Condividi tramite

Creare una regola per inviare l'appartenenza al gruppo come attestazione

Tramite la regola Inviare l'appartenenza al gruppo come attestazione in Active Directory Federation Services (AD FS), è possibile creare una regola che consente di selezionare un gruppo di sicurezza di Active Directory da inviare come attestazione. Verrà generata solo una singola attestazione da questa regola, in base al gruppo selezionato. Ad esempio, è possibile utilizzare questo modello di regola per creare una regola che se l'utente è un membro del gruppo di protezione Domain Admins, invierà un'attestazione di gruppo con un valore di amministrazione. Questa regola deve essere utilizzata solo per gli utenti del dominio di Active Directory locale.

È possibile utilizzare la procedura seguente per creare una regola attestazioni con lo snap-in di gestione di AD FS.

L'appartenenza al gruppo Administrators, o a un gruppo equivalente, nel computer locale è il requisito minimo per eseguire questa procedura. Informazioni dettagliate sull'utilizzo degli account appropriati e appartenenze dominio gruppi predefiniti locali e.

Per creare una regola per inviare l'appartenenza al gruppo come attestazione in un Trust della Relying Party in Windows Server 2016

  1. In Server Manager, fare clic su strumenti, quindi selezionare Gestione ADFS.

  2. Nell'albero della console, in ADFS, fare clic su attendibilità. Screenshot that shows where to select Relying Party Trusts when you create a rule to send group membership as a claim on a Relying Party Trust in Windows Server 2016.

  3. Fare clic con il pulsante destro del mouse sul trust selezionato e quindi fare clic su Modifica criteri di rilascio dell'attestazione. Screenshot that shows where to select Edit Claim Issuance Policy when you create a rule to send group membership as a claim on a Relying Party Trust in Windows Server 2016.

  4. Nel Modifica criteri di rilascio dell'attestazione nella finestra di dialogo regole di trasformazione rilascio fare clic su Aggiungi regola per avviare la creazione guidata regola. Screenshot that shows where to select Add Rule when you create a rule to send group membership as a claim on a Relying Party Trust in Windows Server 2016.

  5. Nel Seleziona modello di regola nella pagina modello di regola attestazione, selezionare inviare l'appartenenza al gruppo come attestazione dall'elenco, quindi fare clic su Avanti. Screenshot that shows where to select the Send Group Membership as Claim template when you create a rule to send group membership as a claim on a Relying Party Trust in Windows Server 2016.

  6. Alla pagina Configurare regola, in Nome regola attestazioni, digitare il nome visualizzato della regola, in Gruppo dell'utente fare clic su Sfoglia e selezionare un gruppo, in Tipo di attestazione in uscita, selezionare il tipo di attestazione desiderato e in Tipo di attestazione in uscita, digitare un valore. Screenshot that shows where to type the claim rule name when you create a rule to send group membership as a claim on a Relying Party Trust in Windows Server 2016.

  7. Fare clic sui Fine pulsante.

  8. Nel Modifica regole attestazione la finestra di dialogo, fare clic su OK per salvare la regola.

Per creare una regola per inviare l'appartenenza al gruppo come attestazione in un Trust di provider di attestazioni in Windows Server 2016

  1. In Server Manager, fare clic su strumenti, quindi selezionare Gestione ADFS.

  2. Nell'albero della console, in ADFS, fare clic su Provider di attestazioni. Screenshot that shows where to select Claims Provider Trusts when you create a rule to send group membership as a claim on a Claims Provider Trust in Windows Server 2016.

  3. Fare clic con il pulsante destro del mouse sul trust selezionato e quindi fare clic su Modifica regole attestazioni. Screenshot that shows where to select Edit Claim Rules when you create a rule to send group membership as a claim on a Claims Provider Trust in Windows Server 2016.

  4. Nel Modifica regole attestazione nella finestra di dialogo regole di trasformazione accettazione fare clic su Aggiungi regola per avviare la creazione guidata regola. Screenshot that shows where to select Add Rule when you create a rule to send group membership as a claim on a Claims Provider Trust in Windows Server 2016.

  5. Nel Seleziona modello di regola nella pagina modello di regola attestazione, selezionare inviare l'appartenenza al gruppo come attestazione dall'elenco, quindi fare clic su Avanti. Screenshot that shows where to select the Send Group Membership as Claim template when you create a rule to send group membership as a claim on a Claims Provider Trust in Windows Server 2016.

  6. Alla pagina Configurare regola, in Nome regola attestazioni, digitare il nome visualizzato della regola, in Gruppo dell'utente fare clic su Sfoglia e selezionare un gruppo, in Tipo di attestazione in uscita, selezionare il tipo di attestazione desiderato e in Tipo di attestazione in uscita, digitare un valore. Screenshot that shows where to type the claim rule name when you create a rule to send group membership as a claim on a Claims Provider Trust in Windows Server 2016.

  7. Fare clic sui Fine pulsante.

  8. Nel Modifica regole attestazione la finestra di dialogo, fare clic su OK per salvare la regola.

Per creare una regola per inviare l'appartenenza al gruppo come attestazione in Windows Server 2012 R2

  1. In Server Manager, fare clic su strumenti, quindi selezionare Gestione ADFS.

  2. Nell'albero della console in AD FS\Relazioni di trust, fare clic su Trust provider di attestazioni o su Trust relying party e quindi fare clic su una relazione di trust specifica nell'elenco in cui si vuole creare questa regola.

  3. Fare clic con il pulsante destro del mouse sul trust selezionato e quindi fare clic su Modifica regole attestazioni. Screenshot that shows where to select Edit Claim Rules when you create a rule to send group membership as a claim in Windows Server 2012 R2.

  4. Nel Modifica regole attestazione nella finestra di dialogo selezionare una delle seguenti schede, in base ai trust che si sta modificando e set di regola che si desidera creare questa regola e quindi fare clic su Aggiungi regola per avviare la creazione guidata regola associata a tale set di regole:

    • Regole di trasformazione accettazione

    • Regole di trasformazione rilascio

    • Regole di autorizzazione rilascio

    • Regole di autorizzazione delegacreate rule

  5. Nel Seleziona modello di regola nella pagina modello di regola attestazione, selezionare inviare l'appartenenza al gruppo come attestazione dall'elenco, quindi fare clic su Avanti. Screenshot that shows where to select the Send Group Membership as a Claim template when you create a rule to send group membership as a claim in Windows Server 2012 R2.

  6. Alla pagina Configurare regola, in Nome regola attestazioni, digitare il nome visualizzato della regola, in Gruppo dell'utente fare clic su Sfoglia e selezionare un gruppo, in Tipo di attestazione in uscita, selezionare il tipo di attestazione desiderato e in Tipo di attestazione in uscita, digitare un valore. Screenshot that shows where to type the claim rule name when you create a rule to send group membership as a claim in Windows Server 2012 R2.

  7. Fare clic su Fine.

  8. Nel Modifica regole attestazione la finestra di dialogo, fare clic su OK per salvare la regola.

Altri riferimenti

Configurare le regole delle attestazioni

Elenco di controllo: Creazione di regole attestazione per un trust di relying party

Elenco di controllo: Creazione di regole attestazione per un trust di provider di attestazioni

Quando usare una regola attestazione di autorizzazione

Ruolo delle attestazioni

Ruolo delle regole delle attestazioni