Azure AD Connect kullanarak Active Directory Federasyon Hizmetleri özelleştirme ve yönetmeManage and customize Active Directory Federation Services by using Azure AD Connect

Bu makalede, Azure Active Directory (Azure AD) Connect kullanarak Active Directory Federasyon Hizmetleri (AD FS) özelleştirme ve yönetme işlemini açıklamaktadır.This article describes how to manage and customize Active Directory Federation Services (AD FS) by using Azure Active Directory (Azure AD) Connect. Ayrıca, bir AD FS grubu için bir tam yapılandırma yapmanız gerekebilecek diğer ortak bir AD FS görevler içerir.It also includes other common AD FS tasks that you might need to do for a complete configuration of an AD FS farm.

KonuTopic Neleri kapsarWhat it covers
AD FS yönetmeManage AD FS
Güveni onarınRepair the trust Office 365 ile federasyon güveni onarın yapma.How to repair the federation trust with Office 365.
Alternatif bir oturum açma Kimliğini kullanarak Azure AD ile federasyonaFederate with Azure AD using alternate login ID Alternatif oturum açma kimliği kullanarak Federasyonu yapılandırmaConfigure federation using alternate login ID
AD FS sunucusu eklemeAdd an AD FS server Nasıl bir ek AD FS sunucusu ile AD FS grubunu genişletin.How to expand an AD FS farm with an additional AD FS server.
AD FS Web uygulaması Ara sunucusu eklemeAdd an AD FS Web Application Proxy server Nasıl bir ek bir Web uygulaması Ara sunucusu (WAP) sunucusu ile AD FS grubunu genişletin.How to expand an AD FS farm with an additional Web Application Proxy (WAP) server.
Bir Federasyon etki alanına eklemeAdd a federated domain Bir Federasyon etki alanına ekleme.How to add a federated domain.
SSL sertifikasını güncelleştirmeUpdate the SSL certificate SSL sertifikası için bir AD FS grubunu güncelleştirme yapma.How to update the SSL certificate for an AD FS farm.
AD FS özelleştirmeCustomize AD FS
Özel bir şirket logosu veya çizim eklemeAdd a custom company logo or illustration Şirket logo ve çizim ile AD FS oturum açma sayfasını özelleştirme yapma.How to customize an AD FS sign-in page with a company logo and illustration.
Oturum açma bir açıklama ekleyinAdd a sign-in description Oturum açma sayfası açıklaması ekleme.How to add a sign-in page description.
AD FS talep kurallarını değiştirmeModify AD FS claim rules AD FS talep çeşitli Federasyon senaryolarında değişiklik yapma.How to modify AD FS claims for various federation scenarios.

AD FS yönetmeManage AD FS

Azure AD Connect Sihirbazı'nı kullanarak Azure AD CONNECT'te en düşük kullanıcı katılımıyla çeşitli AD FS ile ilgili görevleri gerçekleştirebilirsiniz.You can perform various AD FS-related tasks in Azure AD Connect with minimal user intervention by using the Azure AD Connect wizard. Azure AD Connect sihirbazını çalıştırarak yüklemeyi bitirdikten sonra yeniden ek görevleri gerçekleştirmek için sihirbazı çalıştırabilirsiniz.After you've finished installing Azure AD Connect by running the wizard, you can run the wizard again to perform additional tasks.

Güveni onarınRepair the trust

Güven onarmak için AD FS ile Azure AD güven ve uygun eylemleri geçerli durumunu denetlemek için Azure AD Connect kullanabilirsiniz.You can use Azure AD Connect to check the current health of the AD FS and Azure AD trust and take appropriate actions to repair the trust. Azure AD onarmak için bu adımları izleyin ve AD FS güven.Follow these steps to repair your Azure AD and AD FS trust.

  1. Seçin onarım AAD ve AD FS güven ek görevler listesinden.Select Repair AAD and ADFS Trust from the list of additional tasks. Onarım AAD ve AD FS güveniRepair AAD and ADFS Trust

  2. Üzerinde Azure ad Connect sayfasında, Azure AD için genel yönetici kimlik bilgilerinizi girin ve tıklayın sonraki.On the Connect to Azure AD page, provide your global administrator credentials for Azure AD, and click Next. Azure AD'ye BağlanmaConnect to Azure AD

  3. Üzerinde uzaktan erişim kimlik bilgileri sayfasında, etki alanı yöneticisi kimlik bilgilerini girin.On the Remote access credentials page, enter the credentials for the domain administrator.

    Uzaktan erişim kimlik bilgileri

    Tıkladıktan sonra sonraki, Azure AD Connect için sertifika durumu denetler ve herhangi bir sorunu gösterir.After you click Next, Azure AD Connect checks for certificate health and shows any issues.

    Sertifika durumu

    Yapılandırma için hazır sayfası güven onarmak için gerçekleştirilen eylemlerin listesini gösterir.The Ready to configure page shows the list of actions that will be performed to repair the trust.

    Yapılandırma için hazır

  4. Tıklayın yükleme güven onarmak için.Click Install to repair the trust.

Not

Azure AD Connect can yalnızca Onar veya otomatik olarak imzalanan sertifikaları üzerinde işlem yapma.Azure AD Connect can only repair or act on certificates that are self-signed. Azure AD Connect, üçüncü taraf sertifikalarının onarılamıyor.Azure AD Connect can't repair third-party certificates.

AlternateID kullanarak Azure AD ile federasyonaFederate with Azure AD using AlternateID

Şirket içi kullanıcı asıl adı (UPN) ve bulut kullanıcı asıl adı aynı kalmasını önerilir.It is recommended that the on-premises User Principal Name(UPN) and the cloud User Principal Name are kept the same. Şirket içi UPN (ör. yönlendirilemeyen etki alanı kullanıyorsaIf the on-premises UPN uses a non-routable domain (ex. Contoso.local) veya değiştirilemez yerel uygulama bağımlılıklar nedeniyle öneririz alternatif bir oturum açma kimliği ayarlamaContoso.local) or cannot be changed due to local application dependencies, we recommend setting up alternate login ID. Alternatif oturum açma kimliği kullanıcıların UPN, e-posta gibi farklı bir öznitelik oturum oturum bir oturum açma deneyimi yapılandırmanıza olanak sağlar.Alternate login ID allows you to configure a sign-in experience where users can sign in with an attribute other than their UPN, such as mail. Azure AD Connect varsayılan olarak Active Directory'de userPrincipalName özniteliği istediğiniz kullanıcı asıl adı.The choice for User Principal Name in Azure AD Connect defaults to the userPrincipalName attribute in Active Directory. Kullanıcı asıl adı için başka bir öznitelik seçin ve AD FS'yi kullanarak Federasyon, ardından Azure AD Connect alternatif bir oturum açma kimliği için AD FS yapılandırmaIf you choose any other attribute for User Principal Name and are federating using AD FS, then Azure AD Connect will configure AD FS for alternate login ID. Kullanıcı asıl adı için farklı bir öznitelik seçerek bir örnek aşağıda gösterilmiştir:An example of choosing a different attribute for User Principal Name is shown below:

Alternatif kimlik öznitelik seçimi

AD FS'yi alternatif oturum açma Kimliğini yapılandırma iki ana adımdan oluşur:Configuring alternate login ID for AD FS consists of two main steps:

  1. Verme talepleri doğru ortaklık kümesi yapılandırma: Seçili UserPrincipalName özniteliği kullanıcı alternatif kimlik olarak kullanmak için Azure AD bağlı olan taraf güveni talep verme kuralları değiştirilmiştir.Configure the right set of issuance claims: The issuance claim rules in the Azure AD relying party trust are modified to use the selected UserPrincipalName attribute as the alternate ID of the user.

  2. AD FS yapılandırması içinde alternatif oturum açma kimliği etkinleştirme: AD FS yapılandırması, böylece bu alternatif kimliği kullanarak uygun ormanlardaki kullanıcıların AD FS arayabilirsiniz güncelleştirilirEnable alternate login ID in the AD FS configuration: The AD FS configuration is updated so that AD FS can look up users in the appropriate forests using the alternate ID. Bu yapılandırma, AD FS (KB2919355 ile) Windows Server 2012 R2 veya üzeri için desteklenir.This configuration is supported for AD FS on Windows Server 2012 R2 (with KB2919355) or later. Azure AD Connect, AD FS sunucuları, 2012 R2 ise, gerekli KB varlığını denetler.If the AD FS servers are 2012 R2, Azure AD Connect checks for the presence of the required KB. KB algılanmazsa, yapılandırma tamamlandıktan sonra bir uyarı aşağıda gösterildiği gibi görüntülenir:If the KB is not detected, a warning will be displayed after configuration completes, as shown below:

    Uyarı KB 2012R2 üzerinde eksik

    Eksik KB durumunda yapılandırmayı düzeltmek için gerekli yükleme KB2919355 ve güven kullanarak onarın onarım AAD ve AD FS güvenini.To rectify the configuration in case of missing KB, install the required KB2919355 and then repair the trust using Repair AAD and AD FS Trust.

Not

AlternateID ve el ile yapılandırma adımları hakkında daha fazla bilgi için okuma alternatif oturum açma Kimliğini yapılandırmaFor more information on alternateID and steps to manually configure, read Configuring Alternate Login ID

AD FS sunucusu eklemeAdd an AD FS server

Not

AD FS sunucusuna eklemek için Azure AD Connect, PFX sertifikası gerektirir.To add an AD FS server, Azure AD Connect requires the PFX certificate. Azure AD Connect kullanarak AD FS grubunu yapılandırılması durumunda, bu nedenle, bu işlemi gerçekleştirebilir.Therefore, you can perform this operation only if you configured the AD FS farm by using Azure AD Connect.

  1. Seçin ek bir federasyon sunucusunun dağıtımında, tıklatıp sonraki.Select Deploy an additional Federation Server, and click Next.

    Ek Federasyon sunucusu

  2. Üzerinde Azure ad Connect sayfa, Azure AD için genel yönetici kimlik bilgilerinizi girin ve tıklayın sonraki.On the Connect to Azure AD page, enter your global administrator credentials for Azure AD, and click Next.

    Azure AD'ye Bağlanma

  3. Etki alanı yönetici kimlik bilgilerini sağlayın.Provide the domain administrator credentials.

    Etki alanı yönetici kimlik bilgileri

  4. Azure AD Connect, Azure AD Connect ile yeni AD FS grubunuzu yapılandırırken belirttiğiniz PFX dosyasının parolasını ister.Azure AD Connect asks for the password of the PFX file that you provided while configuring your new AD FS farm with Azure AD Connect. Tıklayın parolasını girin PFX dosyasının parolasını sağlamak için.Click Enter Password to provide the password for the PFX file.

    Sertifika parolası

    SSL sertifikasını belirtin

  5. Üzerinde AD FS sunucuları sayfasında, sunucu adı veya AD FS grubuna eklenecek IP adresi girin.On the AD FS Servers page, enter the server name or IP address to be added to the AD FS farm.

    AD FS sunucuları

  6. Tıklayın sonrakive en son yapılandırma sayfası.Click Next, and go through the final Configure page. Azure AD Connect sunucuları AD FS grubuna ekleme işlemini tamamladıktan sonra bağlantıyı doğrulamak için seçeneği sunulur.After Azure AD Connect has finished adding the servers to the AD FS farm, you will be given the option to verify the connectivity.

    Yapılandırma için hazır

    Yükleme tamamlandı

AD FS WAP sunucusu eklemeAdd an AD FS WAP server

Not

WAP sunucusu eklemek için Azure AD Connect, PFX sertifikası gerektirir.To add a WAP server, Azure AD Connect requires the PFX certificate. Bu nedenle, Azure AD Connect kullanarak AD FS grubunu yapılandırdıysanız yalnızca bu işlemi gerçekleştirebilir.Therefore, you can only perform this operation if you configured the AD FS farm by using Azure AD Connect.

  1. Seçin Web uygulaması Ara sunucusu dağıtma kullanılabilir görevler listesinden.Select Deploy Web Application Proxy from the list of available tasks.

    Web uygulaması Ara sunucusu

  2. Azure genel yönetici kimlik bilgilerini sağlayın.Provide the Azure global administrator credentials.

    Azure AD'ye Bağlanma

  3. Üzerinde belirtin SSL sertifikası sayfasında, Azure AD Connect ile AD FS grubunda yapılandırılmış zaman belirttiğiniz PFX dosyasının parolasını sağlayın.On the Specify SSL certificate page, provide the password for the PFX file that you provided when you configured the AD FS farm with Azure AD Connect. Sertifika parolasıCertificate password

    SSL sertifikasını belirtin

  4. WAP sunucusu olarak eklenecek sunucunun ekleyin.Add the server to be added as a WAP server. WAP sunucusu etki alanına katılmamış çünkü eklenen sunucusuna yönetici kimlik bilgileri için sihirbaz sorar.Because the WAP server might not be joined to the domain, the wizard asks for administrative credentials to the server being added.

    Yönetim sunucusu kimlik bilgileri

  5. Üzerinde Ara sunucu güveni kimlik bilgileri sayfasında, Proxy'yi yapılandırmak için yönetici kimlik bilgilerine güven ve AD FS grubunda birincil sunucu erişim sağlayın.On the Proxy trust credentials page, provide administrative credentials to configure the proxy trust and access the primary server in the AD FS farm.

    Ara sunucu güveni kimlik bilgileri

  6. Üzerinde yapılandırma için hazır sayfasında, sihirbaz, gerçekleştirilecek eylemlerin listesini gösterir.On the Ready to configure page, the wizard shows the list of actions that will be performed.

    Yapılandırma için hazır

  7. Tıklayın yükleme yapılandırmayı tamamlayın.Click Install to finish the configuration. Yapılandırma tamamlandıktan sonra sihirbazın sunucularına bağlantıyı doğrulamak için seçeneği sunar.After the configuration is complete, the wizard gives you the option to verify the connectivity to the servers. Tıklayın doğrulama bağlantıyı denetlemek için.Click Verify to check connectivity.

    Yükleme tamamlandı

Bir Federasyon etki alanına eklemeAdd a federated domain

Azure AD Connect kullanarak Azure AD ile federasyona eklenmesi için bir etki alanına eklemek kolay bir işlemdir.It's easy to add a domain to be federated with Azure AD by using Azure AD Connect. Azure AD Connect, Federasyon etki alanını ekler ve talep kuralları, Azure AD ile birleştirildiyse birden çok etki alanınız olduğunda dağıtımcı doğru yansıtacak şekilde değiştirir.Azure AD Connect adds the domain for federation and modifies the claim rules to correctly reflect the issuer when you have multiple domains federated with Azure AD.

  1. Bir Federasyon etki alanına eklemek için görevi seçin ek bir ekleme Azure AD etki alanı.To add a federated domain, select the task Add an additional Azure AD domain.

    Ek Azure AD etki alanı

  2. Sihirbazın bir sonraki sayfada, Azure AD için genel yönetici kimlik bilgilerini sağlayın.On the next page of the wizard, provide the global administrator credentials for Azure AD.

    Azure AD'ye Bağlanma

  3. Üzerinde uzaktan erişim kimlik bilgileri sayfasında, etki alanı yönetici kimlik bilgilerini sağlayın.On the Remote access credentials page, provide the domain administrator credentials.

    Uzaktan erişim kimlik bilgileri

  4. Sonraki sayfada, sihirbaz, şirket içi dizininizle devredebilir Azure AD etki alanlarının bir listesini sağlar.On the next page, the wizard provides a list of Azure AD domains that you can federate your on-premises directory with. Etki alanı listeden seçin.Choose the domain from the list.

    Azure AD etki alanı

    Etki alanını seçtikten sonra Sihirbazı hakkında daha fazla sihirbazın gerçekleştireceği eylemleri ve yapılandırma etkisini uygun bilgileri sağlar.After you choose the domain, the wizard provides you with appropriate information about further actions that the wizard will take and the impact of the configuration. Henüz Azure AD'de doğrulanmış değil bir etki alanı seçtiğinizde bazı durumlarda, sihirbaz sizin, etki alanı doğrulamanıza yardımcı olacak bilgiler sağlar.In some cases, if you select a domain that isn't yet verified in Azure AD, the wizard provides you with information to help you verify the domain. Bkz: Azure Active Directory'ye özel etki alanı adınızı ekleme daha fazla ayrıntı için.See Add your custom domain name to Azure Active Directory for more details.

  5. İleri’ye tıklayın.Click Next. Yapılandırma için hazır sayfa, Azure AD Connect gerçekleştireceği eylemlerin bir listesini gösterir.The Ready to configure page shows the list of actions that Azure AD Connect will perform. Tıklayın yükleme yapılandırmayı tamamlayın.Click Install to finish the configuration.

    Yapılandırma için hazır

Not

Bunların Azure AD'de oturum açabilmeniz için önce eklenen Federasyon etki alanından kullanıcılar eşitlenmelidir.Users from the added federated domain must be synchronized before they will be able to login to Azure AD.

AD FS özelleştirmesiAD FS customization

Aşağıdaki bölümler, AD FS oturum açma sayfanız özelleştirdiğinizde gerçekleştirmeniz gerekebilir yaygın görevlerden bazıları hakkında ayrıntılar sağlar.The following sections provide details about some of the common tasks that you might have to perform when you customize your AD FS sign-in page.

Gösterilen şirketin logosunu değiştirmek için oturum sayfasında, aşağıdaki Windows PowerShell cmdlet'ini ve sözdizimini kullanın.To change the logo of the company that's displayed on the Sign-in page, use the following Windows PowerShell cmdlet and syntax.

Not

Önerilen logosu 260 x 35 boyutlardır @ 96 DPI bir dosya boyutu 10 KB'den büyük olmaması.The recommended dimensions for the logo are 260 x 35 @ 96 dpi with a file size no greater than 10 KB.

Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}

Not

TargetName parametresi gereklidir.The TargetName parameter is required. Varsayılan AD FS ile birlikte yayınlanan varsayılan temanın adı verilir.The default theme that's released with AD FS is named Default.

Oturum açma bir açıklama ekleyinAdd a sign-in description

İçin oturum açma sayfasına bir açıklama eklemek için oturum açma sayfası, aşağıdaki Windows PowerShell cmdlet'ini ve sözdizimini kullanın.To add a sign-in page description to the Sign-in page, use the following Windows PowerShell cmdlet and syntax.

Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Click <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"

AD FS talep kurallarını değiştirmeModify AD FS claim rules

AD FS özel talep kuralları oluşturmak için kullanabileceğiniz bir zengin talep dili destekler.AD FS supports a rich claim language that you can use to create custom claim rules. Daha fazla bilgi için talep kuralı dili rolü.For more information, see The Role of the Claim Rule Language.

Aşağıdaki bölümlerde, Azure AD ile ilgili bazı senaryolar için özel kurallar nasıl yazabilirsiniz ve AD FS federasyon.The following sections describe how you can write custom rules for some scenarios that relate to Azure AD and AD FS federation.

Koşullu özniteliğinde mevcut olan bir değerini sabit kimlikImmutable ID conditional on a value being present in the attribute

Azure AD Connect nesneleri Azure AD'ye eşitlendiğinde bir kaynak bağlantısı kullanılacak bir özniteliğini belirtmenize olanak sağlar.Azure AD Connect lets you specify an attribute to be used as a source anchor when objects are synced to Azure AD. Özel öznitelik değeri boş değilse, sabit bir kimliği talebi vermek isteyebilirsiniz.If the value in the custom attribute is not empty, you might want to issue an immutable ID claim.

Örneğin, seçtiğiniz ms-ds-consistencyguid içinde sorun ve kaynak bağlantısı özniteliği olarak Immutableıd olarak ms-ds-consistencyguid içinde olasılığına karşı özniteliği bunlara karşı bir değer içeriyor.For example, you might select ms-ds-consistencyguid as the attribute for the source anchor and issue ImmutableID as ms-ds-consistencyguid in case the attribute has a value against it. Öznitelik karşı herhangi bir değer varsa, sorunu objectGUID olarak sabit kimliği.If there's no value against the attribute, issue objectGuid as the immutable ID. Aşağıdaki bölümde açıklandığı gibi özel talep kuralları kümesi oluşturabilirsiniz.You can construct the set of custom claim rules as described in the following section.

Kural 1: Sorgu öznitelikleriRule 1: Query attributes

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);

Bu kuralda değerlerini sorguladığınız ms-ds-consistencyguid içinde ve objectGUID Active Directory'den kullanıcı.In this rule, you're querying the values of ms-ds-consistencyguid and objectGuid for the user from Active Directory. Bir AD FS dağıtımınıza uygun deposu adı için depo adını değiştirin.Change the store name to an appropriate store name in your AD FS deployment. Aynı zamanda talep türü için uygun bir değişiklik için tanımlanan türü, Federasyon için talep objectGUID ve ms-ds-consistencyguid içinde.Also change the claims type to a proper claims type for your federation, as defined for objectGuid and ms-ds-consistencyguid.

Kullanarak ayrıca ekleme değil sorunu, varlık için giden sorun eklemekten kaçının ve ara değerler olarak değerleri kullanabilirsiniz.Also, by using add and not issue, you avoid adding an outgoing issue for the entity, and can use the values as intermediate values. Sabit kimlik olarak kullanmak üzere hangi değeri sağladıktan sonra bir sonraki kural talebi verecekYou will issue the claim in a later rule after you establish which value to use as the immutable ID.

2. kural: MS-ds-consistencyguid içinde kullanıcı için mevcut olup olmadığını denetleyinRule 2: Check if ms-ds-consistencyguid exists for the user

NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");

Bu kural adlı geçici bir bayrak tanımlar idflag ayarlanmış useguid varsa hiçbir ms-ds-consistencyguid içinde kullanıcıdan doldurulur.This rule defines a temporary flag called idflag that is set to useguid if there's no ms-ds-consistencyguid populated for the user. Bunun ardındaki mantığı, AD FS boş talep izin vermeyen gerçeğidir.The logic behind this is the fact that AD FS doesn't allow empty claims. Talep eklediğinizde, bu nedenle http://contoso.com/ws/2016/02/identity/claims/objectguid ve http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid kural 1'de elde edersiniz bir msdsconsistencyguid değeri bir kullanıcı için doldurulur yalnızca talep.So when you add claims http://contoso.com/ws/2016/02/identity/claims/objectguid and http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid in Rule 1, you end up with an msdsconsistencyguid claim only if the value is populated for the user. Doldurulmuş değil, AD FS boş bir değere sahip ve hemen bıraktığı görür.If it isn't populated, AD FS sees that it will have an empty value and drops it immediately. Tüm nesneleri olacaktır objectGUID, kural 1 yürütüldükten sonra bu talebi her zaman var olur.All objects will have objectGuid, so that claim will always be there after Rule 1 is executed.

3. kural: Varsa, ms-ds-consistencyguid içinde sabit kimlik verme.Rule 3: Issue ms-ds-consistencyguid as immutable ID if it's present

c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Value = c.Value);

Bu bir örtük olarak mevcut denetleyin.This is an implicit Exist check. Ardından talep değeri varsa, sabit kimliği olarak sorunuIf the value for the claim exists, then issue that as the immutable ID. Önceki örnekte NameIdentifier talep.The previous example uses the nameidentifier claim. Bunu ortamınızda sabit kimliği için uygun talep türüne değiştirmek zorunda kalırsınız.You'll have to change this to the appropriate claim type for the immutable ID in your environment.

4. kural: MS-ds-consistencyguid içinde mevcut değilse, sabit kimlik objectGUID sorunuRule 4: Issue objectGuid as immutable ID if ms-ds-consistencyGuid is not present

c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Value = c2.Value);

Bu kural, yalnızca geçici bayrağı denetimi idflag.In this rule, you're simply checking the temporary flag idflag. Talep, değerini temel alarak karar.You decide whether to issue the claim based on its value.

Not

Bu kurallar sırası önemlidir.The sequence of these rules is important.

Bir alt etki alanı UPN ile SSOSSO with a subdomain UPN

Azure AD Connect kullanarak açıklandığı birleştirilecek birden fazla etki alanı ekleyebilirsiniz yeni bir Federasyon etki alanına ekleme.You can add more than one domain to be federated by using Azure AD Connect, as described in Add a new federated domain. Azure AD Connect sürümü 1.1.553.0 ve son doğru talep kuralı oluşturur İssuerıd için otomatik olarak.Azure AD Connect version 1.1.553.0 and latest creates the correct claim rule for issuerID automatically. Azure AD Connect sürümü 1.1.553.0 kullanamazsınız veya en son, önerilir Azure AD RPT talep kuralları aracı oluşturabilir ve Azure AD bağlı olan taraf güveni için doğru talep kurallarını ayarlamak için kullanılır.If you cannot use Azure AD Connect version 1.1.553.0 or latest, it is recommended that Azure AD RPT Claim Rules tool is used to generate and set correct claim rules for the Azure AD relying party trust.

Sonraki adımlarNext steps

Daha fazla bilgi edinin kullanıcı oturum açma seçenekleri.Learn more about user sign-in options.