Partager via

Créer une règle pour transformer une revendication entrante

À l’aide du modèle de règle Transformer une revendication entrante dans les services de fédération Active Directory (AD FS), vous pouvez sélectionner une revendication entrante, modifier son type de revendication et modifier sa valeur de revendication. Par exemple, vous pouvez utiliser ce modèle de règle pour créer une règle qui envoie une revendication de rôle avec la même valeur de revendication qu’une revendication de groupe entrante. Vous pouvez également utiliser cette règle pour envoyer une revendication de groupe avec une valeur de revendication Acheteurs lorsqu’il existe une revendication de groupe entrante avec la valeur Admins, ou vous pouvez envoyer uniquement des revendications de nom d’utilisateur principal (UPN) qui se terminent par @fabrikam.

Vous pouvez utiliser la procédure suivante pour créer une règle de revendication avec le composant logiciel enfichable Gestion AD FS.

L’appartenance au groupe Administrateursou à un groupe équivalent sur l'ordinateur local est la condition requise minimale pour effectuer cette procédure. Examinez les informations relatives à l’utilisation des comptes et des appartenances de groupe appropriés dans la page consacrée aux Groupes de domaine et locaux par défaut.

Pour créer une règle pour transformer une revendication entrante sur une approbation de partie de confiance dans Windows Server 2016

  1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sélectionnez Gestion AD FS.

  2. Dans l’arborescence de la console, sous AD FS, cliquez sur Approbations de partie de confiance. Screenshot that shows where to select Relying Party Trusts when you create a rule to transform an incoming claim on a Relying Party Trust in Windows Server 2016.

  3. Cliquez avec le bouton droit sur l’approbation sélectionnée, puis sélectionnez Modifier la stratégie d’émission de revendications. Screenshot that shows where to select Edit Claim Issuance Policy when you create a rule to transform an incoming claim on a Relying Party Trust in Windows Server 2016.

  4. Dans la boîte de dialogue Modifier la stratégie d’émission de revendications, sous Règles de transformation d’émission, cliquez sur Ajouter une règle pour démarrer l’Assistant Règle. Screenshot that shows where to select Add Rule when you create a rule to transform an incoming claim on a Relying Party Trust in Windows Server 2016.

  5. Dans la page Sélectionner un modèle de règle, sous Modèle de règle de revendication, sélectionnez Transformer une revendication entrante dans la liste, puis Suivant. Screenshot that shows where to select the Transform an Incoming Claim when you create a rule to transform an incoming claim on a Relying Party Trust in Windows Server 2016.

  6. Dans la page Configurer une règle, sous Nom de la règle de revendication, tapez un nom d'affichage pour cette règle. Dans Type de revendication entrante, sélectionnez un type de revendication dans la liste. Dans Type de revendication sortante, sélectionnez un type de revendication dans la liste, puis l’une des options suivantes, en fonction des exigences de votre organisation :

    • Passer toutes les valeurs de revendication

    • Remplacer une valeur de revendication entrante avec une valeur de revendication sortante

    • Remplacement des revendications de suffixe d’adresse de messagerie entrantes par un nouveau suffixe d’adresse de messagerieScreenshot that shows where to type the claim rule name when you create a rule to transform an incoming claim on a Relying Party Trust in Windows Server 2016.

  7. Cliquez le bouton Terminer.

  8. Dans la boîte de dialogue Modifier les règles de revendication, cliquez sur OK pour enregistrer la règle.

Notes

Si vous configurez le scénario de contrôle d’accès dynamique qui utilise des revendications émises par AD FS, commencez par créer une règle de transformation sur l’approbation du fournisseur de revendications, puis, dans Type de revendication entrante, tapez le nom de la revendication entrante ou, si une description de revendication a été créée précédemment, sélectionnez-la dans la liste. Ensuite, dans Type de revendication sortante, sélectionnez l’URL de revendication souhaitée, puis créez une règle de transformation sur l’approbation de la partie de confiance pour émettre la revendication d’appareil.

Pour plus d’informations sur les scénarios de contrôle d’accès dynamique, consultez Feuille de route du contenu du contrôle d’accès dynamique ou Utilisation de revendications AD DS avec AD FS.

Pour créer une règle afin de transformer une revendication entrante sur une approbation de fournisseur de revendications dans Windows Server 2016

  1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sélectionnez Gestion AD FS.

  2. Dans l’arborescence de la console, sous AD FS, cliquez sur Approbations de fournisseur de revendications. Screenshot that shows where to select Claims Provider Trusts when you create a rule to transform an incoming claim on a Claims Provider Trust in Windows Server 2016.

  3. Cliquez avec le bouton droit sur l’approbation sélectionnée, puis sélectionnez Modifier les règles de revendication. Screenshot that shows where to select Edit Claim Rules when you create a rule to transform an incoming claim on a Claims Provider Trust in Windows Server 2016.

  4. Dans la boîte de dialogue Modifier les règles de revendication, sous Règles de transformation d’acceptation, cliquez sur Ajouter une règle pour démarrer l’Assistant Règle. Screenshot that shows where to select Add Rule when you create a rule to transform an incoming claim on a Claims Provider Trust in Windows Server 2016.

  5. Dans la page Sélectionner un modèle de règle, sous Modèle de règle de revendication, sélectionnez Transformer une revendication entrante dans la liste, puis Suivant. Screenshot that shows where to select the Transform an Incoming Claim template when you create a rule to transform an incoming claim on a Claims Provider Trust in Windows Server 2016.

  6. Dans la page Configurer une règle, sous Nom de la règle de revendication, tapez un nom d'affichage pour cette règle. Dans Type de revendication entrante, sélectionnez un type de revendication dans la liste. Dans Type de revendication sortante, sélectionnez un type de revendication dans la liste, puis l’une des options suivantes, en fonction des exigences de votre organisation :

    • Passer toutes les valeurs de revendication

    • Remplacer une valeur de revendication entrante avec une valeur de revendication sortante

    • Remplacement des revendications de suffixe d’adresse de messagerie entrantes par un nouveau suffixe d’adresse de messagerieScreenshot that shows where to type the claim rule name when you create a rule to transform an incoming claim on a Claims Provider Trust in Windows Server 2016.

  7. Cliquez le bouton Terminer.

  8. Dans la boîte de dialogue Modifier les règles de revendication, cliquez sur OK pour enregistrer la règle.

Notes

Si vous configurez le scénario de contrôle d’accès dynamique qui utilise des revendications émises par AD FS, commencez par créer une règle de transformation sur l’approbation du fournisseur de revendications, puis, dans Type de revendication entrante, tapez le nom de la revendication entrante ou, si une description de revendication a été créée précédemment, sélectionnez-la dans la liste. Ensuite, dans Type de revendication sortante, sélectionnez l’URL de revendication souhaitée, puis créez une règle de transformation sur l’approbation de la partie de confiance pour émettre la revendication d’appareil.

Pour plus d’informations sur les scénarios de contrôle d’accès dynamique, consultez Feuille de route du contenu du contrôle d’accès dynamique ou Utilisation de revendications AD DS avec AD FS.

Pour créer une règle pour transformer une revendication entrante dans Windows Server 2012 R2

  1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sélectionnez Gestion AD FS.

  2. Dans l’arborescence de la console, sous AD FS\Trust Relationships, cliquez sur Approbations du fournisseur de revendications ou Approbations de parties de confiance, puis cliquez sur une approbation spécifique dans la liste dans laquelle vous souhaitez créer cette règle.

  3. Cliquez avec le bouton droit sur l’approbation sélectionnée, puis sélectionnez Modifier les règles de revendication. Screenshot that shows where to select Edit Claim Rules when you create a rule in Windows Server 2012 R2.

  4. Dans la boîte de dialogue Modifier les règles de revendication, sélectionnez l’un des onglets suivants, en fonction de l’approbation que vous modifiez et de l’ensemble de règles dans lequel vous souhaitez créer cette règle, puis Ajouter une règle pour démarrer l’Assistant Règle associé à cet ensemble de règles :

    • Règles de transformation d’acceptation

    • Règles de transformation de l’émission

    • Règles d’autorisation de l’émission

    • Règles d’autorisation de la délégationScreenshot that shows where to select Edit Claim Rules when you create a rule to transform an incoming claim in Windows Server 2012 R2.

  5. Dans la page Sélectionner un modèle de règle, sous Modèle de règle de revendication, sélectionnez Transformer une revendication entrante dans la liste, puis Suivant. Screenshot that shows where to select the Transform an Incoming Claim template when you create a rule to transform an incoming claim in Windows Server 2012 R2.

  6. Dans la page Configurer une règle, sous Nom de la règle de revendication, tapez un nom d'affichage pour cette règle. Dans Type de revendication entrante, sélectionnez un type de revendication dans la liste. Dans Type de revendication sortante, sélectionnez un type de revendication dans la liste, puis l’une des options suivantes, en fonction des exigences de votre organisation :

    • Passer toutes les valeurs de revendication

    • Remplacer une valeur de revendication entrante avec une valeur de revendication sortante

    • Remplacement des revendications de suffixe d’adresse de messagerie entrantes par un nouveau suffixe d’adresse de messageriecreate rule

Note

Si vous configurez le scénario de contrôle d’accès dynamique qui utilise des revendications émises par AD FS, commencez par créer une règle de transformation sur l’approbation du fournisseur de revendications, puis, dans Type de revendication entrante, tapez le nom de la revendication entrante ou, si une description de revendication a été créée précédemment, sélectionnez-la dans la liste. Ensuite, dans Type de revendication sortante, sélectionnez l’URL de revendication souhaitée, puis créez une règle de transformation sur l’approbation de la partie de confiance pour émettre la revendication d’appareil.

Pour plus d’informations sur les scénarios de contrôle d’accès dynamique, consultez Feuille de route du contenu du contrôle d’accès dynamique ou Utilisation de revendications AD DS avec AD FS.

  1. Cliquez sur Terminer.

  2. Dans la boîte de dialogue Modifier les règles de revendication, cliquez sur OK pour enregistrer la règle.

Références supplémentaires

Configurer les règles de revendication

Check-list : création de règles de revendication pour une approbation de partie de confiance

Check-list : création de règles de revendication pour une approbation de fournisseur de revendications

Quand utiliser une règle de revendication d’autorisation

Rôle des revendications

Rôle des règles de revendication