Creare una regola per inviare un'attestazione di metodo di autenticazione
È possibile utilizzare il inviare l'appartenenza al gruppo come attestazioni modello di regola o il trasformare un'attestazione in ingresso modello di regola per inviare un'attestazione di metodo di autenticazione. La relying party può usare un'attestazione basata sul metodo di autenticazione per determinare il meccanismo di accesso che l'utente usa per autenticare e ottenere le attestazioni da Active Directory Federation Services (AD FS). È inoltre possibile usare la funzionalità di verifica del meccanismo di autenticazione di Active Directory Federation Services (AD FS) in Windows Server 2012 R2 come input per generare attestazioni basate sul metodo di autenticazione per casi in cui la relying party vuole determinare il livello di accesso basato su accessi con smart card. Ad esempio, uno sviluppatore può assegnare diversi livelli di accesso agli utenti federati dell'applicazione relying party. I livelli di accesso sono basati su se gli utenti accedono con le credenziali nome utente e password, anziché le smart card.
A seconda dei requisiti dell'organizzazione, utilizzare una delle seguenti procedure:
Creare questa regola usando il modello di regola Invia appartenenza ai gruppi come attestazioni. È possibile usare questo modello di regola quando si vuole che sia il gruppo specificato in questo modello a determinare l'attestazione basata su metodo di autenticazione da rilasciare.
Creare questa regola usando il modello di regola Trasformare un'attestazione in ingresso. È possibile usare questo modello di regola quando si vuole modificare il metodo di autenticazione esistente in un nuovo metodo di autenticazione compatibile con un prodotto che non riconosce le attestazioni basate su metodo di autenticazione AD FS standard.
Per creare tramite l'appartenenza al gruppo di invio come modello di regola attestazioni in un Trust della Relying Party in Windows Server 2016
In Server Manager, fare clic su strumenti, quindi selezionare Gestione ADFS.
Nell'albero della console, in ADFS, fare clic su attendibilità.
Fare clic con il pulsante destro del mouse sul trust selezionato e quindi fare clic su Modifica criteri di rilascio dell'attestazione.
Nel Modifica criteri di rilascio dell'attestazione nella finestra di dialogo regole di trasformazione rilascio fare clic su Aggiungi regola per avviare la creazione guidata regola.
Nel Seleziona modello di regola nella pagina modello di regola attestazione, selezionare inviare l'appartenenza al gruppo come attestazione dall'elenco, quindi fare clic su Avanti.
Nel configurare la regola digitare un nome di regola attestazione.
Fare clic su Sfoglia, selezionare il gruppo i cui membri devono ricevere l'attestazione metodo di autenticazione e quindi fare clic su OK.
In attestazione in uscita, selezionare metodo di autenticazione nell'elenco.
In Valore attestazione in uscita digitare uno dei valori di URI (Uniform Resource Identifier) predefiniti URI valori nella tabella seguente, a seconda del metodo di autenticazione preferito, fare clic su Fine e quindi fare clic su OK per salvare la regola.
| Metodo di autenticazione effettivo | URI corrispondente |
|---|---|
| Mediante autenticazione con nome utente e password | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Autenticazione di Windows | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| Autenticazione reciproca TLS (Transport Layer Security) che usa i certificati X.509 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| Autenticazione basata su X.509 che non usa TLS | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
Per creare tramite l'appartenenza al gruppo di invio come modello di regola attestazioni in un Trust di Provider di attestazioni in Windows Server 2016
In Server Manager, fare clic su strumenti, quindi selezionare Gestione ADFS.
Nell'albero della console, in ADFS, fare clic su Provider di attestazioni.
Fare clic con il pulsante destro del mouse sul trust selezionato e quindi fare clic su Modifica regole attestazioni.
Nel Modifica regole attestazione nella finestra di dialogo regole di trasformazione accettazione fare clic su Aggiungi regola per avviare la creazione guidata regola.
Nel Seleziona modello di regola nella pagina modello di regola attestazione, selezionare inviare l'appartenenza al gruppo come attestazione dall'elenco, quindi fare clic su Avanti.
Nel configurare la regola digitare un nome di regola attestazione.
Fare clic su Sfoglia, selezionare il gruppo i cui membri devono ricevere l'attestazione metodo di autenticazione e quindi fare clic su OK.
In attestazione in uscita, selezionare metodo di autenticazione nell'elenco.
In Valore attestazione in uscita digitare uno dei valori di URI (Uniform Resource Identifier) predefiniti URI valori nella tabella seguente, a seconda del metodo di autenticazione preferito, fare clic su Fine e quindi fare clic su OK per salvare la regola.
| Metodo di autenticazione effettivo | URI corrispondente |
|---|---|
| Mediante autenticazione con nome utente e password | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Autenticazione di Windows | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| Autenticazione reciproca TLS (Transport Layer Security) che usa i certificati X.509 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| Autenticazione basata su X.509 che non usa TLS | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
Per creare questa regola utilizzando la trasformazione un'attestazione in ingresso modello di regola in un Trust della Relying Party in Windows Server 2016
In Server Manager, fare clic su strumenti, quindi selezionare Gestione ADFS.
Nell'albero della console, in ADFS, fare clic su attendibilità.
Fare clic con il pulsante destro del mouse sul trust selezionato e quindi fare clic su Modifica criteri di rilascio dell'attestazione.
Nel Modifica criteri di rilascio dell'attestazione nella finestra di dialogo regole di trasformazione rilascio fare clic su Aggiungi regola per avviare la creazione guidata regola.
Nel Seleziona modello di regola nella pagina modello di regola attestazione, selezionare trasformare un'attestazione in ingresso dall'elenco, quindi fare clic su Avanti.
Nel configurare la regola digitare un nome di regola attestazione.
In tipo di attestazione in ingresso, selezionare metodo di autenticazione nell'elenco.
In attestazione in uscita, selezionare metodo di autenticazione nell'elenco.
Selezionare sostituire un valore di attestazione in ingresso con un diverso valore attestazione in uscita, e quindi eseguire le operazioni seguenti:
In valore attestazione in ingresso, digitare uno dei seguenti valori URI che sono in base al metodo di autenticazione effettiva URI utilizzato originariamente, fare clic su Fine, quindi fare clic su OK per salvare la regola.
In valore attestazione in uscita, digitare uno dei valori di URI predefinito nella tabella seguente, che dipende la scelta metodo di autenticazione preferito nuovo, fare clic su Fine, quindi fare clic su OK per salvare la regola.
| Metodo di autenticazione effettivo | URI corrispondente |
|---|---|
| Mediante autenticazione con nome utente e password | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Autenticazione di Windows | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| Autenticazione reciproca TLS che utilizza certificati x. 509 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| Autenticazione basata su X.509 che non usa TLS | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
Nota
Oltre ai valori nella tabella, è possono utilizzare altri valori URI. I valori URI presenti ion nella tabella precedente rappresentano gli URI che accetta la relying party per impostazione predefinita.
Per creare questa regola utilizzando la trasformazione un'attestazione in ingresso modello di regola in un Trust di Provider di attestazioni in Windows Server 2016
In Server Manager, fare clic su strumenti, quindi selezionare Gestione ADFS.
Nell'albero della console, in ADFS, fare clic su Provider di attestazioni.
Fare clic con il pulsante destro del mouse sul trust selezionato e quindi fare clic su Modifica regole attestazioni.
Nel Modifica regole attestazione nella finestra di dialogo regole di trasformazione accettazione fare clic su Aggiungi regola per avviare la creazione guidata regola.
Nel Seleziona modello di regola nella pagina modello di regola attestazione, selezionare trasformare un'attestazione in ingresso dall'elenco, quindi fare clic su Avanti.
Nel configurare la regola digitare un nome di regola attestazione.
In tipo di attestazione in ingresso, selezionare metodo di autenticazione nell'elenco.
In attestazione in uscita, selezionare metodo di autenticazione nell'elenco.
Selezionare sostituire un valore di attestazione in ingresso con un diverso valore attestazione in uscita, e quindi eseguire le operazioni seguenti:
In valore attestazione in ingresso, digitare uno dei seguenti valori URI che sono in base al metodo di autenticazione effettiva URI utilizzato originariamente, fare clic su Fine, quindi fare clic su OK per salvare la regola.
In valore attestazione in uscita, digitare uno dei valori di URI predefinito nella tabella seguente, che dipende la scelta metodo di autenticazione preferito nuovo, fare clic su Fine, quindi fare clic su OK per salvare la regola.
| Metodo di autenticazione effettivo | URI corrispondente |
|---|---|
| Mediante autenticazione con nome utente e password | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Autenticazione di Windows | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| Autenticazione reciproca TLS che utilizza certificati x. 509 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| Autenticazione basata su X.509 che non usa TLS | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
Creare la regola tramite l'appartenenza al gruppo di invio come modello di regola attestazioni in Windows Server 2012 R2
In Server Manager, fare clic su strumenti, quindi selezionare Gestione ADFS.
Nell'albero della console in AD FS\Relazioni di trust, fare clic su Trust provider di attestazioni o su Trust relying party e quindi fare clic su una relazione di trust specifica nell'elenco in cui si vuole creare questa regola.
Fare clic con il pulsante destro del mouse sul trust selezionato e quindi fare clic su Modifica regole attestazioni.
Nel Modifica regole attestazione nella finestra di dialogo selezionare una delle seguenti schede, in base ai trust che si sta modificando e set di regola che si desidera creare questa regola e quindi fare clic su Aggiungi regola per avviare la creazione guidata regola associata a tale set di regole:
Regole di trasformazione accettazione
Regole di trasformazione rilascio
Regole di autorizzazione rilascio
Regole di autorizzazione delega
Nel Seleziona modello di regola nella pagina modello di regola attestazione, selezionare inviare l'appartenenza al gruppo come attestazione dall'elenco, quindi fare clic su Avanti.
Nel configurare la regola digitare un nome di regola attestazione.
Fare clic su Sfoglia, selezionare il gruppo i cui membri devono ricevere l'attestazione metodo di autenticazione e quindi fare clic su OK.
In attestazione in uscita, selezionare metodo di autenticazione nell'elenco.
In Valore attestazione in uscita digitare uno dei valori di URI (Uniform Resource Identifier) predefiniti URI valori nella tabella seguente, a seconda del metodo di autenticazione preferito, fare clic su Fine e quindi fare clic su OK per salvare la regola.
| Metodo di autenticazione effettivo | URI corrispondente |
|---|---|
| Mediante autenticazione con nome utente e password | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Autenticazione di Windows | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| Autenticazione reciproca TLS (Transport Layer Security) che usa i certificati X.509 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| Autenticazione basata su X.509 che non usa TLS | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
Nota
Oltre ai valori nella tabella, è possono utilizzare altri valori URI. I valori URI che vengono visualizzati nella tabella precedente rappresentano gli URI che accetta la relying party per impostazione predefinita.
Per creare questa regola utilizzando la trasformazione di un modello di regola attestazione in ingresso in Windows Server 2012 R2
In Server Manager, fare clic su strumenti, quindi fare clic su Gestione ADFS.
Nell'albero della console in AD FS\Relazioni di trust, fare clic su Trust provider di attestazioni o su Trust relying party e quindi fare clic su una relazione di trust specifica nell'elenco in cui si vuole creare questa regola.
Fare clic con il pulsante destro del mouse sul trust selezionato e quindi fare clic su Modifica regole attestazioni.
Nel Modifica regole attestazione la finestra di dialogo, selezionare una le schede seguenti, che dipende la relazione di trust che si sta modificando e nel quale set di regole si desidera creare questa regola e quindi fare clic su Aggiungi regola per avviare la creazione guidata regola associata a tale set di regole:
Regole di trasformazione accettazione
Regole di trasformazione rilascio
Regole di autorizzazione rilascio
Regole di autorizzazione delega
Nel Seleziona modello di regola nella pagina modello di regola attestazione, selezionare trasformare un'attestazione in ingresso dall'elenco, quindi fare clic su Avanti.
Nel configurare la regola digitare un nome di regola attestazione.
In tipo di attestazione in ingresso, selezionare metodo di autenticazione nell'elenco.
In attestazione in uscita, selezionare metodo di autenticazione nell'elenco.
Selezionare sostituire un valore di attestazione in ingresso con un diverso valore attestazione in uscita, e quindi eseguire le operazioni seguenti:
In valore attestazione in ingresso, digitare uno dei seguenti valori URI che sono in base al metodo di autenticazione effettiva URI utilizzato originariamente, fare clic su Fine, quindi fare clic su OK per salvare la regola.
In valore attestazione in uscita, digitare uno dei valori di URI predefinito nella tabella seguente, che dipende la scelta metodo di autenticazione preferito nuovo, fare clic su Fine, quindi fare clic su OK per salvare la regola.
| Metodo di autenticazione effettivo | URI corrispondente |
|---|---|
| Mediante autenticazione con nome utente e password | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Autenticazione di Windows | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| Autenticazione reciproca TLS che utilizza certificati x. 509 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| Autenticazione basata su X.509 che non usa TLS | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
Nota
Oltre ai valori nella tabella, è possono utilizzare altri valori URI. I valori URI presenti ion nella tabella precedente rappresentano gli URI che accetta la relying party per impostazione predefinita.
Altri riferimenti
Configurare le regole delle attestazioni
Elenco di controllo: Creazione di regole attestazione per un trust di relying party
Elenco di controllo: Creazione di regole attestazione per un trust di provider di attestazioni