Freigeben über


Erstellen einer Regel zum Transformieren eines eingehenden Anspruchs

Mithilfe der Regelvorlage Transformieren eines eingehenden Anspruchs in Active Directory-Verbunddienste (AD FS) können Sie einen eingehenden Anspruch auswählen und seinen Anspruchstyp und Anspruchswert ändern. Mit dieser Regelvorlage können Sie beispielsweise eine Regel erstellen, die einen Rollenanspruch mit dem Anspruchswert eines eingehenden Gruppenanspruchs sendet. Sie können diese Regel auch verwenden, um einen Gruppenanspruch mit dem Anspruchswert „Käufer“ zu senden, wenn ein eingehender Gruppenanspruch mit dem Wert „Admins“ vorhanden ist, oder Sie können nur Benutzerprinzipalnamens-(UPN-)Ansprüche senden, die auf @fabrikam enden.

Mit dem folgenden Verfahren können Sie eine Anspruchsregel mit dem AD FS Management-Snap-In erstellen.

Sie müssen mindestens Mitglied in der Gruppe der Administratoren oder einer entsprechenden Gruppe auf dem lokalen Computer sein, um dieses Verfahren ausführen zu können. Informationen zu den entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen.

Erstellen einer Regel zum Transformieren eines eingehenden Anspruchs für eine Vertrauensstellung der vertrauenden Seite in Windows Server 2016

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie in der Konsolenstruktur unter AD FS auf Vertrauensstellungen der vertrauenden Seite. Screenshot that shows where to select Relying Party Trusts when you create a rule to transform an incoming claim on a Relying Party Trust in Windows Server 2016.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie anschließend auf Anspruchsausstellungsrichtlinie bearbeiten. Screenshot that shows where to select Edit Claim Issuance Policy when you create a rule to transform an incoming claim on a Relying Party Trust in Windows Server 2016.

  4. Klicken Sie im Dialogfeld Anspruchsausstellungsrichtlinie bearbeiten unter Ausstellungstransformationsregeln auf Regel hinzufügen, um den Regel-Assistenten zu starten. Screenshot that shows where to select Add Rule when you create a rule to transform an incoming claim on a Relying Party Trust in Windows Server 2016.

  5. Wählen Sie auf der Seite Regelvorlage auswählen unter Anspruchsregelvorlage aus der Liste Eingehenden Anspruch transformieren aus, und klicken Sie anschließend auf Weiter. Screenshot that shows where to select the Transform an Incoming Claim when you create a rule to transform an incoming claim on a Relying Party Trust in Windows Server 2016.

  6. Geben Sie auf der Seite Regel konfigurieren unter Anspruchsregelname den Anzeigenamen für diese Regel ein. Wählen Sie unter Eingehender Anspruchstyp einen Anspruchstyp aus der Liste aus. Wählen Sie unter Ausgehender Anspruchstyp einen Anspruchstyp aus der Liste aus, und wählen Sie dann eine der folgenden Optionen aus, die von den Anforderungen Ihrer Organisation abhängt:

    • Alle Anspruchswerte weiterleiten

    • Ersetzen Sie einen eingehenden Anspruchswert durch einen anderen ausgehenden Anspruchswert

    • Suffixansprüche eingehender E-Mails durch neues E-Mail-Suffix ersetzenScreenshot that shows where to type the claim rule name when you create a rule to transform an incoming claim on a Relying Party Trust in Windows Server 2016.

  7. Klicken Sie auf die Schaltfläche Fertig stellen.

  8. Klicken Sie im Dialogfeld Anspruchsregeln bearbeiten auf OK, um die Regel zu speichern.

Hinweis

Wenn Sie das Szenario für die Dynamische Zugriffssteuerung einrichten, das von AD FS ausgestellte Ansprüche verwendet, erstellen Sie zuerst eine Transformationsregel für die Vertrauensstellung des Anspruchsanbieters, und geben Sie unter Eingehender Anspruchstyp den Namen für den eingehenden Anspruch ein, oder wählen Sie ihn aus der Liste aus, wenn zuvor eine Anspruchsbeschreibung erstellt wurde. Wählen Sie zweitens unter Ausgehender Anspruchstyp die gewünschte Anspruchs-URL aus, und erstellen Sie dann eine Transformationsregel für die Vertrauensstellung der vertrauenden Seite, um den Geräteanspruch auszugeben.

Weitere Informationen zu Szenarien für die dynamische Zugriffssteuerung finden Sie unter Inhaltsroadmap für dynamische Zugriffssteuerung oder Verwenden von AD DS-Ansprüchen mit AD FS.

Erstellen einer Regel zum Transformieren eines eingehenden Anspruchs für eine Vertrauensstellung eines Anspruchsanbieters in Windows Server 2016

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie in der Konsolenstruktur unter AD FS auf Anspruchsanbieter-Vertrauensstellungen. Screenshot that shows where to select Claims Provider Trusts when you create a rule to transform an incoming claim on a Claims Provider Trust in Windows Server 2016.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie anschließend auf Anspruchsregeln bearbeiten. Screenshot that shows where to select Edit Claim Rules when you create a rule to transform an incoming claim on a Claims Provider Trust in Windows Server 2016.

  4. Klicken Sie im Dialogfeld Anspruchsregeln bearbeiten unter Akzeptanztransformationsregeln auf Regel hinzufügen, um den Regel-Assistenten zu starten. Screenshot that shows where to select Add Rule when you create a rule to transform an incoming claim on a Claims Provider Trust in Windows Server 2016.

  5. Wählen Sie auf der Seite Regelvorlage auswählen unter Anspruchsregelvorlage aus der Liste Eingehenden Anspruch transformieren aus, und klicken Sie anschließend auf Weiter. Screenshot that shows where to select the Transform an Incoming Claim template when you create a rule to transform an incoming claim on a Claims Provider Trust in Windows Server 2016.

  6. Geben Sie auf der Seite Regel konfigurieren unter Anspruchsregelname den Anzeigenamen für diese Regel ein. Wählen Sie unter Eingehender Anspruchstyp einen Anspruchstyp aus der Liste aus. Wählen Sie unter Ausgehender Anspruchstyp einen Anspruchstyp aus der Liste aus, und wählen Sie dann eine der folgenden Optionen aus, die von den Anforderungen Ihrer Organisation abhängt:

    • Alle Anspruchswerte weiterleiten

    • Ersetzen Sie einen eingehenden Anspruchswert durch einen anderen ausgehenden Anspruchswert

    • Suffixansprüche eingehender E-Mails durch neues E-Mail-Suffix ersetzenScreenshot that shows where to type the claim rule name when you create a rule to transform an incoming claim on a Claims Provider Trust in Windows Server 2016.

  7. Klicken Sie auf die Schaltfläche Fertig stellen.

  8. Klicken Sie im Dialogfeld Anspruchsregeln bearbeiten auf OK, um die Regel zu speichern.

Hinweis

Wenn Sie das Szenario für die Dynamische Zugriffssteuerung einrichten, das von AD FS ausgestellte Ansprüche verwendet, erstellen Sie zuerst eine Transformationsregel für die Vertrauensstellung des Anspruchsanbieters, und geben Sie unter Eingehender Anspruchstyp den Namen für den eingehenden Anspruch ein, oder wählen Sie ihn aus der Liste aus, wenn zuvor eine Anspruchsbeschreibung erstellt wurde. Wählen Sie zweitens unter Ausgehender Anspruchstyp die gewünschte Anspruchs-URL aus, und erstellen Sie dann eine Transformationsregel für die Vertrauensstellung der vertrauenden Seite, um den Geräteanspruch auszugeben.

Weitere Informationen zu Szenarien für die dynamische Zugriffssteuerung finden Sie unter Inhaltsroadmap für dynamische Zugriffssteuerung oder Verwenden von AD DS-Ansprüchen mit AD FS.

So erstellen Sie eine Regel zum Transformieren eines eingehenden Anspruchs in Windows Server 2012 R2

  1. Klicken Sie im Server-Manager auf Tools und anschließend auf AD FS-Verwaltung.

  2. Klicken Sie in der Konsolenstruktur unter AD FS\Vertrauensstellungen entweder auf Anspruchsanbieter-Vertrauensstellungen oder Vertrauensstellungen der vertrauenden Seite, und klicken Sie dann auf eine bestimmte Vertrauensstellung in der Liste, in der Sie diese Regel erstellen möchten.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie anschließend auf Anspruchsregeln bearbeiten. Screenshot that shows where to select Edit Claim Rules when you create a rule in Windows Server 2012 R2.

  4. Wählen Sie im Dialogfeld Anspruchsregeln bearbeiten eine der folgenden Registerkarten aus, je nachdem, welche Vertrauensstellung Sie bearbeiten und in welchem Regelsatz Sie diese Regel erstellen möchten, und klicken Sie dann auf Regel hinzufügen, um den Regel-Assistenten zu starten, der diesem Regelsatz zugeordnet ist:

    • Akzeptanztransformationsregeln

    • Ausstellungstransformationsregeln

    • Ausstellungsautorisierungsregeln

    • DelegierungsautorisierungsregelnScreenshot that shows where to select Edit Claim Rules when you create a rule to transform an incoming claim in Windows Server 2012 R2.

  5. Wählen Sie auf der Seite Regelvorlage auswählen unter Anspruchsregelvorlage aus der Liste Eingehenden Anspruch transformieren aus, und klicken Sie anschließend auf Weiter. Screenshot that shows where to select the Transform an Incoming Claim template when you create a rule to transform an incoming claim in Windows Server 2012 R2.

  6. Geben Sie auf der Seite Regel konfigurieren unter Anspruchsregelname den Anzeigenamen für diese Regel ein. Wählen Sie unter Eingehender Anspruchstyp einen Anspruchstyp aus der Liste aus. Wählen Sie unter Ausgehender Anspruchstyp einen Anspruchstyp aus der Liste aus, und wählen Sie dann eine der folgenden Optionen aus, die von den Anforderungen Ihrer Organisation abhängt:

    • Alle Anspruchswerte weiterleiten

    • Ersetzen Sie einen eingehenden Anspruchswert durch einen anderen ausgehenden Anspruchswert

    • Suffixansprüche eingehender E-Mails durch neues E-Mail-Suffix ersetzencreate rule

Hinweis

Wenn Sie das Szenario für die Dynamische Zugriffssteuerung einrichten, das von AD FS ausgestellte Ansprüche verwendet, erstellen Sie zuerst eine Transformationsregel für die Vertrauensstellung des Anspruchsanbieters, und geben Sie unter Eingehender Anspruchstyp den Namen für den eingehenden Anspruch ein, oder wählen Sie ihn aus der Liste aus, wenn zuvor eine Anspruchsbeschreibung erstellt wurde. Wählen Sie zweitens unter Ausgehender Anspruchstyp die gewünschte Anspruchs-URL aus, und erstellen Sie dann eine Transformationsregel für die Vertrauensstellung der vertrauenden Seite, um den Geräteanspruch auszugeben.

Weitere Informationen zu Szenarien für die dynamische Zugriffssteuerung finden Sie unter Inhaltsroadmap für dynamische Zugriffssteuerung oder Verwenden von AD DS-Ansprüchen mit AD FS.

  1. Klicken Sie auf Fertig stellen.

  2. Klicken Sie im Dialogfeld Anspruchsregeln bearbeiten auf OK, um die Regel zu speichern.

Weitere Verweise

Konfigurieren von Anspruchsregeln

Prüfliste: Erstellen von Anspruchsregeln für eine Vertrauensstellung der vertrauenden Seite

Prüfliste: Erstellen von Anspruchsregeln für eine Anspruchsanbieter-Vertrauensstellung

Wann sollte eine Autorisierungsanspruchsregel verwendet werden

Rolle von Ansprüchen

Rolle von Anspruchsregeln