Создание правила для отправки утверждения, совместимого с AD FS 1. x

в ситуациях, когда вы используете службы федерации Active Directory (AD FS) (AD FS) для выдаче утверждений, которые будут приниматься серверами федерации под управлением AD FS 1,0 (Windows Server 2003 R2) или AD FS 1,1 (Windows server 2008 или Windows server 2008 R2), необходимо выполнить следующие действия.

  • Создайте правило, которое будет отправлять тип утверждения идентификатора имени в формате имени участника-пользователя, адреса электронной почты или общего имени.

  • Все другие отправленные утверждения должны иметь один из следующих типов утверждений:

В зависимости от потребностей Организации используйте одну из следующих процедур, чтобы создать AD FS 1. утверждение x , совместимое с NameID:

  • Создайте это правило, чтобы выдать утверждение идентификатора имени AD FS 1. x с помощью шаблона "передать" или "фильтровать" входящего утверждения .

  • Создайте это правило, чтобы выдать утверждение идентификатора имени AD FS 1. x с помощью шаблона правила преобразования входящего утверждения. Этот шаблон правила можно использовать в ситуациях, когда необходимо изменить существующий тип утверждения на новый тип, который будет работать с AD FS 1. утверждения x .

Примечание

Чтобы это правило работало должным образом, убедитесь, что отношение доверия с проверяющей стороной или поставщик утверждений, в котором создается это правило, настроено для использования профиля AD FS 1,0 и 1,1.

Создание правила для выдаче AD FS 1. утверждение идентификатора имени x с помощью прохода или фильтрация шаблона входящего правила утверждения для отношения доверия проверяющей стороны в Windows Server 2016

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В дереве консоли в разделе AD FSщелкните отношения доверия с проверяющей стороной. Screenshot that shows where to select Relying Party Trusts when you create a rule to issue an AD FS 1.x Name ID claim.

  3. Щелкните выбранное отношение доверия правой кнопкой мыши и выберите пункт изменить политику выдачи утверждений. Screenshot that shows where to select the Edit Claim Issuance Policy option when you create a rule to issue an AD FS 1.x Name ID claim.

  4. В диалоговом окне изменение политики выдачи утверждений в разделе правила преобразования выдачи щелкните Добавить правило , чтобы запустить мастер правил. Screenshot that shows where to select Add Rule when you create a rule to issue an AD FS 1.x Name ID claim.

  5. На странице Выбор шаблона правила в разделе шаблон правила утверждениявыберите передать или отфильтровать входящее утверждение из списка, а затем нажмите кнопку Далее. Screenshot that shows where to select the Pass Through or Filter an Incoming Claim template when you create a rule to issue an AD FS 1.x Name ID claim.

  6. На странице Настройка правила введите имя правила утверждения.

  7. В поле тип входящего утверждениявыберите имя идентификатор в списке.

  8. В поле Формат ВХОДЯЩЕГО идентификатора именивыберите один из следующих AD FS 1. совместимые с xформаты утверждений из списка:

    • УЧАСТНИКА

    • Электронная почта;

    • Общее имя

  9. Выберите один из следующих вариантов в зависимости от потребностей Организации.

    • пропуск всех значений утверждений;

    • пропуск только конкретного значения утверждения;

    • Передавать только значения утверждений, соответствующие определенному значению суффикса электронной почты

    • Проходить только по значениям утверждений, начинающимся с определенного значенияScreenshot that shows the Configure Claim Rule screen.

  10. Нажмите кнопку Готово, а затем кнопку ОК , чтобы сохранить правило.

Создание правила для выдаче AD FS 1. утверждение идентификатора имени x с помощью прохода или фильтрация шаблона входящего правила утверждения в отношении доверия поставщика утверждений в Windows Server 2016

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В дереве консоли в разделе AD FSщелкните отношения доверия поставщиков утверждений. Screenshot that shows where to select Claims Provider Trusts in the console tree.

  3. Щелкните выбранное отношение доверия правой кнопкой мыши и выберите команду изменить правила утверждений. Screenshot that shows where to select the Edit Claim Rules menu option when you create a rule to issue an AD FS 1.x Name ID claim.

  4. В диалоговом окне изменение правил утверждений в разделе правила преобразования принятия нажмите кнопку Добавить правило , чтобы запустить мастер правил. Screenshot that shows the Add Rule button on the Acceptance Transform Rules tab.

  5. На странице Выбор шаблона правила в разделе шаблон правила утверждениявыберите передать или отфильтровать входящее утверждение из списка, а затем нажмите кнопку Далее. Screenshot that shows where to select the Pass Through or Filter an Incoming Claim template when you create a rule to issue an AD FS 1.x Name ID claim.

  6. На странице Настройка правила введите имя правила утверждения.

  7. В поле тип входящего утверждениявыберите имя идентификатор в списке.

  8. В поле Формат ВХОДЯЩЕГО идентификатора именивыберите один из следующих AD FS 1. совместимые с xформаты утверждений из списка:

    • УЧАСТНИКА

    • Электронная почта;

    • Общее имя

  9. Выберите один из следующих вариантов в зависимости от потребностей Организации.

    • пропуск всех значений утверждений;

    • пропуск только конкретного значения утверждения;

    • Передавать только значения утверждений, соответствующие определенному значению суффикса электронной почты

    • Проходить только по значениям утверждений, начинающимся с определенного значенияScreenshot that shows where to select the options on the Configure Claim Rule screen.

  10. Нажмите кнопку Готово, а затем кнопку ОК , чтобы сохранить правило.

Создание правила для преобразования входящего утверждения для отношения доверия с проверяющей стороной в Windows Server 2016

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В дереве консоли в разделе AD FSщелкните отношения доверия с проверяющей стороной. Screenshot that shows where to select Relying Party Trusts when you create a rule to transform an incoming claim.

  3. Щелкните выбранное отношение доверия правой кнопкой мыши и выберите пункт изменить политику выдачи утверждений. Screenshot that shows where to select the Edit Claim Issuance Policy menu option when you create a rule to transform an incoming claim.

  4. В диалоговом окне изменение политики выдачи утверждений в разделе правила преобразования выдачи щелкните Добавить правило , чтобы запустить мастер правил. Screenshot that shows where to select the Add Rule button.

  5. На странице Выбор шаблона правила в разделе шаблон правила утверждениявыберите преобразовать входящее утверждение в список, а затем нажмите кнопку Далее. Screenshot that shows where to select Transform an Incoming Claim when you create a rule to transform an incoming claim.

  6. На странице Настройка правила введите имя правила утверждения.

  7. В поле тип входящего утверждениявыберите тип входящего утверждения, которое требуется преобразовать в список.

  8. В поле Тип исходящего утверждениявыберите имя идентификатор в списке.

  9. В поле Формат идентификатора исходящего именивыберите один из следующих AD FS 1. совместимые с xформаты утверждений из списка:

    • УЧАСТНИКА

    • Электронная почта;

    • Общее имя

  10. Выберите один из следующих вариантов в зависимости от потребностей Организации.

    • пропуск всех значений утверждений;

    • Замена значения входящего утверждения на значение другого исходящего утверждения

    • Заменить утверждения входящего суффикса электронной почты новым суффиксом электронной почтыScreenshot that shows the options you can select on the Configure Claim Rule screen when you create a rule to transform an incoming claim.

  11. Нажмите кнопку Готово, а затем кнопку ОК , чтобы сохранить правило.

Создание правила для преобразования входящего утверждения в отношении доверия поставщика утверждений в Windows Server 2016

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В дереве консоли в разделе AD FSщелкните отношения доверия поставщиков утверждений. Screenshot that shows where to select Claims Provider Trusts in the console tree when you create a rule to transform an incoming claim.

  3. Щелкните выбранное отношение доверия правой кнопкой мыши и выберите команду изменить правила утверждений. Screenshot that shows where to select the Edit Claim Rules menu option when you create a rule to transform an incoming claim.

  4. В диалоговом окне изменение правил утверждений в разделе правила преобразования принятия нажмите кнопку Добавить правило , чтобы запустить мастер правил. Screenshot that shows where to select the Add Rule button on the Acceptance Transform Rules tab when you create a rule to transform an incoming claim.

  5. На странице Выбор шаблона правила в разделе шаблон правила утверждениявыберите преобразовать входящее утверждение в список, а затем нажмите кнопку Далее. Screenshot that shows where to select Transform an Incoming Claim when you create a rule to transform an incoming claim.

  6. На странице Настройка правила введите имя правила утверждения.

  7. В поле тип входящего утверждениявыберите тип входящего утверждения, которое требуется преобразовать в список.

  8. В поле Тип исходящего утверждениявыберите имя идентификатор в списке.

  9. В поле Формат идентификатора исходящего именивыберите один из следующих AD FS 1. совместимые с xформаты утверждений из списка:

    • УЧАСТНИКА

    • Электронная почта;

    • Общее имя

  10. Выберите один из следующих вариантов в зависимости от потребностей Организации.

    • пропуск всех значений утверждений;

    • Замена значения входящего утверждения на значение другого исходящего утверждения

    • Заменить утверждения входящего суффикса электронной почты новым суффиксом электронной почтыScreenshot that shows where to select the options on the Configure Claim Rule screen when you create a rule to transform an incoming claim.

  11. Нажмите кнопку Готово, а затем кнопку ОК , чтобы сохранить правило.

Создание правила для выдаче AD FS 1. утверждение идентификатора имени x с использованием шаблона прохождения или фильтрации входящего утверждения для Windows Server 2012 R2

  1. В диспетчер сервера выберите Сервис, а затем — Управление AD FS.

  2. В дереве консоли в разделе отношения AD фс\трустщелкните отношения доверия поставщика утверждений или отношения доверия с проверяющей стороной, а затем выберите определенное отношение доверия в списке, в котором вы хотите создать это правило.

  3. Щелкните выбранное отношение доверия правой кнопкой мыши и выберите команду изменить правила утверждений. Screenshot that shows where to select the Edit Claim Rules menu option when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  4. В диалоговом окне изменение правил утверждений выберите одну из следующих вкладок в зависимости от редактируемого отношения доверия и набора правил, в котором необходимо создать это правило, а затем нажмите кнопку Добавить правило , чтобы запустить мастер правил, связанный с этим набором правил:

    • Правила преобразования принятия

    • Правила преобразования выдачи

    • Правила авторизации выдачи

    • Правила авторизации делегированияScreenshot that shows where to select Add Rule when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  5. На странице Выбор шаблона правила в разделе шаблон правила утверждениявыберите передать или отфильтровать входящее утверждение из списка, а затем нажмите кнопку Далее. Screenshot that shows where to select the Pass Through or Filter an Incoming Claim template when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  6. На странице Настройка правила введите имя правила утверждения.

  7. В поле тип входящего утверждениявыберите имя идентификатор в списке.

  8. В поле Формат ВХОДЯЩЕГО идентификатора именивыберите один из следующих AD FS 1. совместимые с xформаты утверждений из списка:

    • УЧАСТНИКА

    • Электронная почта;

    • Общее имя

  9. Выберите один из следующих вариантов в зависимости от потребностей Организации.

    • пропуск всех значений утверждений;

    • пропуск только конкретного значения утверждения;

    • Передавать только значения утверждений, соответствующие определенному значению суффикса электронной почты

    • Проходить только по значениям утверждений, начинающимся с определенного значенияScreenshot that shows where to select the options on the Configure Claim Rule screen when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  10. Нажмите кнопку Готово, а затем кнопку ОК , чтобы сохранить правило.

Создание правила для выдаче AD FS 1. утверждение идентификатора имени x с помощью шаблона преобразования входящего утверждения в Windows Server 2012 R2

  1. В диспетчер сервера выберите Сервис, а затем — Управление AD FS.

  2. В дереве консоли в разделе отношения AD фс\трустщелкните отношения доверия поставщика утверждений или отношения доверия с проверяющей стороной, а затем выберите определенное отношение доверия в списке, в котором вы хотите создать это правило.

  3. Щелкните выбранное отношение доверия правой кнопкой мыши и выберите команду изменить правила утверждений. Screenshot that shows where to select Edit Claim Rules when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  4. В диалоговом окне изменение правил утверждений выберите одну из следующих вкладок, которые зависят от редактируемого отношения доверия и набора правил, для которого необходимо создать это правило, а затем нажмите кнопку Добавить правило , чтобы запустить мастер правил, связанный с этим набором правил:

    • Правила преобразования принятия

    • Правила преобразования выдачи

    • Правила авторизации выдачи

    • Правила авторизации делегированияScreenshot that shows where to add a rule when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  5. На странице Выбор шаблона правила в разделе шаблон правила утверждениявыберите преобразовать входящее утверждение в список, а затем нажмите кнопку Далее. Screenshot that shows where to select Transform an Incoming Claim when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  6. На странице Настройка правила введите имя правила утверждения.

  7. В поле тип входящего утверждениявыберите тип входящего утверждения, которое требуется преобразовать в список.

  8. В поле Тип исходящего утверждениявыберите имя идентификатор в списке.

  9. В поле Формат идентификатора исходящего именивыберите один из следующих AD FS 1. совместимые с xформаты утверждений из списка:

    • УЧАСТНИКА

    • Электронная почта;

    • Общее имя

  10. Выберите один из следующих вариантов в зависимости от потребностей Организации.

    • пропуск всех значений утверждений;

    • Замена значения входящего утверждения на значение другого исходящего утверждения

    • Заменить утверждения входящего суффикса электронной почты новым суффиксом электронной почтыcreate rule

  11. Нажмите кнопку Готово, а затем кнопку ОК , чтобы сохранить правило.

Дополнительная справка

Настройка правил для утверждения

Контрольный список. Создание правил утверждений для отношений доверия с проверяющей стороной

Контрольный список. Создание правил утверждений для отношений доверия с поставщиком утверждений

Использование правила для утверждений авторизации

Роль утверждений

Роль правил утверждений