Создание правила для отправки атрибутов LDAP в качестве утверждений

  • Статья

С помощью шаблона правила отправки атрибутов LDAP в качестве правила утверждений в службы федерации Active Directory (AD FS) (AD FS) можно создать правило, которое будет выбирать атрибуты из хранилища атрибутов протокола LDAP(LDAP), например Active Directory, для отправки в качестве утверждений проверяющей стороне. Например, этот шаблон правила можно использовать для создания правила отправки атрибутов LDAP в качестве правила утверждений, которое будет извлекать значения атрибутов для прошедших проверку подлинности пользователей из атрибутов displayName и telephoneNumber Active Directory, а затем отправлять эти значения в виде двух разных исходящих утверждений.

Это правило также можно использовать для отправки всех членства в группах пользователя. Если вы хотите отправить только членство в отдельных группах, используйте правило "Отправлять членство в группах как утверждения". Чтобы создать правило утверждения с оснасткой управления AD FS, можно использовать следующую процедуру.

Для выполнения этой процедуры требуется членство в группе Администраторы или в эквивалентной группе на локальном компьютере. Дополнительные сведения об использовании соответствующих учетных записей и членстве в группах см. в статье Local and Domain Default Groups (Локальные и доменные группы по умолчанию).

Создание правила для отправки атрибутов LDAP в качестве утверждений для доверия проверяющей стороны в Windows Server 2016

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В дереве консоли в разделе AD FS щелкните "Доверие проверяющей стороны". Screenshot that shows where to select Relying Party Trusts when you create a rule to send LDAP attributes as claims for a Relying Party Trust in Windows Server 2016.

  3. Щелкните правой кнопкой мыши выбранное доверие и выберите команду "Изменить политику выдачи утверждений". Screenshot that shows where to select Edit Claim Issuance Policy when you create a rule to send LDAP attributes as claims for a Relying Party Trust in Windows Server 2016.

  4. В диалоговом окне "Изменить политику выдачи утверждений" в разделе "Правила преобразования выдачи" нажмите кнопку "Добавить правило", чтобы запустить мастер правил. Screenshot that shows where to select Add Rule when you create a rule to send LDAP attributes as claims for a Relying Party Trust in Windows Server 2016.

  5. На странице "Выбор шаблона правила" в разделе "Правило утверждения" выберите "Отправить атрибуты LDAP в качестве утверждений" в списке и нажмите кнопку "Далее". Screenshot that shows where to select the Send LDAP Attributes as Claims template when you create a rule to send LDAP attributes as claims for a Relying Party Trust in Windows Server 2016.

  6. На странице "Настройка правила" в разделе "Имя правила утверждения" введите отображаемое имя для этого правила, выберите хранилище атрибутов, а затем выберите атрибут LDAP и сопоставите его с типом исходящего утверждения. Screenshot that shows where to type the claim rule name when you create a rule to send LDAP attributes as claims for a Relying Party Trust in Windows Server 2016.

  7. Нажмите кнопку Готово.

  8. В диалоговом окне "Изменение правил утверждений" нажмите кнопку "ОК", чтобы сохранить правило.

Создание правила для отправки атрибутов LDAP в качестве утверждений для доверия поставщика утверждений в Windows Server 2016

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В дереве консоли в разделе AD FS щелкните "Отношения доверия поставщиков утверждений". Screenshot that shows where to select Claims Provider Trusts when you create a rule to send LDAP attributes as claims for a Claims Provider Trust in Windows Server 2016.

  3. Щелкните правой кнопкой мыши выбранное доверие и выберите команду "Изменить правила утверждения". Screenshot that shows where to select Edit Claim Rules when you create a rule to send LDAP attributes as claims for a Claims Provider Trust in Windows Server 2016.

  4. В диалоговом окне "Изменение правил утверждений" в разделе "Правила преобразования принятия" нажмите кнопку "Добавить правило", чтобы запустить мастер правил. Screenshot that shows where to select Add Rule when you create a rule to send LDAP attributes as claims for a Claims Provider Trust in Windows Server 2016.

  5. На странице "Выбор шаблона правила" в разделе "Правило утверждения" выберите "Отправить атрибуты LDAP в качестве утверждений" в списке и нажмите кнопку "Далее". Screenshot that shows where to select Send LDAP Attributes as Claims when you create a rule in Windows Server 2016.

  6. На странице "Настройка правила" в разделе "Имя правила утверждения" введите отображаемое имя для этого правила, выберите хранилище атрибутов, а затем выберите атрибут LDAP и сопоставите его с типом исходящего утверждения. Screenshot that shows where to type the claim rule name when you create a rule to send LDAP attributes as claims for a Claims Provider Trust in Windows Server 2016.

  7. Нажмите кнопку Готово.

  8. В диалоговом окне "Изменение правил утверждений" нажмите кнопку "ОК", чтобы сохранить правило.

Создание правила для отправки атрибутов LDAP в качестве утверждений для Windows Server 2012 R2

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В дереве консоли в разделе AD FSAD FS\Trust Relationships щелкните "Доверие поставщика утверждений" или "Доверие проверяющей стороны", а затем щелкните определенное доверие в списке, где вы хотите создать это правило.

  3. Щелкните правой кнопкой мыши выбранное доверие и выберите команду "Изменить правила утверждения". Screenshot that shows where to select Edit Claim Rules when you create a rule to send LDAP attributes as claims for Windows Server 2012 R2.

  4. В диалоговом окне "Изменить правила утверждений" выберите одну из следующих вкладок в зависимости от того, в каком доверии вы редактируете и в каком наборе правил нужно создать это правило, а затем нажмите кнопку "Добавить правило", чтобы запустить мастер правил, связанный с этим набором правил:

    • Правила преобразования приемки

    • Правила преобразования выпуска

    • Правила авторизации выпуска

    • Правила авторизации делегированияScreenshot that shows where to select Add Rule create a rule to send LDAP attributes as claims for Windows Server 2012 R2.

  5. На странице "Выбор шаблона правила" в разделе "Правило утверждения" выберите "Отправить атрибуты LDAP в качестве утверждений" в списке и нажмите кнопку "Далее". Screenshot that shows where to select Send LDAP Attributes as Claims create a rule for Windows Server 2012 R2.

  6. На странице "Настройка правила" в разделе "Имя правила утверждения" введите отображаемое имя этого правила, в разделе "Хранилищеатрибутов Атрибутов Active Directory" и в разделе "Сопоставление атрибутов LDAP" с типами исходящих утверждений выберите нужный атрибут LDAP и соответствующие типы исходящих утверждений из раскрывающихся списков.

    Необходимо выбрать новый атрибут LDAP и пару исходящих утверждений в другой строке для каждого атрибута Active Directory, для которого требуется выдать утверждение в рамках этого правила. create rule

  7. Нажмите кнопку Готово.

  8. В диалоговом окне "Изменение правил утверждений" нажмите кнопку "ОК", чтобы сохранить правило.

Дополнительная справка

Настройка правил для утверждения

Контрольный список. Создание правил утверждений для доверия проверяющей стороны

Контрольный список. Создание правил утверждений для доверия поставщика утверждений

Когда следует использовать правило утверждения авторизации

Роль утверждений

Роль правил утверждений