Utwórz regułę do przekształcenia przychodzącego roszczenia
Korzystając z szablonu reguły Przekształcanie oświadczenia przychodzącego w usługach Active Directory Federation Services (AD FS), można wybrać oświadczenie przychodzące, zmienić jego typ oświadczenia i zmienić jego wartość oświadczenia. Na przykład można użyć tego szablonu reguły, aby utworzyć regułę, która wysyła oświadczenie roli z tą samą wartością jak wartość roszczenia grupy. Możesz również użyć tej reguły, aby wysłać oświadczenie grupy, którego wartość oświadczenia to Purchasers, gdy istnieje przychodzące oświadczenie grupy z wartością Admins, lub wysłać tylko oświadczenia głównej nazwy użytkownika (UPN), które kończą się na @fabrikam.
Poniższa procedura umożliwia utworzenie reguły oświadczenia za pomocą przystawki Zarządzanie usługami AD FS.
Członkostwo w grupie Administratorzylub równoważnej na komputerze lokalnym jest minimalnym wymaganiem do wykonania tej procedury. Przejrzyj szczegóły dotyczące stosowania odpowiednich kont i członkostw w Lokalnych i Domanowych Grupach Domyślnych.
Aby utworzyć regułę przekształcania przychodzącego oświadczenia na relacji zaufania zależnej strony w systemie Windows Server 2016
W Menedżerze serwera kliknij Narzędzia, a następnie wybierz Zarządzanie AD FS.
W drzewie konsoli w obszarze USŁUGI AD FS, kliknij pozycję Zaufane relacje zewnętrzne.
Kliknij prawym przyciskiem myszy wybrane zaufanie, a następnie kliknij polecenie Edytuj zasady wystawiania oświadczeń.
W oknie dialogowym Edytowanie zasad wystawiania oświadczeń w obszarze Reguły transformacji wystawiania kliknij Dodaj regułę, aby uruchomić kreatora reguł.
Na stronie Wybieranie szablonu reguły w obszarze Szablon reguły oświadczenia wybierz z listy pozycję Przekształć oświadczenie przychodzące , a następnie kliknij przycisk Dalej.
Na stronie Konfiguracja reguły w polu Nazwa reguły żądania, wpisz nazwę wyświetlaną dla tej reguły. W polu Typ oświadczenia przychodzącego wybierz typ oświadczenia na liście. W polu Typ oświadczenia wychodzącego wybierz typ oświadczenia na liście, a następnie wybierz jedną z następujących opcji, która zależy od wymagań organizacji:
Przekazywanie wszystkich wartości oświadczeń
Zastąp wartość oświadczenia przychodzącego inną wartością oświadczenia wychodzącego
Zastąp przychodzące twierdzenia dotyczące sufiksu e-mail nowym sufiksem e-mail
Kliknij przycisk Zakończ .
W oknie dialogowym Edytowanie reguł oświadczeń kliknij OK, aby zapisać regułę.
Uwaga
Jeśli konfigurujesz scenariusz dynamicznej kontroli dostępu, który używa oświadczeń wystawionych przez usługi AD FS, najpierw utwórz regułę przekształcania w ramach zaufania dostawcy oświadczeń, a w typie oświadczenia przychodzącego wpisz nazwę oświadczenia przychodzącego lub — jeśli opis oświadczenia został utworzony wcześniej — wybierz go z listy. Po drugie w polu Typ oświadczenia wychodzącego wybierz żądany adres URL oświadczenia, a następnie utwórz regułę przekształcania dla zaufania jednostki uzależnionej w celu wystawienia oświadczenia urządzenia.
Aby uzyskać więcej informacji na temat scenariuszy dynamicznej kontroli dostępu, zobacz Dynamiczny plan obsługi zawartości kontroli dostępu lub Używanie oświadczeń usług AD DS z usługami AD FS.
Aby utworzyć regułę przekształcania przychodzącego oświadczenia w relacji zaufania dostawców oświadczeń w systemie Windows Server 2016
W Menedżerze serwera kliknij Narzędzia, a następnie wybierz Zarządzanie AD FS.
W drzewie konsoli w obszarze USŁUGI AD FS kliknij pozycję Zaufania dostawcy oświadczeń.
Kliknij prawym przyciskiem myszy wybrane zaufanie, a następnie wybierz polecenie Edytuj reguły oświadczeń.
W oknie dialogowym Edytowanie reguł oświadczeń, w obszarze Reguły przekształcania akceptacji, kliknij Dodaj regułę, aby uruchomić kreatora reguł.
Na stronie Wybieranie szablonu reguły w obszarze Szablon reguły oświadczenia z listy wybierz pozycję Przekształć oświadczenie przychodzące, a następnie kliknij przycisk Dalej.
Na stronie Konfigurowanie reguły w sekcji Nazwa reguły roszczenia wpisz nazwę wyświetlaną dla tej reguły. W polu Typ oświadczenia przychodzącego wybierz typ oświadczenia na liście. W polu Typ oświadczenia wychodzącego wybierz typ oświadczenia na liście, a następnie wybierz jedną z następujących opcji, która zależy od wymagań organizacji:
Przejdź przez wszystkie wartości roszczeń
Zastąp wartość oświadczenia przychodzącego inną wartością oświadczenia wychodzącego
Zastąp przychodzące oświadczenia dotyczące sufiksu e-mail nowym sufiksem e-mail
Kliknij przycisk Zakończ .
W oknie dialogowym Edytowanie reguł oświadczeń kliknij OK, aby zapisać regułę.
Uwaga
Jeśli konfigurujesz scenariusz dynamicznej kontroli dostępu, który używa oświadczeń wystawionych przez usługi AD FS, najpierw utwórz regułę przekształcania na zaufaniu dostawcy oświadczeń, a w polu Typ oświadczenia przychodzącego wpisz nazwę oświadczenia przychodzącego lub, jeśli opis oświadczenia został utworzony wcześniej, wybierz go z listy. Po drugie w polu Typ oświadczenia wychodzącego wybierz żądany adres URL oświadczenia, a następnie utwórz regułę przekształcania dla zaufania jednostki uzależnionej w celu wystawienia oświadczenia urządzenia.
pl-PL: Aby uzyskać więcej informacji na temat scenariuszy dynamicznej kontroli dostępu, zobacz Przewodnik po treściach dotyczących dynamicznej kontroli dostępu lub Używanie oświadczeń AD DS z AD FS.
Aby utworzyć regułę do przekształcenia przychodzącego roszczenia w systemie Windows Server 2012 R2
W Menedżerze serwera kliknij pozycję Narzędzia, a następnie kliknij pozycję Zarządzanie usługami AD FS.
W drzewie konsoli w obszarze USŁUGI AD FS\Relacje zaufania kliknij pozycję Zaufania dostawcy oświadczeń lub zaufania jednostki uzależnionej, a następnie kliknij określone zaufanie na liście, w której chcesz utworzyć tę regułę.
Kliknij prawym przyciskiem myszy wybrane zaufanie, a następnie wybierz polecenie Edytuj reguły oświadczeń.
W oknie dialogowym Edytowanie reguł oświadczeń wybierz jedną z następujących kart, w zależności od zaufania, które edytujesz, oraz zestawu reguł, w którym chcesz utworzyć tę regułę, a następnie kliknij przycisk Dodaj regułę, aby uruchomić kreatora reguł skojarzonego z tym zestawem reguł.
Reguły transformacji akceptacji
Reguły przekształcenia wydań
Reguły uwierzytelnienia wydania
Zrzut ekranu reguł autoryzacji delegowania
Na stronie Wybieranie szablonu reguły pod Szablon reguły oświadczenia wybierz z listy pozycję Przekształć oświadczenie przychodzące, a następnie kliknij przycisk Dalej.
Na stronie Konfigurowanie reguły w obszarze Nazwa reguły oświadczenia wpisz nazwę wyświetlaną dla tej reguły. W polu Typ oświadczenia przychodzącego wybierz typ oświadczenia na liście. W polu Typ oświadczenia wychodzącego wybierz typ oświadczenia na liście, a następnie wybierz jedną z następujących opcji, która zależy od wymagań organizacji:
Przejdź przez wszystkie wartości roszczeń
Zastąp wartość oświadczenia przychodzącego inną wartością oświadczenia wychodzącego
Zastępowanie przychodzących sufiksów poczty e-mail nowym sufiksem
Uwaga
Jeśli konfigurujesz scenariusz dynamicznej kontroli dostępu, który używa oświadczeń wystawionych przez usługi AD FS, najpierw utwórz regułę przekształcania zaufania dostawcy oświadczeń, a w typie oświadczenia przychodzącego wpisz nazwę oświadczenia przychodzącego lub, jeśli opis oświadczenia został utworzony wcześniej, wybierz go z listy. Po drugie w polu Typ oświadczenia wychodzącego wybierz żądany adres URL oświadczenia, a następnie utwórz regułę przekształcania dla zaufania jednostki uzależnionej w celu wystawienia oświadczenia urządzenia.
Aby uzyskać więcej informacji na temat scenariuszy dynamicznej kontroli dostępu, zobacz Mapa zawartości Dynamicznej Kontroli Dostępu lub Używanie twierdzeń AD DS z AD FS.
Kliknij przycisk Finish (Zakończ).
W oknie dialogowym Edytowanie reguł oświadczeń kliknij OK, aby zapisać regułę.
Dodatkowe źródła
Lista kontrolna: tworzenie reguł oświadczeń dla zaufania jednostki uzależnionej
Lista kontrolna: tworzenie reguł oświadczeń dla zaufania dostawcy oświadczeń