Créer une règle pour envoyer des attributs LDAP en tant que revendications
À l’aide du modèle de règle Envoyer des attributs LDAP en tant que revendications dans Active Directory Federation Services (AD FS), vous pouvez créer une règle qui sélectionne les attributs d’un magasin d’attributs LDAP (Lightweight Directory Access Protocol), tel qu’Active Directory, à envoyer en tant que revendications à la partie de confiance. Par exemple, vous pouvez utiliser ce modèle pour créer une règle Envoyer des attributs LDAP en tant que revendications qui va extraire des valeurs d’attribut pour des utilisateurs authentifiés à partir des attributs Active Directory displayName et telephoneNumber, puis envoyer ces valeurs sous la forme de deux revendications sortantes.
Vous pouvez également utiliser cette règle pour envoyer les appartenances de l’utilisateur à des groupes. Si vous souhaitez n’envoyer qu’une appartenance à un groupe, utilisez le modèle de règle Envoyer l’appartenance au groupe en tant que revendication. Vous pouvez utiliser la procédure suivante pour créer une règle de revendication avec le composant logiciel enfichable Gestion AD FS.
Pour effectuer cette procédure, vous devez au minimum être membre du groupe Administrateurs ou d'un groupe équivalent sur l'ordinateur local. Examinez les informations relatives à l’utilisation des comptes et des appartenances de groupe appropriés dans la page consacrée aux Groupes de domaine et locaux par défaut.
Pour créer une règle afin d’envoyer des attributs LDAP en tant que revendications pour une approbation de partie de confiance dans Windows Server 2016
Dans Gestionnaire de serveur, cliquez sur Outils, puis sélectionnez Gestion AD FS.
Dans l’arborescence de la console, sous AD FS, cliquez sur Approbations de partie de confiance.
Cliquez avec le bouton droit sur l’approbation sélectionnée, puis sélectionnez Modifier la stratégie d’émission de revendications.
Dans la boîte de dialogue Modifier la stratégie d’émission de revendications, sous Règles de transformation d’émission, cliquez sur Ajouter une règle pour démarrer l’Assistant Règle.
Dans la page Sélectionner un modèle de règle, sous Modèle de règle de revendication, sélectionnez Envoyer des attributs LDAP en tant que revendications dans la liste, puis Suivant.
Dans la page Configurer la règle, sous Nom de la règle de revendication, tapez le nom d’affichage de cette règle, sélectionnez Magasin d’attributs, puis sélectionnez l’attribut LDAP et mappez-le au type de revendication sortant.
Cliquez le bouton Terminer.
Dans la boîte de dialogue Modifier les règles de revendication, cliquez sur OK pour enregistrer la règle.
Pour créer une règle afin d’envoyer des attributs LDAP en tant que revendications pour une approbation de fournisseur de revendications dans Windows Server 2016
Dans Gestionnaire de serveur, cliquez sur Outils, puis sélectionnez Gestion AD FS.
Dans l’arborescence de la console, sous AD FS, cliquez sur Approbations de fournisseur de revendications.
Cliquez avec le bouton droit sur l’approbation sélectionnée, puis sélectionnez Modifier les règles de revendication.
Dans la boîte de dialogue Modifier les règles de revendication, sous Règles de transformation d’acceptation, cliquez sur Ajouter une règle pour démarrer l’Assistant Règle.
Dans la page Sélectionner un modèle de règle, sous Modèle de règle de revendication, sélectionnez Envoyer des attributs LDAP en tant que revendications dans la liste, puis Suivant.
Dans la page Configurer la règle, sous Nom de la règle de revendication, tapez le nom d’affichage de cette règle, sélectionnez Magasin d’attributs, puis sélectionnez l’attribut LDAP et mappez-le au type de revendication sortant.
Cliquez le bouton Terminer.
Dans la boîte de dialogue Modifier les règles de revendication, cliquez sur OK pour enregistrer la règle.
Pour créer une règle afin d’envoyer des attributs LDAP en tant que revendications pour Windows Server 2012 R2
Dans Gestionnaire de serveur, cliquez sur Outils, puis sélectionnez Gestion AD FS.
Dans l’arborescence de la console, sous AD FSAD FS\Relations d’approbation, cliquez sur Approbations de fournisseur de revendications ou Approbations de parties de confiance, puis cliquez sur une approbation spécifique dans la liste dans laquelle vous souhaitez créer cette règle.
Cliquez avec le bouton droit sur l’approbation sélectionnée, puis sélectionnez Modifier les règles de revendication.
Dans la boîte de dialogue Modifier les règles de revendication, sélectionnez l’un des onglets suivants, en fonction de l’approbation que vous modifiez et de l’ensemble de règles dans lequel vous souhaitez créer cette règle, puis Ajouter une règle pour démarrer l’Assistant Règle associé à cet ensemble de règles :
Règles de transformation d’acceptation
Règles de transformation de l’émission
Règles d’autorisation de l’émission
Règles d’autorisation de la délégation
Dans la page Sélectionner un modèle de règle, sous Modèle de règle de revendication, sélectionnez Envoyer des attributs LDAP en tant que revendications dans la liste, puis Suivant.
Dans la page Configurer la règle, sous Nom de la règle de revendication, tapez le nom d’affichage de cette règle, sous Magasin d’attributs, sélectionnez Active Directory et, sous Mappage d’attributs LDAP à des types de revendications sortantes, sélectionnez l’attribut LDAP souhaité et le Type de revendication sortant correspondant dans les listes déroulantes.
Vous devez sélectionner une nouvelle paire d’attribut LDAP et de type de revendication sortante sur une ligne différente pour chaque attribut Active Directory pour lequel vous souhaitez émettre une revendication dans le cadre de cette règle.
Cliquez le bouton Terminer.
Dans la boîte de dialogue Modifier les règles de revendication, cliquez sur OK pour enregistrer la règle.
Références supplémentaires
Configurer les règles de revendication
Check-list : création de règles de revendication pour une approbation de partie de confiance