Delen via

Een regel maken om een verificatiemethodeclaim te verzenden

U kunt het regelsjabloon "Groepslidmaatschap als claims verzenden" of het regelsjabloon "Een binnenkomende claim transformeren" gebruiken om een claim voor de authenticatiemethode te verzenden. De relying party kan een authenticatiemethodeclaim gebruiken om het aanmeldingsmechanisme te bepalen dat de gebruiker gebruikt om zich te authentiseren en claims te verkrijgen van Active Directory Federation Services (AD FS). U kunt ook de functie Verificatiemechanismecontrole van Active Directory Federation Services (AD FS) in Windows Server 2012 R2 gebruiken als invoer voor het genereren van verificatiemethodeclaims voor situaties waarin de relying party het toegangsniveau wil bepalen dat is gebaseerd op smartcardaanmeldingen. Een ontwikkelaar kan bijvoorbeeld verschillende toegangsniveaus toewijzen aan federatieve gebruikers van de relying party-toepassing. De toegangsniveaus zijn gebaseerd op of de gebruikers zich aanmelden met hun gebruikersnaam en wachtwoordreferenties, in plaats van hun smartcards.

Gebruik een van de volgende procedures, afhankelijk van de vereisten van uw organisatie:

  • Maak deze regel met behulp van de Groepslidmaatschap verzenden als claims regelsjabloon. U kunt deze regelsjabloon gebruiken als u wilt dat de groep die u in deze sjabloon opgeeft uiteindelijk bepaalt welke verificatiemethode-claim moet worden uitgegeven.

  • Maak deze regel met behulp van de Transformeer een binnenkomende claim regelsjabloon. Gebruik deze regelsjabloon als u de bestaande authenticatiemethode wilt wijzigen naar een nieuwe authenticatiemethode die werkt met een product dat geen standaard AD FS-authenticatiemethodeclaims herkent.

Het maken met behulp van het template "Groepslidmaatschap verzenden als claims" op een Relying Party-vertrouwensrelatie in Windows Server 2016

  1. Klik in Serverbeheer op Toolsen selecteer vervolgens AD FS Management.

  2. Klik in de consolestructuur onder AD FSop Relying Party Trusts. Schermopname die laat zien waar u Relying Party-vertrouwensrelaties in de consolestructuur selecteert wanneer u een regel maakt met behulp van de regelsjabloon Groepslidmaatschap verzenden als claimsjabloon.

  3. Klik met de rechtermuisknop op de geselecteerde vertrouwensrelatie en klik vervolgens op Claimuitgiftebeleid bewerken. Schermopname die laat zien waar u de menuoptie Claimuitgiftebeleid bewerken selecteert wanneer u een regel maakt met behulp van de regelsjabloon Groepslidmaatschap verzenden als claims.

  4. Klik in het dialoogvenster Claimuitgiftebeleid bewerken bij Uitgiftetransformatieregels op Regel toevoegen om de regelwizard te starten. Schermopname die laat zien hoe u een regel toevoegt wanneer u een regel maakt met behulp van de regelsjabloon Groepslidmaatschap verzenden als claims.

  5. Selecteer op de pagina Regelsjabloon selecteren, bij Claimregelsjabloon, uit de lijst de optie Groepslidmaatschap verzenden als Claim en klik vervolgens op Volgende. schermopname waarin wordt weergegeven waar u het groepslidmaatschap verzenden als claimsjabloon kunt selecteren.

  6. Op de pagina Regel configureren typt u een naam voor de claimregel.

  7. Klik op Bladeren, selecteer de groep waarvan de leden deze authenticatiemethode-aanvraag moeten ontvangen en klik vervolgens op OK.

  8. Selecteer in uitgaand claimtypede verificatiemethode in de lijst.

  9. Typ in uitgaande claimwaardeeen van de standaard URI-waarden (Uniform Resource Identifier) in de volgende tabel, afhankelijk van de gewenste verificatiemethode, op Voltooienen klik vervolgens op OK om de regel op te slaan.

Werkelijke verificatiemethode Bijbehorende URI
Gebruikersnaam en wachtwoordverificatie https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Windows-verificatie https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Wederzijdse verificatie van Transport Layer Security (TLS) die gebruikmaakt van X.509-certificaten https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Verificatie op basis van X.509 waarvoor TLS niet wordt gebruikt https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Schermopname die laat zien waar u Voltooien moet selecteren wanneer u een regel maakt met behulp van de regelsjabloon Groepslidmaatschap verzenden als claimregelsjabloon in Windows Server 2016.

Om een sjabloon te maken met behulp van de regeltemplate "Groepslidmaatschap verzenden als claims" op een vertrouwensrelatie van een claimprovider in Windows Server 2016.

  1. Klik in Serverbeheer op Toolsen selecteer vervolgens AD FS Management.

  2. Klik in de consolestructuur onder AD FSop Claims Provider Trusts. Schermopname die laat zien waar claimsprovidervertrouwensrelaties moeten worden geselecteerd wanneer u een regel maakt met behulp van de sjabloon Groepslidmaatschap verzenden als claimregelsjabloon in Windows Server 2016.

  3. Klik met de rechtermuisknop op de geselecteerde vertrouwensrelatie en klik vervolgens op Claimregels bewerken. Schermopname die laat zien waar u Claimregels bewerken kunt selecteren wanneer u een regel maakt met behulp van de sjabloon Groepslidmaatschap verzenden als claimregelsjabloon in Windows Server 2016.

  4. Klik in het dialoogvenster Claimregels bewerken onder Transformatieregels voor acceptatie op Regel toevoegen om de regelwizard te starten. Schermopname die laat zien waar u de knop Regel toevoegen kunt selecteren wanneer u een regel maakt met behulp van de regelsjabloon Groepslidmaatschap verzenden als claimregelsjabloon in Windows Server 2016.

  5. Selecteer op de pagina Regelsjabloon selecteren, onder Claimregelsjabloon, de optie Groepslidmaatschap verzenden als Claim uit de lijst, en klik vervolgens op Volgende. Schermopname die laat zien waar u het groepslidmaatschap verzenden als claimsjabloon kunt selecteren wanneer u een regel maakt in Windows Server 2016.

  6. Typ op de pagina Configuratieregel een claimregelnaam in.

  7. Klik op Bladeren, selecteer de groep waarvan de leden deze authenticatiemethodeclaim moeten ontvangen en klik vervolgens op OK.

  8. Selecteer in uitgaand claimtypede verificatiemethode in de lijst.

  9. Typ in uitgaande claimwaardeeen van de standaard URI-waarden (Uniform Resource Identifier) in de volgende tabel, afhankelijk van de gewenste verificatiemethode, en klik op Voltooienen klik vervolgens op OK om de regel te bewaren.

Werkelijke verificatiemethode Bijbehorende URI
Gebruikersnaam en wachtwoordverificatie https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Windows-verificatie https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Wederzijdse verificatie van Transport Layer Security (TLS) die gebruikmaakt van X.509-certificaten https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Verificatie op basis van X.509 waarvoor TLS niet wordt gebruikt https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Schermopname die laat zien waar u Voltooien moet selecteren wanneer u een regel maakt met behulp van de regelsjabloon Groepslidmaatschap verzenden als claimregelsjabloon in Windows Server 2016.

Deze regel maken met behulp van de transformatie van een binnenkomende claimregelsjabloon op een Relying Party-vertrouwensrelatie in Windows Server 2016

  1. Klik in Serverbeheer op Toolsen selecteer vervolgens AD FS Management.

  2. Klik in de consolestructuur onder AD FSop Relying Party Trusts. Schermopname die laat zien waar u Relying Party-vertrouwensrelaties in de consolestructuur selecteert wanneer u een regel maakt met behulp van de transformatie van een binnenkomende claimregelsjabloon.

  3. Klik met de rechtermuisknop op de geselecteerde vertrouwensrelatie en klik vervolgens op Claimuitgiftebeleid bewerken. Schermopname die laat zien waar u Claimuitgiftebeleid bewerken selecteert wanneer u een regel maakt met behulp van de transformatie van een binnenkomende claimregelsjabloon.

  4. Klik in het dialoogvenster Claimuitgiftebeleid bewerken bij Uitgiftetransformatieregels op Regel toevoegen om de regelwizard te starten. Schermopname die laat zien waar u Regel toevoegen kunt selecteren wanneer u een regel maakt met behulp van de transformatie van een binnenkomende claimregelsjabloon.

  5. Selecteer op de pagina Regelsjabloon selecteren, onder Claimregelsjabloon, Een binnenkomende claim transformeren in de lijst en klik vervolgens op Volgende. schermopname waarin wordt weergegeven waar u de sjabloon Een binnenkomende claim transformeren selecteert wanneer u een regel maakt.

  6. Typ een naam voor de claimregel op de pagina Configuratieregel.

  7. Selecteer in binnenkomende claimtypeverificatiemethode in de lijst.

  8. Selecteer in de lijst bij uitgaand claimtype-verificatiemethode.

  9. Selecteer Een binnenkomende claimwaarde vervangen door een andere uitgaande claimwaardeen ga als volgt te werk:

    1. Typ in binnenkomende claimwaardeeen van de volgende URI-waarden die zijn gebaseerd op de werkelijke verificatiemethode-URI die oorspronkelijk is gebruikt, klik op Voltooienen klik vervolgens op OK om de regel op te slaan.

    2. Typ in uitgaande claimwaardeeen van de standaard-URI-waarden in de volgende tabel, die afhankelijk is van de keuze van de nieuwe voorkeursverificatiemethode, klik op Voltooienen klik vervolgens op OK om de regel op te slaan.

Werkelijke verificatiemethode Bijbehorende URI
Gebruikersnaam en wachtwoordverificatie https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Windows-verificatie https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Wederzijdse TLS-verificatie die gebruikmaakt van X.509-certificaten https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Verificatie op basis van X.509 waarvoor TLS niet wordt gebruikt https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Schermopname die laat zien waar u Voltooien moet selecteren wanneer u een regel maakt met behulp van de transformatie van een binnenkomende claimregelsjabloon.

Notitie

Andere URI-waarden kunnen worden gebruikt naast de waarden in de tabel. De URI-waarden die in de vorige tabel worden weergegeven, weerspiegelen de URI's die de relying party standaard accepteert.

Deze regel maken met behulp van de transformatie van een binnenkomende claimregelsjabloon op een vertrouwensrelatie van een claimprovider in Windows Server 2016

  1. Klik in Serverbeheer op Toolsen selecteer vervolgens AD FS Management.

  2. Klik in de consolestructuur onder AD FSop Claims Provider Trusts. Schermopname die laat zien waarin je Claims Provider Trusts in de consolestructuur selecteert wanneer je een regel maakt met behulp van de sjabloon voor het transformeren van een binnenkomende claimregel in Windows Server 2016.

  3. Klik met de rechtermuisknop op de geselecteerde vertrouwensrelatie en klik vervolgens op Claimregels bewerken. Schermopname die laat zien waar u Claimregels bewerken kunt selecteren wanneer u een regel maakt met behulp van de transformatie van een binnenkomende claimregelsjabloon in Windows Server 2016.

  4. Klik in het dialoogvenster Claimregels bewerken onder Transformatieregels voor acceptatie op Regel toevoegen om de regelwizard te starten. Schermopname die laat zien waar u Regel toevoegen kunt selecteren wanneer u een regel maakt met behulp van de transformatie van een binnenkomende claimregelsjabloon in Windows Server 2016.

  5. Selecteer op de pagina Regelsjabloon selecteren, onder Claimregelsjabloon, Een binnenkomende claim transformeren in de lijst en klik vervolgens op Volgende. Schermopname die laat zien waar u de sjabloon Een binnenkomende claim transformeren selecteert wanneer u een regel maakt in Windows Server 2016.

  6. Typ op de pagina Regelconfiguratie een naam voor de claimregel.

  7. Selecteer in binnenkomende claimtypeverificatiemethode in de lijst.

  8. Selecteer in de lijst bij uitgaand claimtypede verificatiemethode.

  9. Selecteer Een binnenkomende claimwaarde vervangen door een andere uitgaande claimwaardeen ga als volgt te werk:

    1. Typ in binnenkomende claimwaardeeen van de volgende URI-waarden die zijn gebaseerd op de werkelijke verificatiemethode-URI die oorspronkelijk is gebruikt, klik op Voltooienen klik vervolgens op OK om de regel op te slaan.

    2. Typ in uitgaande claimwaardeeen van de standaard-URI-waarden in de volgende tabel, die afhankelijk is van de keuze van de nieuwe voorkeursverificatiemethode, klik op Voltooienen klik vervolgens op OK om de regel op te slaan.

Werkelijke verificatiemethode Bijbehorende URI
Gebruikersnaam en wachtwoordverificatie https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Windows-verificatie https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Wederzijdse TLS-verificatie die gebruikmaakt van X.509-certificaten https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Verificatie op basis van X.509 waarvoor TLS niet wordt gebruikt https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Schermopname die laat zien waar u Voltooien moet selecteren wanneer u een regel maakt met behulp van de transformatie van een binnenkomende claimregelsjabloon in Windows Server 2016.

Om deze regel te maken met behulp van de sjabloon "Groepslidmaatschap verzenden als claims" in Windows Server 2012 R2

  1. Klik in Serverbeheer op Toolsen selecteer vervolgens AD FS Management.

  2. Klik in de consolestructuur onder AD FS\Trust Relationshipsop Claims Provider Trusts of Relying Party Trustsen klik vervolgens op een specifieke vertrouwensrelatie in de lijst waarin u deze regel wilt maken.

  3. Klik met de rechtermuisknop op de geselecteerde vertrouwensrelatie en klik vervolgens op Claimregels bewerken. Schermopname die laat zien waar u Claimregels bewerken kunt selecteren wanneer u een regel maakt met behulp van de regelsjabloon Groepslidmaatschap verzenden als claimregelsjabloon.

  4. Selecteer in het dialoogvenster Claimregels bewerken een van de volgende tabbladen, afhankelijk van de vertrouwensrelatie waarin u deze regel wilt maken en klik vervolgens op Regel toevoegen om de regelwizard te starten die is gekoppeld aan die regelset:

    • acceptatieregels voor transformatie

    • regels voor uitgiftetransformatie

    • autorisatieregels voor uitgifte

    • DelegatieautorisatieregelsSchermopname die laat zien waar u Regel toevoegen selecteert wanneer u een regel maakt met de sjabloon 'Groepslidmaatschap als claims verzenden'.

  5. Selecteer op de pagina Regelsjabloon selecteren, onder Claimregelsjabloon, Groepslidmaatschap verzenden als claim in de lijst en klik vervolgens op Volgende. Schermopname die laat zien waar u het groepslidmaatschap verzenden als claimsjabloon selecteert wanneer u een regel maakt.

  6. Typ op de pagina Regelconfiguratie een claimregelnaam.

  7. Klik op Bladeren, selecteer de groep waarvan de leden deze verificatiemethode moeten ontvangen en klik vervolgens op OK.

  8. Selecteer de verificatiemethode in de lijst bij het uitgaande claimtype in.

  9. Typ in uitgaande claimwaardeeen van de standaard URI-waarden (Uniform Resource Identifier) in de volgende tabel, afhankelijk van de gewenste verificatiemethode, klik op Voltooienen klik vervolgens op OK om de regel op te slaan.

Werkelijke verificatiemethode Bijbehorende URI
Gebruikersnaam en wachtwoordverificatie https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Windows-verificatie https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Wederzijdse verificatie van Transport Layer Security (TLS) die gebruikmaakt van X.509-certificaten https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Verificatie op basis van X.509 waarvoor TLS niet wordt gebruikt https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Schermopname die laat zien waar u Voltooien moet selecteren wanneer u een regel maakt met behulp van de regelsjabloon Groepslidmaatschap verzenden als Claims.

Notitie

Andere URI-waarden kunnen worden gebruikt naast de waarden in de tabel. De URI-waarden die in de vorige tabel worden weergegeven, weerspiegelen de URI's die de relying party standaard accepteert.

Om deze regel te maken met behulp van de regelsjabloon 'Een binnenkomende claim transformeren' in Windows Server 2012 R2

  1. Klik in Server Manager op Hulpmiddelenen klik vervolgens op AD FS Management.

  2. Klik in de consolestructuur onder AD FS\Trust Relationshipsop Claims Provider Trusts of Relying Party Trustsen klik vervolgens op een specifieke vertrouwensrelatie in de lijst waarin u deze regel wilt maken.

  3. Klik met de rechtermuisknop op de geselecteerde vertrouwensrelatie en klik vervolgens op Claimregels bewerken. Schermopname die laat zien waar u de optie 'Claimregels bewerken' kunt selecteren wanneer u een regel maakt met behulp van de regelsjabloon 'Een binnenkomende claim transformeren' in Windows Server 2012 R2.

  4. Selecteer in het dialoogvenster Claimregels bewerken een van de volgende tabbladen. Dit hangt af van de vertrouwensrelatie die u bewerkt en in welke regelset u deze regel wilt maken. Klik vervolgens op Regel toevoegen om de regelwizard te starten die is gekoppeld aan die regelset:

    • acceptatieregels voor transformatie

    • regels voor uitgiftetransformatie

    • autorisatieregels voor uitgifte

    • Autorisatieregels voor delegeringSchermopname waarin wordt weergegeven waar u Regel toevoegen kunt selecteren wanneer u een regel maakt met behulp van de regelsjabloon Een binnenkomende claim transformeren in Windows Server 2012 R2.

  5. Selecteer op de pagina Regelsjabloon selecteren, onder Claimregelsjabloon, Een binnenkomende claim transformeren in de lijst en klik vervolgens op Volgende. Schermopname die laat zien waar u de sjabloon Een binnenkomende claim transformeren selecteert wanneer u een regel maakt in Windows Server 2012 R2.

  6. Voer op de pagina Regel configureren een claimregelnaam in.

  7. Selecteer in binnenkomende claimtypeverificatiemethode in de lijst.

  8. Selecteer in uitgaande claimtypeverificatiemethode in de lijst.

  9. Selecteer Een binnenkomende claimwaarde vervangen door een andere uitgaande claimwaardeen ga als volgt te werk:

    1. Typ in binnenkomende claimwaardeeen van de volgende URI-waarden die zijn gebaseerd op de werkelijke verificatiemethode-URI die oorspronkelijk is gebruikt, klik op Voltooienen klik vervolgens op OK om de regel op te slaan.

    2. Typ in uitgaande claimwaardeeen van de standaard-URI-waarden in de volgende tabel, die afhankelijk is van de keuze van de nieuwe voorkeursverificatiemethode, klik op Voltooienen klik vervolgens op OK om de regel op te slaan.

Werkelijke verificatiemethode Bijbehorende URI
Gebruikersnaam en wachtwoordverificatie https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Windows-verificatie https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Wederzijdse TLS-verificatie die gebruikmaakt van X.509-certificaten https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Verificatie op basis van X.509 waarvoor TLS niet wordt gebruikt https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

regel maken

Notitie

Andere URI-waarden kunnen worden gebruikt naast de waarden in de tabel. De URI-waarden die in de vorige tabel worden weergegeven, weerspiegelen de URI's die de relying party standaard accepteert.

Aanvullende verwijzingen

Claimregels configureren

Controlelijst: Claimregels maken voor een Relying Party Trust

Checklist: Claimregels maken voor een vertrouwensrelatie van een claimprovider

Wanneer een autorisatieclaimregel gebruiken

De rol van aanspraken

De rol van claimregels