建立規則以傳送 AD FS 1.x 相容的宣告

如果您使用 Active Directory 同盟服務 (AD FS) 來發出將由執行 AD FS 1.0 (Windows server 2003 R2) 或 AD FS 1.1 (Windows server 2008 或 Windows server 2008 r2) 的同盟伺服器所接收的宣告,則必須執行下列動作:

根據組織的需求,使用下列其中一個程式建立 AD FS 1。x 相容的 NameID 宣告:

  • 建立此規則,以使用通過或篩選傳入宣告規則範本來發出 AD FS 1.X 名稱識別碼宣告

  • 建立此規則,以使用 [ 轉換傳入宣告] 規則範本來發出 AD FS 1.X 名稱識別碼宣告。 當您想要將現有的宣告類型變更為可搭配 AD FS 1 使用的新宣告類型時,可以使用此規則範本。 x 宣告。

注意

若要讓此規則如預期般運作,請確定您用來建立此規則的信賴憑證者信任或宣告提供者信任已設定為使用 AD FS 1.0 和1.1 設定檔

建立用來發出 AD FS 1 的規則。在 Windows Server 2016 的信賴憑證者信任上,使用 [傳遞或篩選傳入宣告] 規則範本的x名稱識別碼宣告

  1. 在 [伺服器管理員] 中按一下 [工具],然後選取 [AD FS 管理]。

  2. 在主控台樹的 [ AD FS] 下,按一下 [信賴憑證者 信任]。 Screenshot that shows where to select Relying Party Trusts when you create a rule to issue an AD FS 1.x Name ID claim.

  3. 在選取的信任上按一下滑鼠右鍵,然後按一下 [ 編輯宣告發行原則]。 Screenshot that shows where to select the Edit Claim Issuance Policy option when you create a rule to issue an AD FS 1.x Name ID claim.

  4. 在 [ 編輯宣告發行原則 ] 對話方塊的 [ 發佈轉換規則 ] 下,按一下 [ 新增規則 ] 以啟動規則嚮導。 Screenshot that shows where to select Add Rule when you create a rule to issue an AD FS 1.x Name ID claim.

  5. 在 [ 選取規則範本 ] 頁面的 [宣告 規則範本] 下,從清單中選取 [ 傳遞或篩選傳入 宣告],然後按 [下一步]Screenshot that shows where to select the Pass Through or Filter an Incoming Claim template when you create a rule to issue an AD FS 1.x Name ID claim.

  6. 在 [ 設定規則 ] 頁面上,輸入宣告規則名稱。

  7. 在 [ 傳入宣告類型] 中,選取清單中的 [ 名稱識別碼 ]。

  8. 在 [ 傳入名稱識別碼格式] 中,選取下列其中一個 AD FS 1。清單中的x相容宣告格式:

    • UPN

    • 電子郵件

    • 一般名稱

  9. 根據組織的需求,選取下列其中一個選項:

    • 傳遞所有宣告值

    • 僅傳遞特定宣告值

    • 只傳遞符合特定電子郵件尾碼值的宣告值

    • 只傳遞以特定值開頭的宣告值Screenshot that shows the Configure Claim Rule screen.

  10. 按一下 [完成],然後按一下 [確定] 以儲存規則。

建立用來發出 AD FS 1 的規則。在 Windows Server 2016 的宣告提供者信任上,使用 [傳遞或篩選傳入宣告] 規則範本的x名稱識別碼宣告

  1. 在 [伺服器管理員] 中按一下 [工具],然後選取 [AD FS 管理]。

  2. 在主控台樹的 [ AD FS] 下,按一下 [ 宣告提供者信任]。 Screenshot that shows where to select Claims Provider Trusts in the console tree.

  3. 在選取的信任上按一下滑鼠右鍵,然後按一下 [ 編輯宣告規則]。 Screenshot that shows where to select the Edit Claim Rules menu option when you create a rule to issue an AD FS 1.x Name ID claim.

  4. 在 [ 編輯宣告規則 ] 對話方塊中,按一下 [ 接受轉換規則 ] 下的 [ 新增規則 ],以啟動規則嚮導。 Screenshot that shows the Add Rule button on the Acceptance Transform Rules tab.

  5. 在 [ 選取規則範本 ] 頁面的 [宣告 規則範本] 下,從清單中選取 [ 傳遞或篩選傳入 宣告],然後按 [下一步]Screenshot that shows where to select the Pass Through or Filter an Incoming Claim template when you create a rule to issue an AD FS 1.x Name ID claim.

  6. 在 [ 設定規則 ] 頁面上,輸入宣告規則名稱。

  7. 在 [ 傳入宣告類型] 中,選取清單中的 [ 名稱識別碼 ]。

  8. 在 [ 傳入名稱識別碼格式] 中,選取下列其中一個 AD FS 1。清單中的x相容宣告格式:

    • UPN

    • 電子郵件

    • 一般名稱

  9. 根據組織的需求,選取下列其中一個選項:

    • 傳遞所有宣告值

    • 僅傳遞特定宣告值

    • 只傳遞符合特定電子郵件尾碼值的宣告值

    • 只傳遞以特定值開頭的宣告值Screenshot that shows where to select the options on the Configure Claim Rule screen.

  10. 按一下 [完成],然後按一下 [確定] 以儲存規則。

若要建立規則以在 Windows Server 2016 中的信賴憑證者信任上轉換傳入宣告

  1. 在 [伺服器管理員] 中按一下 [工具],然後選取 [AD FS 管理]。

  2. 在主控台樹的 [ AD FS] 下,按一下 [信賴憑證者 信任]。 Screenshot that shows where to select Relying Party Trusts when you create a rule to transform an incoming claim.

  3. 在選取的信任上按一下滑鼠右鍵,然後按一下 [ 編輯宣告發行原則]。 Screenshot that shows where to select the Edit Claim Issuance Policy menu option when you create a rule to transform an incoming claim.

  4. 在 [ 編輯宣告發行原則 ] 對話方塊的 [ 發佈轉換規則 ] 下,按一下 [ 新增規則 ] 以啟動規則嚮導。 Screenshot that shows where to select the Add Rule button.

  5. 在 [ 選取規則範本 ] 頁面的 [宣告 規則範本] 下,從清單中選取 [ 轉換傳入 宣告],然後按 [下一步]Screenshot that shows where to select Transform an Incoming Claim when you create a rule to transform an incoming claim.

  6. 在 [ 設定規則 ] 頁面上,輸入宣告規則名稱。

  7. 在 [ 傳入宣告類型] 中,選取您要在清單中轉換的傳入宣告類型。

  8. 在 [ 輸出宣告類型] 中,選取清單中的 [ 名稱識別碼 ]。

  9. 在 [ 外寄名稱識別碼格式] 中,選取下列其中一個 AD FS 1。清單中的x相容宣告格式:

    • UPN

    • 電子郵件

    • 一般名稱

  10. 根據組織的需求,選取下列其中一個選項:

    • 傳遞所有宣告值

    • 以不同的傳出宣告值取代傳入宣告值

    • 以新的電子郵件尾碼取代傳入的電子郵件尾碼宣告Screenshot that shows the options you can select on the Configure Claim Rule screen when you create a rule to transform an incoming claim.

  11. 按一下 [完成],然後按一下 [確定] 以儲存規則。

若要在 Windows Server 2016 中建立規則以轉換宣告提供者信任上的傳入宣告

  1. 在 [伺服器管理員] 中按一下 [工具],然後選取 [AD FS 管理]。

  2. 在主控台樹的 [ AD FS] 下,按一下 [ 宣告提供者信任]。 Screenshot that shows where to select Claims Provider Trusts in the console tree when you create a rule to transform an incoming claim.

  3. 在選取的信任上按一下滑鼠右鍵,然後按一下 [ 編輯宣告規則]。 Screenshot that shows where to select the Edit Claim Rules menu option when you create a rule to transform an incoming claim.

  4. 在 [ 編輯宣告規則 ] 對話方塊中,按一下 [ 接受轉換規則 ] 下的 [ 新增規則 ],以啟動規則嚮導。 Screenshot that shows where to select the Add Rule button on the Acceptance Transform Rules tab when you create a rule to transform an incoming claim.

  5. 在 [ 選取規則範本 ] 頁面的 [宣告 規則範本] 下,從清單中選取 [ 轉換傳入 宣告],然後按 [下一步]Screenshot that shows where to select Transform an Incoming Claim when you create a rule to transform an incoming claim.

  6. 在 [ 設定規則 ] 頁面上,輸入宣告規則名稱。

  7. 在 [ 傳入宣告類型] 中,選取您要在清單中轉換的傳入宣告類型。

  8. 在 [ 輸出宣告類型] 中,選取清單中的 [ 名稱識別碼 ]。

  9. 在 [ 外寄名稱識別碼格式] 中,選取下列其中一個 AD FS 1。清單中的x相容宣告格式:

    • UPN

    • 電子郵件

    • 一般名稱

  10. 根據組織的需求,選取下列其中一個選項:

    • 傳遞所有宣告值

    • 以不同的傳出宣告值取代傳入宣告值

    • 以新的電子郵件尾碼取代傳入的電子郵件尾碼宣告Screenshot that shows where to select the options on the Configure Claim Rule screen when you create a rule to transform an incoming claim.

  11. 按一下 [完成],然後按一下 [確定] 以儲存規則。

建立用來發出 AD FS 1 的規則。在 Windows Server 2012 R2 上使用通過或篩選傳入宣告規則範本的x名稱識別碼宣告

  1. 在伺服器管理員中,按一下 [ 工具],然後按一下 [ AD FS 管理]。

  2. 在主控台樹的 [ AD Fs\ 信任關係關聯性] 底下,按一下 [ 宣告提供者信任 ] 或 [信賴憑證者 信任],然後在清單中按一下您要在其中建立此規則的特定信任。

  3. 在選取的信任上按一下滑鼠右鍵,然後按一下 [ 編輯宣告規則]。 Screenshot that shows where to select the Edit Claim Rules menu option when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  4. 在 [ 編輯宣告規則 ] 對話方塊中,根據您要編輯的信任和您要在其中建立此規則的規則集,選取下列其中一個索引標籤,然後按一下 [ 新增規則 ],以啟動與該規則集相關聯的規則 wizard:

    • 接受轉換規則

    • 發行轉換規則

    • 發佈授權規則

    • 委派授權規則Screenshot that shows where to select Add Rule when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  5. 在 [ 選取規則範本 ] 頁面的 [宣告 規則範本] 下,從清單中選取 [ 傳遞或篩選傳入 宣告],然後按 [下一步]Screenshot that shows where to select the Pass Through or Filter an Incoming Claim template when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  6. 在 [ 設定規則 ] 頁面上,輸入宣告規則名稱。

  7. 在 [ 傳入宣告類型] 中,選取清單中的 [ 名稱識別碼 ]。

  8. 在 [ 傳入名稱識別碼格式] 中,選取下列其中一個 AD FS 1。清單中的x相容宣告格式:

    • UPN

    • 電子郵件

    • 一般名稱

  9. 根據組織的需求,選取下列其中一個選項:

    • 傳遞所有宣告值

    • 僅傳遞特定宣告值

    • 只傳遞符合特定電子郵件尾碼值的宣告值

    • 只傳遞以特定值開頭的宣告值Screenshot that shows where to select the options on the Configure Claim Rule screen when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  10. 按一下 [完成],然後按一下 [確定] 以儲存規則。

建立用來發出 AD FS 1 的規則。在 Windows Server 2012 R2 中使用 [轉換傳入宣告] 規則範本的x名稱識別碼宣告

  1. 在伺服器管理員中,按一下 [ 工具],然後按一下 [ AD FS 管理]。

  2. 在主控台樹的 [ AD Fs\ 信任關係關聯性] 底下,按一下 [ 宣告提供者信任 ] 或 [信賴憑證者 信任],然後在清單中按一下您要在其中建立此規則的特定信任。

  3. 在選取的信任上按一下滑鼠右鍵,然後按一下 [ 編輯宣告規則]。 Screenshot that shows where to select Edit Claim Rules when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  4. 在 [ 編輯宣告規則 ] 對話方塊中,選取下列其中一個索引標籤,這取決於您正在編輯的信任,以及您想要建立此規則的規則集,然後按一下 [ 新增規則 ] 以啟動與該規則集相關聯的規則 wizard:

    • 接受轉換規則

    • 發行轉換規則

    • 發佈授權規則

    • 委派授權規則Screenshot that shows where to add a rule when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  5. 在 [ 選取規則範本 ] 頁面的 [宣告 規則範本] 下,從清單中選取 [ 轉換傳入 宣告],然後按 [下一步]Screenshot that shows where to select Transform an Incoming Claim when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  6. 在 [ 設定規則 ] 頁面上,輸入宣告規則名稱。

  7. 在 [ 傳入宣告類型] 中,選取您要在清單中轉換的傳入宣告類型。

  8. 在 [ 輸出宣告類型] 中,選取清單中的 [ 名稱識別碼 ]。

  9. 在 [ 外寄名稱識別碼格式] 中,選取下列其中一個 AD FS 1。清單中的x相容宣告格式:

    • UPN

    • 電子郵件

    • 一般名稱

  10. 根據組織的需求,選取下列其中一個選項:

    • 傳遞所有宣告值

    • 以不同的傳出宣告值取代傳入宣告值

    • 以新的電子郵件尾碼取代傳入的電子郵件尾碼宣告create rule

  11. 按一下 [完成],然後按一下 [確定] 以儲存規則。

其他參考資料

設定宣告規則

檢查清單:為信賴憑證者信任建立宣告規則

檢查清單:為宣告提供者信任建立宣告規則

使用授權宣告規則的時機

宣告的角色

宣告規則的角色