Freigeben über

Erstellen einer Regel zum Senden der Gruppenmitgliedschaft als Anspruch

Mithilfe der Regelvorlage „Gruppenmitgliedschaft als Anspruch senden“ in Active Directory-Verbunddienste (AD FS) können Sie eine Regel erstellen, die es Ihnen ermöglicht, eine Active Directory-Sicherheitsgruppe auszuwählen, die als Anspruch gesendet werden soll. Diese Regel gibt nur einen einzelnen Anspruch auf Grundlage der ausgewählten Gruppe aus. Beispielsweise können Sie diese Regelvorlage zum Erstellen einer Regel nutzen, die einen Gruppenanspruch mit dem Wert „Admin“ sendet, wenn der Benutzer ein Mitglied der Sicherheitsgruppe „Domänenadministratoren“ ist. Diese Regel sollte nur für Benutzer in der lokalen Active Directory-Domäne verwendet werden.

Mit dem folgenden Verfahren können Sie eine Anspruchsregel mit dem AD FS Management-Snap-In erstellen.

Zum Ausführen dieses Verfahrens ist mindestens die Mitgliedschaft in der Gruppe Administratoren oder eine gleichwertige Berechtigung auf dem lokalen Computer erforderlich. Informationen zu den entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter Local and Domain Default Groups (Lokale und Domänenstandardgruppen).

So erstellen Sie eine Regel zum Senden der Gruppenmitgliedschaft als Anspruch an eine Vertrauensstellung der vertrauenden Seite in Windows Server 2016

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie in der Konsolenstruktur unter AD FS auf Vertrauensstellungen der vertrauenden Seite. Screenshot that shows where to select Relying Party Trusts when you create a rule to send group membership as a claim on a Relying Party Trust in Windows Server 2016.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie anschließend auf Anspruchsausstellungsrichtlinie bearbeiten. Screenshot that shows where to select Edit Claim Issuance Policy when you create a rule to send group membership as a claim on a Relying Party Trust in Windows Server 2016.

  4. Klicken Sie im Dialogfeld Anspruchsausstellungsrichtlinie bearbeiten unter Ausstellungstransformationsregeln auf Regel hinzufügen, um den Regel-Assistenten zu starten. Screenshot that shows where to select Add Rule when you create a rule to send group membership as a claim on a Relying Party Trust in Windows Server 2016.

  5. Wählen Sie auf der Seite Regelvorlage auswählen unter Anspruchsregelvorlage aus der Liste die Option Gruppenmitgliedschaft als Anspruch senden aus, und klicken Sie anschließend auf Weiter. Screenshot that shows where to select the Send Group Membership as Claim template when you create a rule to send group membership as a claim on a Relying Party Trust in Windows Server 2016.

  6. Geben Sie auf der Seite Regel konfigurieren unter Anspruchsregelname den Anzeigenamen für diese Regel ein, klicken Sie in der Gruppe des Benutzers auf Durchsuchen, wählen Sie eine Gruppe aus, und wählen Sie unter Ausgehender Anspruchstyp den gewünschten Anspruchstyp aus, und geben Sie dann unter Ausgehender Anspruchstyp einen Wert ein. Screenshot that shows where to type the claim rule name when you create a rule to send group membership as a claim on a Relying Party Trust in Windows Server 2016.

  7. Klicken Sie auf die Schaltfläche Fertig stellen.

  8. Klicken Sie im Dialogfeld Anspruchsregeln bearbeiten auf OK, um die Regel zu speichern.

So erstellen Sie eine Regel zum Senden der Gruppenmitgliedschaft als Anspruch an eine Anspruchsanbieter-Vertrauensstellung in Windows Server 2016

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie in der Konsolenstruktur unter AD FS auf Anspruchsanbieter-Vertrauensstellungen. Screenshot that shows where to select Claims Provider Trusts when you create a rule to send group membership as a claim on a Claims Provider Trust in Windows Server 2016.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie anschließend auf Anspruchsregeln bearbeiten. Screenshot that shows where to select Edit Claim Rules when you create a rule to send group membership as a claim on a Claims Provider Trust in Windows Server 2016.

  4. Klicken Sie im Dialogfeld Anspruchsregeln bearbeiten unter Akzeptanztransformationsregeln auf Regel hinzufügen, um den Regel-Assistenten zu starten. Screenshot that shows where to select Add Rule when you create a rule to send group membership as a claim on a Claims Provider Trust in Windows Server 2016.

  5. Wählen Sie auf der Seite Regelvorlage auswählen unter Anspruchsregelvorlage aus der Liste die Option Gruppenmitgliedschaft als Anspruch senden aus, und klicken Sie anschließend auf Weiter. Screenshot that shows where to select the Send Group Membership as Claim template when you create a rule to send group membership as a claim on a Claims Provider Trust in Windows Server 2016.

  6. Geben Sie auf der Seite Regel konfigurieren unter Anspruchsregelname den Anzeigenamen für diese Regel ein, klicken Sie in der Gruppe des Benutzers auf Durchsuchen, wählen Sie eine Gruppe aus, und wählen Sie unter Ausgehender Anspruchstyp den gewünschten Anspruchstyp aus, und geben Sie dann unter Ausgehender Anspruchstyp einen Wert ein. Screenshot that shows where to type the claim rule name when you create a rule to send group membership as a claim on a Claims Provider Trust in Windows Server 2016.

  7. Klicken Sie auf die Schaltfläche Fertig stellen.

  8. Klicken Sie im Dialogfeld Anspruchsregeln bearbeiten auf OK, um die Regel zu speichern.

So erstellen Sie eine Regel zum Senden der Gruppenmitgliedschaft als Anspruch in Windows Server 2012 R2

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie in der Konsolenstruktur unter AD FS\Vertrauensstellungen entweder auf Anspruchsanbieter-Vertrauensstellungen oder Vertrauensstellungen der vertrauenden Seite, und klicken Sie dann auf eine bestimmte Vertrauensstellung in der Liste, in der Sie diese Regel erstellen möchten.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie anschließend auf Anspruchsregeln bearbeiten. Screenshot that shows where to select Edit Claim Rules when you create a rule to send group membership as a claim in Windows Server 2012 R2.

  4. Wählen Sie im Dialogfeld Anspruchsregeln bearbeiten eine der folgenden Registerkarten aus, je nachdem, welche Vertrauensstellung Sie bearbeiten und in welchem Regelsatz Sie diese Regel erstellen möchten, und klicken Sie dann auf Regel hinzufügen, um den Regel-Assistenten zu starten, der diesem Regelsatz zugeordnet ist:

    • Akzeptanztransformationsregeln

    • Ausstellungstransformationsregeln

    • Ausstellungsautorisierungsregeln

    • Delegierungsautorisierungsregelncreate rule

  5. Wählen Sie auf der Seite Regelvorlage auswählen unter Anspruchsregelvorlage aus der Liste die Option Gruppenmitgliedschaft als Anspruch senden aus, und klicken Sie anschließend auf Weiter. Screenshot that shows where to select the Send Group Membership as a Claim template when you create a rule to send group membership as a claim in Windows Server 2012 R2.

  6. Geben Sie auf der Seite Regel konfigurieren unter Anspruchsregelname den Anzeigenamen für diese Regel ein, klicken Sie in der Gruppe des Benutzers auf Durchsuchen, wählen Sie eine Gruppe aus, und wählen Sie unter Ausgehender Anspruchstyp den gewünschten Anspruchstyp aus, und geben Sie dann unter Ausgehender Anspruchstyp einen Wert ein. Screenshot that shows where to type the claim rule name when you create a rule to send group membership as a claim in Windows Server 2012 R2.

  7. Klicken Sie auf Fertig stellen.

  8. Klicken Sie im Dialogfeld Anspruchsregeln bearbeiten auf OK, um die Regel zu speichern.

Weitere Verweise

Konfigurieren von Anspruchsregeln

Prüfliste: Erstellen von Anspruchsregeln für eine Vertrauensstellung der vertrauenden Seite

Prüfliste: Erstellen von Anspruchsregeln für eine Anspruchsanbieter-Vertrauensstellung

Wann sollte eine Autorisierungsanspruchsregel verwendet werden

Rolle von Ansprüchen

Rolle von Anspruchsregeln