Создание правила для отправки совместимого утверждения AD FS 1.x

  • Статья

В ситуациях, когда вы используете службы федерации Active Directory (AD FS) (AD FS) для выдачи утверждений, которые будут получены серверами федерации с AD FS 1.0 (Windows Server 2003 R2) или AD FS 1.1 (Windows Server 2008 или Windows Server 2008 R2), необходимо выполнить следующие действия:

  • Создайте правило, которое будет отправлять тип утверждения идентификатора имени с форматом имени участника-пользователя, электронной почты или общего имени.

  • Все остальные утверждения, отправленные, должны иметь один из следующих типов утверждений:

    • Адрес электронной почты AD FS 1.x

    • AD FS 1.x имя участника-участника

    • Общее имя

    • Групповой

    • Любой другой тип утверждения, начинающийся с https://schemas.xmlsoap.org/claims/, например https://schemas.xmlsoap.org/claims/EmployeeID

В зависимости от потребностей организации используйте одну из следующих процедур для создания AD FS 1.Утверждение nameID совместимого x :

  • Создайте это правило для выдачи утверждения идентификатора имени AD FS 1.x с помощью шаблона правила передачи или фильтрации правила входящего утверждения

  • Создайте это правило для выдачи утверждения идентификатора имени AD FS 1.x с помощью шаблона правила преобразования правила входящего утверждения. Этот шаблон правила можно использовать в ситуациях, в которых необходимо изменить существующий тип утверждения на новый тип утверждения, который будет работать с AD FS 1. утверждения x .

Примечание.

Чтобы это правило работало должным образом, убедитесь, что доверие проверяющей стороны или доверие поставщика утверждений, в котором вы создаете это правило, настроено для использования профиля AD FS 1.0 и 1.1.

Создание правила для выдачи AD FS 1.Утверждение идентификатора имени с помощью шаблона правила входящие утверждения или фильтрации для доверия проверяющей стороны в Windows Server 2016

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В дереве консоли в разделе AD FS щелкните "Доверие проверяющей стороны". Screenshot that shows where to select Relying Party Trusts when you create a rule to issue an AD FS 1.x Name ID claim.

  3. Щелкните правой кнопкой мыши выбранное доверие и выберите команду "Изменить политику выдачи утверждений". Screenshot that shows where to select the Edit Claim Issuance Policy option when you create a rule to issue an AD FS 1.x Name ID claim.

  4. В диалоговом окне "Изменить политику выдачи утверждений" в разделе "Правила преобразования выдачи" нажмите кнопку "Добавить правило", чтобы запустить мастер правил. Screenshot that shows where to select Add Rule when you create a rule to issue an AD FS 1.x Name ID claim.

  5. На странице "Выбор шаблона правила" в разделе "Правило утверждения" выберите "Сквозь" или "Фильтровать входящее утверждение" из списка и нажмите кнопку "Далее". Screenshot that shows where to select the Pass Through or Filter an Incoming Claim template when you create a rule to issue an AD FS 1.x Name ID claim.

  6. На странице "Настройка правила" введите имя правила утверждения.

  7. В типе входящего утверждения выберите в списке идентификатор имени .

  8. В формате идентификатора входящего имени выберите один из следующих ad FS 1.Форматы утверждений, совместимые с x, из списка:

    • UPN

    • Электронная почта;

    • Общее имя

  9. Выберите один из следующих вариантов в зависимости от потребностей вашей организации:

    • Сквозь все значения утверждений

    • Передача только определенного значения утверждения

    • Передача только значений утверждений, соответствующих определенному значению суффикса электронной почты

    • Передача только значений утверждений, начинающихся с определенного значенияScreenshot that shows the Configure Claim Rule screen.

  10. Нажмите кнопку " Готово" и нажмите кнопку "ОК ", чтобы сохранить правило.

Создание правила для выдачи AD FS 1.X Утверждение идентификатора имени с помощью шаблона правила входящие утверждения или фильтрации для доверия поставщика утверждений в Windows Server 2016

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В дереве консоли в разделе AD FS щелкните "Отношения доверия поставщиков утверждений". Screenshot that shows where to select Claims Provider Trusts in the console tree.

  3. Щелкните правой кнопкой мыши выбранное доверие и выберите команду "Изменить правила утверждения". Screenshot that shows where to select the Edit Claim Rules menu option when you create a rule to issue an AD FS 1.x Name ID claim.

  4. В диалоговом окне "Изменение правил утверждений" в разделе "Правила преобразования принятия" нажмите кнопку "Добавить правило", чтобы запустить мастер правил. Screenshot that shows the Add Rule button on the Acceptance Transform Rules tab.

  5. На странице "Выбор шаблона правила" в разделе "Правило утверждения" выберите "Сквозь" или "Фильтровать входящее утверждение" из списка и нажмите кнопку "Далее". Screenshot that shows where to select the Pass Through or Filter an Incoming Claim template when you create a rule to issue an AD FS 1.x Name ID claim.

  6. На странице "Настройка правила" введите имя правила утверждения.

  7. В типе входящего утверждения выберите в списке идентификатор имени .

  8. В формате идентификатора входящего имени выберите один из следующих ad FS 1.Форматы утверждений, совместимые с x, из списка:

    • UPN

    • Электронная почта;

    • Общее имя

  9. Выберите один из следующих вариантов в зависимости от потребностей вашей организации:

    • Сквозь все значения утверждений

    • Передача только определенного значения утверждения

    • Передача только значений утверждений, соответствующих определенному значению суффикса электронной почты

    • Передача только значений утверждений, начинающихся с определенного значенияScreenshot that shows where to select the options on the Configure Claim Rule screen.

  10. Нажмите кнопку " Готово" и нажмите кнопку "ОК ", чтобы сохранить правило.

Создание правила для преобразования входящего утверждения в доверии проверяющей стороны в Windows Server 2016

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В дереве консоли в разделе AD FS щелкните "Доверие проверяющей стороны". Screenshot that shows where to select Relying Party Trusts when you create a rule to transform an incoming claim.

  3. Щелкните правой кнопкой мыши выбранное доверие и выберите команду "Изменить политику выдачи утверждений". Screenshot that shows where to select the Edit Claim Issuance Policy menu option when you create a rule to transform an incoming claim.

  4. В диалоговом окне "Изменить политику выдачи утверждений" в разделе "Правила преобразования выдачи" нажмите кнопку "Добавить правило", чтобы запустить мастер правил. Screenshot that shows where to select the Add Rule button.

  5. На странице "Выбор шаблона правила" в разделе "Правило утверждения" выберите "Преобразовать входящее утверждение" из списка и нажмите кнопку "Далее". Screenshot that shows where to select Transform an Incoming Claim when you create a rule to transform an incoming claim.

  6. На странице "Настройка правила" введите имя правила утверждения.

  7. В типе входящего утверждения выберите тип входящего утверждения, которое требуется преобразовать в список.

  8. В типе исходящего утверждения выберите идентификатор имени в списке.

  9. В формате идентификатора исходящего имени выберите один из следующих ad FS 1.Форматы утверждений, совместимые с x, из списка:

    • UPN

    • Электронная почта;

    • Общее имя

  10. Выберите один из следующих вариантов в зависимости от потребностей вашей организации:

    • Сквозь все значения утверждений

    • Замените входящее значение утверждения другим исходящим значением утверждения.

    • Замените входящие утверждения суффикса электронной почты новым суффиксом электронной почтыScreenshot that shows the options you can select on the Configure Claim Rule screen when you create a rule to transform an incoming claim.

  11. Нажмите кнопку " Готово" и нажмите кнопку "ОК ", чтобы сохранить правило.

Создание правила для преобразования входящего утверждения доверия поставщика утверждений в Windows Server 2016

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В дереве консоли в разделе AD FS щелкните "Отношения доверия поставщиков утверждений". Screenshot that shows where to select Claims Provider Trusts in the console tree when you create a rule to transform an incoming claim.

  3. Щелкните правой кнопкой мыши выбранное доверие и выберите команду "Изменить правила утверждения". Screenshot that shows where to select the Edit Claim Rules menu option when you create a rule to transform an incoming claim.

  4. В диалоговом окне "Изменение правил утверждений" в разделе "Правила преобразования принятия" нажмите кнопку "Добавить правило", чтобы запустить мастер правил. Screenshot that shows where to select the Add Rule button on the Acceptance Transform Rules tab when you create a rule to transform an incoming claim.

  5. На странице "Выбор шаблона правила" в разделе "Правило утверждения" выберите "Преобразовать входящее утверждение" из списка и нажмите кнопку "Далее". Screenshot that shows where to select Transform an Incoming Claim when you create a rule to transform an incoming claim.

  6. На странице "Настройка правила" введите имя правила утверждения.

  7. В типе входящего утверждения выберите тип входящего утверждения, которое требуется преобразовать в список.

  8. В типе исходящего утверждения выберите идентификатор имени в списке.

  9. В формате идентификатора исходящего имени выберите один из следующих ad FS 1.Форматы утверждений, совместимые с x, из списка:

    • UPN

    • Электронная почта;

    • Общее имя

  10. Выберите один из следующих вариантов в зависимости от потребностей вашей организации:

    • Сквозь все значения утверждений

    • Замените входящее значение утверждения другим исходящим значением утверждения.

    • Замените входящие утверждения суффикса электронной почты новым суффиксом электронной почтыScreenshot that shows where to select the options on the Configure Claim Rule screen when you create a rule to transform an incoming claim.

  11. Нажмите кнопку " Готово" и нажмите кнопку "ОК ", чтобы сохранить правило.

Создание правила для выдачи AD FS 1.Утверждение идентификатора имени с помощью шаблона правила входящего утверждения или фильтрации в Windows Server 2012 R2

  1. В диспетчер сервера щелкните "Сервис" и щелкните "Управление AD FS".

  2. В дереве консоли в разделе "Отношения доверия ad FS\Trusts" щелкните " Доверие поставщика утверждений" или "Доверие проверяющей стороны", а затем щелкните определенное доверие в списке, где вы хотите создать это правило.

  3. Щелкните правой кнопкой мыши выбранное доверие и выберите команду "Изменить правила утверждения". Screenshot that shows where to select the Edit Claim Rules menu option when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  4. В диалоговом окне "Изменить правила утверждений" выберите одну из следующих вкладок в зависимости от того, в каком доверии вы редактируете и в каком наборе правил нужно создать это правило, а затем нажмите кнопку "Добавить правило", чтобы запустить мастер правил, связанный с этим набором правил:

    • Правила преобразования приемки

    • Правила преобразования выпуска

    • Правила авторизации выпуска

    • Правила авторизации делегированияScreenshot that shows where to select Add Rule when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  5. На странице "Выбор шаблона правила" в разделе "Правило утверждения" выберите "Сквозь" или "Фильтровать входящее утверждение" из списка и нажмите кнопку "Далее". Screenshot that shows where to select the Pass Through or Filter an Incoming Claim template when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  6. На странице "Настройка правила" введите имя правила утверждения.

  7. В типе входящего утверждения выберите в списке идентификатор имени .

  8. В формате идентификатора входящего имени выберите один из следующих ad FS 1.Форматы утверждений, совместимые с x, из списка:

    • UPN

    • Электронная почта;

    • Общее имя

  9. Выберите один из следующих вариантов в зависимости от потребностей вашей организации:

    • Сквозь все значения утверждений

    • Передача только определенного значения утверждения

    • Передача только значений утверждений, соответствующих определенному значению суффикса электронной почты

    • Передача только значений утверждений, начинающихся с определенного значенияScreenshot that shows where to select the options on the Configure Claim Rule screen when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  10. Нажмите кнопку " Готово" и нажмите кнопку "ОК ", чтобы сохранить правило.

Создание правила для выдачи AD FS 1.Утверждение идентификатора имени с помощью шаблона правила преобразования входящего утверждения в Windows Server 2012 R2

  1. В диспетчер сервера щелкните "Сервис" и щелкните "Управление AD FS".

  2. В дереве консоли в разделе "Отношения доверия ad FS\Trusts" щелкните " Доверие поставщика утверждений" или "Доверие проверяющей стороны", а затем щелкните определенное доверие в списке, где вы хотите создать это правило.

  3. Щелкните правой кнопкой мыши выбранное доверие и выберите команду "Изменить правила утверждения". Screenshot that shows where to select Edit Claim Rules when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  4. В диалоговом окне "Изменить правила утверждений" выберите одну из следующих вкладок, которые зависят от доверия, в котором вы редактируете и в каком наборе правил нужно создать это правило, а затем нажмите кнопку "Добавить правило", чтобы запустить мастер правил, связанный с этим набором правил:

    • Правила преобразования приемки

    • Правила преобразования выпуска

    • Правила авторизации выпуска

    • Правила авторизации делегированияScreenshot that shows where to add a rule when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  5. На странице "Выбор шаблона правила" в разделе "Правило утверждения" выберите "Преобразовать входящее утверждение" из списка и нажмите кнопку "Далее". Screenshot that shows where to select Transform an Incoming Claim when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  6. На странице "Настройка правила" введите имя правила утверждения.

  7. В типе входящего утверждения выберите тип входящего утверждения, которое требуется преобразовать в список.

  8. В типе исходящего утверждения выберите идентификатор имени в списке.

  9. В формате идентификатора исходящего имени выберите один из следующих ad FS 1.Форматы утверждений, совместимые с x, из списка:

    • UPN

    • Электронная почта;

    • Общее имя

  10. Выберите один из следующих вариантов в зависимости от потребностей вашей организации:

    • Сквозь все значения утверждений

    • Замените входящее значение утверждения другим исходящим значением утверждения.

    • Замените входящие утверждения суффикса электронной почты новым суффиксом электронной почтыcreate rule

  11. Нажмите кнопку " Готово" и нажмите кнопку "ОК ", чтобы сохранить правило.

Дополнительная справка

Настройка правил для утверждения

Контрольный список. Создание правил утверждений для доверия проверяющей стороны

Контрольный список. Создание правил утверждений для доверия поставщика утверждений

Когда следует использовать правило утверждения авторизации

Роль утверждений

Роль правил утверждений