui correspondent à une valeur de suffixe de messagerie spécifique

    • Transmettre uniquement les valeurs de revendication qui commencent par une valeur spécifiqueScreenshot that shows where to select the options on the Configure Claim Rule screen.

  10. Cliquez sur Terminer, puis sur OK pour enregistrer la règle.

Créer une règle pour transformer une revendication entrante sur une approbation de partie de confiance dans Windows Server 2016

  1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sélectionnez Gestion AD FS.

  2. Dans l’arborescence de la console, sous AD FS, cliquez sur Approbations de partie de confiance. Screenshot that shows where to select Relying Party Trusts when you create a rule to transform an incoming claim.

  3. Cliquez avec le bouton droit sur l’approbation sélectionnée, puis sélectionnez Modifier la stratégie d’émission de revendications. Screenshot that shows where to select the Edit Claim Issuance Policy menu option when you create a rule to transform an incoming claim.

  4. Dans la boîte de dialogue Modifier la stratégie d’émission de revendications, sous Règles de transformation d’émission, cliquez sur Ajouter une règle pour démarrer l’Assistant Règle. Screenshot that shows where to select the Add Rule button.

  5. Dans la page Sélectionner un modèle de règle, sous Modèle de règle de revendication, sélectionnez Transformer une revendication entrante dans la liste, puis Suivant. Screenshot that shows where to select Transform an Incoming Claim when you create a rule to transform an incoming claim.

  6. Dans la page Configurer la règle, tapez un nom de règle de revendication.

  7. Dans Type de revendication entrante, sélectionnez le type de revendication entrante que vous souhaitez transformer dans la liste.

  8. Dans Type de revendication sortante, sélectionnez ID de nom dans la liste.

  9. Dans Format d’ID de nom sortant, sélectionnez l’un des formats de revendication compatibles AD FS 1x dans la liste :

    • UPN

    • E-mail

    • Nom commun

  10. Sélectionnez l’une des options suivantes, en fonction des besoins de votre organisation :

    • Passer toutes les valeurs de revendication

    • Remplacer une valeur de revendication entrante avec une valeur de revendication sortante

    • Remplacement des revendications de suffixe d’adresse de messagerie entrantes par un nouveau suffixe d’adresse de messagerieScreenshot that shows the options you can select on the Configure Claim Rule screen when you create a rule to transform an incoming claim.

  11. Cliquez sur Terminer, puis sur OK pour enregistrer la règle.

Créer une règle afin de transformer une revendication entrante sur une approbation de fournisseur de revendications dans Windows Server 2016

  1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sélectionnez Gestion AD FS.

  2. Dans l’arborescence de la console, sous AD FS, cliquez sur Approbations de fournisseur de revendications. Screenshot that shows where to select Claims Provider Trusts in the console tree when you create a rule to transform an incoming claim.

  3. Cliquez avec le bouton droit sur l’approbation sélectionnée, puis sélectionnez Modifier les règles de revendication. Screenshot that shows where to select the Edit Claim Rules menu option when you create a rule to transform an incoming claim.

  4. Dans la boîte de dialogue Modifier les règles de revendication, sous Règles de transformation d’acceptation, cliquez sur Ajouter une règle pour démarrer l’Assistant Règle. Screenshot that shows where to select the Add Rule button on the Acceptance Transform Rules tab when you create a rule to transform an incoming claim.

  5. Dans la page Sélectionner un modèle de règle, sous Modèle de règle de revendication, sélectionnez Transformer une revendication entrante dans la liste, puis Suivant. Screenshot that shows where to select Transform an Incoming Claim when you create a rule to transform an incoming claim.

  6. Dans la page Configurer la règle, tapez un nom de règle de revendication.

  7. Dans Type de revendication entrante, sélectionnez le type de revendication entrante que vous souhaitez transformer dans la liste.

  8. Dans Type de revendication sortante, sélectionnez ID de nom dans la liste.

  9. Dans Format d’ID de nom sortant, sélectionnez l’un des formats de revendication compatibles AD FS 1x dans la liste :

    • UPN

    • E-mail

    • Nom commun

  10. Sélectionnez l’une des options suivantes, en fonction des besoins de votre organisation :

    • Passer toutes les valeurs de revendication

    • Remplacer une valeur de revendication entrante avec une valeur de revendication sortante

    • Remplacement des revendications de suffixe d’adresse de messagerie entrantes par un nouveau suffixe d’adresse de messagerieScreenshot that shows where to select the options on the Configure Claim Rule screen when you create a rule to transform an incoming claim.

  11. Cliquez sur Terminer, puis sur OK pour enregistrer la règle.

Créer une règle pour émettre une revendication d’ID de nom AD FS 1.x utilisant le modèle de règle Passer ou filtrer une revendication entrante dans Windows Server 2012 R2

  1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sélectionnez Gestion AD FS.

  2. Dans l’arborescence de la console, sous AD FS\Trust Relationships, cliquez sur Approbations du fournisseur de revendications ou Approbations de parties de confiance, puis cliquez sur une approbation spécifique dans la liste dans laquelle vous souhaitez créer cette règle.

  3. Cliquez avec le bouton droit sur l’approbation sélectionnée, puis sélectionnez Modifier les règles de revendication. Screenshot that shows where to select the Edit Claim Rules menu option when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  4. Dans la boîte de dialogue Modifier les règles de revendication, sélectionnez l’un des onglets suivants, en fonction de l’approbation que vous modifiez et de l’ensemble de règles dans lequel vous souhaitez créer cette règle, puis Ajouter une règle pour démarrer l’Assistant Règle associé à cet ensemble de règles :

    • Règles de transformation d’acceptation

    • Règles de transformation de l’émission

    • Règles d’autorisation de l’émission

    • Règles d’autorisation de la délégationScreenshot that shows where to select Add Rule when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  5. Sur la page Sélectionner un modèle de règle, sous Modèle de règle de revendication, sélectionnez Passer ou filtrer une revendication entrante dans la liste, puis cliquez sur Suivant. Screenshot that shows where to select the Pass Through or Filter an Incoming Claim template when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  6. Dans la page Configurer la règle, tapez un nom de règle de revendication.

  7. Dans Type de revendication entrante, sélectionnez ID de nom dans la liste.

  8. Dans Format d’ID de nom entrant, sélectionnez l’un des formats de revendication compatibles AD FS 1x dans la liste :

    • UPN

    • E-mail

    • Nom commun

  9. Sélectionnez l’une des options suivantes, en fonction des besoins de votre organisation :

    • Passer toutes les valeurs de revendication

    • Transmettre uniquement une valeur de revendication spécifique

    • Transmettre uniquement les valeurs de revendication qui correspondent à une valeur de suffixe de messagerie spécifique

    • Transmettre uniquement les valeurs de revendication qui commencent par une valeur spécifiqueScreenshot that shows where to select the options on the Configure Claim Rule screen when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  10. Cliquez sur Terminer, puis sur OK pour enregistrer la règle.

Créer une règle pour émettre une revendication d’ID de nom AD FS 1.x utilisant le modèle de règle Transformer une revendication entrante dans Windows Server 2012 R2

  1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sélectionnez Gestion AD FS.

  2. Dans l’arborescence de la console, sous AD FS\Trust Relationships, cliquez sur Approbations du fournisseur de revendications ou Approbations de parties de confiance, puis cliquez sur une approbation spécifique dans la liste dans laquelle vous souhaitez créer cette règle.

  3. Cliquez avec le bouton droit sur l’approbation sélectionnée, puis sélectionnez Modifier les règles de revendication. Screenshot that shows where to select Edit Claim Rules when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  4. Dans la boîte de dialogue Modifier les règles de revendication, sélectionnez l’un des onglets suivants, en fonction de l’approbation que vous modifiez et de l’ensemble de règles dans lequel vous souhaitez créer cette règle, puis Ajouter une règle pour démarrer l’Assistant Règle associé à cet ensemble de règles :

    • Règles de transformation d’acceptation

    • Règles de transformation de l’émission

    • Règles d’autorisation de l’émission

    • Règles d’autorisation de la délégationScreenshot that shows where to add a rule when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  5. Dans la page Sélectionner un modèle de règle, sous Modèle de règle de revendication, sélectionnez Transformer une revendication entrante dans la liste, puis Suivant. Screenshot that shows where to select Transform an Incoming Claim when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  6. Dans la page Configurer la règle, tapez un nom de règle de revendication.

  7. Dans Type de revendication entrante, sélectionnez le type de revendication entrante que vous souhaitez transformer dans la liste.

  8. Dans Type de revendication sortante, sélectionnez ID de nom dans la liste.

  9. Dans Format d’ID de nom sortant, sélectionnez l’un des formats de revendication compatibles AD FS 1x dans la liste :

    • UPN

    • E-mail

    • Nom commun

  10. Sélectionnez l’une des options suivantes, en fonction des besoins de votre organisation :

    • Passer toutes les valeurs de revendication

    • Remplacer une valeur de revendication entrante avec une valeur de revendication sortante

    • Remplacement des revendications de suffixe d’adresse de messagerie entrantes par un nouveau suffixe d’adresse de messageriecreate rule

  11. Cliquez sur Terminer, puis sur OK pour enregistrer la règle.

Références supplémentaires

Configurer les règles de revendication

Check-list : création de règles de revendication pour une approbation de partie de confiance

Check-list : création de règles de revendication pour une approbation de fournisseur de revendications

Quand utiliser une règle de revendication d’autorisation

Rôle des revendications

Rôle des règles de revendication