Freigeben über

Erstellen einer Regel zum Senden von LDAP-Attributen als Ansprüche

Mithilfe der Regelvorlage „LDAP-Attribute als Ansprüche senden“ in Active Directory-Verbunddienste (AD FS) können Sie eine Regel erstellen, die Attribute aus einem LDAP-Attributspeicher (Lightweight Directory Access Protocol), z. B. Active Directory, auswählt, um sie als Ansprüche an die vertrauende Seite zu senden. Sie können diese Regelvorlage z. B. verwenden, um eine „LDAP-Attribute als Ansprüche senden“-Regel zu erstellen, die Attributwerte für authentifizierte Benutzer aus den Active Directory-Attributen displayName (Anzeigename) und telephoneNumber (Telefonnummer) extrahiert und dann diese Werte als zwei verschiedene ausgehende Ansprüche sendet.

Mit dieser Regel können Sie auch alle Gruppenmitgliedschaften der Benutzer*innen senden. Wenn Sie nur einzelne Gruppenmitgliedschaften senden möchten, verwenden Sie die Regelvorlage „Gruppenmitgliedschaft als Anspruch senden“. Mit dem folgenden Verfahren können Sie eine Anspruchsregel mit dem AD FS Management-Snap-In erstellen.

Zum Ausführen dieses Verfahrens ist mindestens die Mitgliedschaft in der Gruppe Administratoren oder eine gleichwertige Berechtigung auf dem lokalen Computer erforderlich. Informationen zu den entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter Local and Domain Default Groups (Lokale und Domänenstandardgruppen).

So erstellen Sie eine Regel zum Senden von LDAP-Attributen als Ansprüche für eine Vertrauensstellung einer vertrauenden Seite in Windows Server 2016

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie in der Konsolenstruktur unter AD FS auf Vertrauensstellungen der vertrauenden Seite. Screenshot that shows where to select Relying Party Trusts when you create a rule to send LDAP attributes as claims for a Relying Party Trust in Windows Server 2016.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie anschließend auf Anspruchsausstellungsrichtlinie bearbeiten. Screenshot that shows where to select Edit Claim Issuance Policy when you create a rule to send LDAP attributes as claims for a Relying Party Trust in Windows Server 2016.

  4. Klicken Sie im Dialogfeld Anspruchsausstellungsrichtlinie bearbeiten unter Ausstellungstransformationsregeln auf Regel hinzufügen, um den Regel-Assistenten zu starten. Screenshot that shows where to select Add Rule when you create a rule to send LDAP attributes as claims for a Relying Party Trust in Windows Server 2016.

  5. Wählen Sie auf der Seite Regelvorlage auswählen unter Anspruchsregelvorlage aus der Liste LDAP-Attribute als Ansprüche senden aus, und klicken Sie anschließend auf Weiter. Screenshot that shows where to select the Send LDAP Attributes as Claims template when you create a rule to send LDAP attributes as claims for a Relying Party Trust in Windows Server 2016.

  6. Geben Sie auf der Seite Regel konfigurieren unter Anspruchsregelname den Anzeigenamen für diese Regel ein, wählen Sie den Attributspeicher aus, wählen Sie dann das LDAP-Attribut aus, und ordnen Sie es dem ausgehenden Anspruchstyp zu. Screenshot that shows where to type the claim rule name when you create a rule to send LDAP attributes as claims for a Relying Party Trust in Windows Server 2016.

  7. Klicken Sie auf die Schaltfläche Fertig stellen.

  8. Klicken Sie im Dialogfeld Anspruchsregeln bearbeiten auf OK, um die Regel zu speichern.

So erstellen Sie eine Regel zum Senden von LDAP-Attributen als Ansprüche für eine Anspruchsanbieter-Vertrauensstellung in Windows Server 2016

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie in der Konsolenstruktur unter AD FS auf Anspruchsanbieter-Vertrauensstellungen. Screenshot that shows where to select Claims Provider Trusts when you create a rule to send LDAP attributes as claims for a Claims Provider Trust in Windows Server 2016.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie anschließend auf Anspruchsregeln bearbeiten. Screenshot that shows where to select Edit Claim Rules when you create a rule to send LDAP attributes as claims for a Claims Provider Trust in Windows Server 2016.

  4. Klicken Sie im Dialogfeld Anspruchsregeln bearbeiten unter Akzeptanztransformationsregeln auf Regel hinzufügen, um den Regel-Assistenten zu starten. Screenshot that shows where to select Add Rule when you create a rule to send LDAP attributes as claims for a Claims Provider Trust in Windows Server 2016.

  5. Wählen Sie auf der Seite Regelvorlage auswählen unter Anspruchsregelvorlage aus der Liste LDAP-Attribute als Ansprüche senden aus, und klicken Sie anschließend auf Weiter. Screenshot that shows where to select Send LDAP Attributes as Claims when you create a rule in Windows Server 2016.

  6. Geben Sie auf der Seite Regel konfigurieren unter Anspruchsregelname den Anzeigenamen für diese Regel ein, wählen Sie den Attributspeicher aus, wählen Sie dann das LDAP-Attribut aus, und ordnen Sie es dem ausgehenden Anspruchstyp zu. Screenshot that shows where to type the claim rule name when you create a rule to send LDAP attributes as claims for a Claims Provider Trust in Windows Server 2016.

  7. Klicken Sie auf die Schaltfläche Fertig stellen.

  8. Klicken Sie im Dialogfeld Anspruchsregeln bearbeiten auf OK, um die Regel zu speichern.

So erstellen Sie eine Regel zum Senden von LDAP-Attributen als Ansprüche für Windows Server 2012 R2

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie in der Konsolenstruktur unter AD FSAD FS\Vertrauensstellungen entweder auf Anspruchsanbieter-Vertrauensstellungen oder Vertrauensstellungen der vertrauenden Seite, und klicken Sie dann auf eine bestimmte Vertrauensstellung in der Liste, in der Sie diese Regel erstellen möchten.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie anschließend auf Anspruchsregeln bearbeiten. Screenshot that shows where to select Edit Claim Rules when you create a rule to send LDAP attributes as claims for Windows Server 2012 R2.

  4. Wählen Sie im Dialogfeld Anspruchsregeln bearbeiten eine der folgenden Registerkarten aus, je nachdem, welche Vertrauensstellung Sie bearbeiten und in welchem Regelsatz Sie diese Regel erstellen möchten, und klicken Sie dann auf Regel hinzufügen, um den Regel-Assistenten zu starten, der diesem Regelsatz zugeordnet ist:

    • Akzeptanztransformationsregeln

    • Ausstellungstransformationsregeln

    • Ausstellungsautorisierungsregeln

    • DelegierungsautorisierungsregelnScreenshot that shows where to select Add Rule create a rule to send LDAP attributes as claims for Windows Server 2012 R2.

  5. Wählen Sie auf der Seite Regelvorlage auswählen unter Anspruchsregelvorlage aus der Liste LDAP-Attribute als Ansprüche senden aus, und klicken Sie anschließend auf Weiter. Screenshot that shows where to select Send LDAP Attributes as Claims create a rule for Windows Server 2012 R2.

  6. Geben Sie auf der Seite Regel konfigurieren unter Anspruchsregelname den Anzeigenamen für diese Regel ein, wählen Sie unter Attributspeicher die Option Active Directory aus, und wählen Sie unter Zuordnung von LDAP-Attributen zu ausgehenden Anspruchstypen das gewünschte LDAP-Attribut und die entsprechenden Ausgehender Anspruchstyp-Typen aus den Dropdownlisten aus.

    Sie müssen ein neues Paar aus LDAP-Attribut und ausgehendem Anspruchstyp in einer anderen Zeile für jedes Active Directory-Attribut auswählen, für das Sie als Teil dieser Regel einen Anspruch ausstellen möchten. create rule

  7. Klicken Sie auf die Schaltfläche Fertig stellen.

  8. Klicken Sie im Dialogfeld Anspruchsregeln bearbeiten auf OK, um die Regel zu speichern.

Weitere Verweise

Konfigurieren von Anspruchsregeln

Prüfliste: Erstellen von Anspruchsregeln für eine Vertrauensstellung der vertrauenden Seite

Prüfliste: Erstellen von Anspruchsregeln für eine Anspruchsanbieter-Vertrauensstellung

Wann sollte eine Autorisierungsanspruchsregel verwendet werden

Rolle von Ansprüchen

Rolle von Anspruchsregeln