Поделиться через

Создайте правило для отправки утверждения о методе проверки подлинности

Для отправки утверждения метода проверки подлинности можно использовать шаблон правила отправки членства в группе или шаблон правила преобразования входящего утверждения. Доверяющая сторона может использовать утверждение о методе аутентификации для определения механизма входа, используемого пользователем для аутентификации и получения утверждений из служб федерации Active Directory (AD FS). Вы также можете использовать механизм обеспечения проверки подлинности в службах федерации Active Directory (AD FS) в Windows Server 2012 R2 в качестве входных данных для создания утверждений метода проверки подлинности для ситуаций, в которых проверяющая сторона хочет определить уровень доступа, основанный на входе с использованием смарт-карты. Например, разработчик может назначать различные уровни доступа федеративным пользователям приложения доверяющей стороны. Уровни доступа основаны на том, вступают ли пользователи в систему с помощью имени пользователя и учетных данных пароля, а не смарт-карт.

В зависимости от требований организации используйте одну из следующих процедур:

  • Создайте это правило, используя шаблон правила Передать членство в группе как утверждения. Вы можете использовать этот шаблон правила, когда хотите, чтобы группа, указанная в этом шаблоне, в конечном итоге определяла, какое утверждение метода аутентификации будет выдано.

  • Создайте это правило, используя шаблон правила преобразования входящего утверждения. Этот шаблон правила можно использовать, если требуется изменить существующий метод проверки подлинности на новый, который совместим с продуктом, не распознающим стандартные утверждения проверки подлинности AD FS.

Создание с помощью шаблона правила "Отправить членство в группах в качестве утверждений" в доверии проверяющей стороны в Windows Server 2016

  1. В диспетчере серверов щелкните Средства, а затем выберите Управление AD FS.

  2. В дереве консоли в разделе AD FSщелкните доверенные стороны. снимок экрана, на котором показано, где выбрать доверие доверяющей стороны в дереве консоли при создании правила с помощью шаблона правила отправки членства в группе в виде утверждений.

  3. Щелкните правой кнопкой мыши выбранный объект доверия и выберите Изменить политику выдачи утверждений. снимок экрана, на котором показано, где выбрать пункт меню

  4. В диалоговом окне Редактирование политики выдачи утверждений в разделе Правила преобразования выдачи щелкните Добавить правило, чтобы запустить мастер правил. Снимок экрана, показывающий, как добавить правило при создании правила с использованием шаблона правила

  5. На странице Выбор шаблона правила в разделе шаблона правила утверждениявыберите Отправить членство в группе в качестве утверждения из списка и нажмите кнопку Далее. снимок экрана, на котором показано, где выбрать шаблон

  6. На странице Настройка правила введите название правила заявки.

  7. Щелкните Обзор, выберите группу, участники которой должны получать это утверждение метода проверки подлинности, а затем нажмите ОК.

  8. В типе утверждения "Исходящие"выберите метод проверки подлинности в списке.

  9. В значение исходящего утверждениявведите одно из значений универсального идентификатора ресурса (URI) по умолчанию в следующей таблице в зависимости от предпочтительного метода проверки подлинности, нажмите кнопку Готово, а затем нажмите кнопку ОК, чтобы сохранить правило.

Фактический метод проверки подлинности Соответствующий универсальный код ресурса (URI)
Проверка подлинности на основе имени пользователя и пароля https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Проверка подлинности Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Взаимная аутентификация на транспортном уровне безопасности (TLS), использующая сертификаты X.509. https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Проверка подлинности на основе X.509, которая не использует TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Скриншот, показывающий, где выбрать «Готово» при создании правила с использованием шаблона правила «Отправка членства в группах в качестве утверждений» в Windows Server 2016.

Создать с использованием шаблона правила "Отправка членства группы в виде утверждений" в отношении доверия поставщика утверждений в Windows Server 2016

  1. В диспетчере серверов щелкните Средства, а затем выберите Управление AD FS.

  2. В дереве консоли в узле AD FSщелкните Доверенные поставщики утверждений. Снимок экрана, на котором показано, где выбрать доверительные отношения с поставщиками утверждений при создании правила с помощью шаблона правила

  3. Щелкните правой кнопкой мыши выбранную доверительную сторону, затем выберите Изменить правила утверждения. Снимок экрана, на котором показано, где выбрать пункт

  4. В диалоговом окне Изменение правил утверждений в разделе Правила преобразования принятия щелкните Добавить правило, чтобы запустить мастер правил. Снимок экрана, на котором показано, где выбрать кнопку

  5. На странице Выбор шаблона правила в разделе шаблона правила утверждениявыберите Отправить членство в группе в качестве утверждения из списка и нажмите кнопку Далее. снимок экрана, на котором показано, где выбрать шаблон 'Отправить членство в группе как утверждение' при создании правила в Windows Server 2016.

  6. На странице Настройка правила введите имя правила утверждения.

  7. Щелкните Обзор, выберите группу, участники которой должны получать это утверждение метода проверки подлинности, а затем нажмите OK.

  8. В Исходящий тип утверждениявыберите метод проверки подлинности в списке.

  9. В значение исходящего требованиявведите одно из значений универсального идентификатора ресурса (URI) по умолчанию из следующей таблицы, в зависимости от предпочтительного метода проверки подлинности. Нажмите Готово, а затем нажмите ОК, чтобы сохранить правило.

Фактический метод проверки подлинности Соответствующий универсальный код ресурса (URI)
Проверка подлинности на основе имени пользователя и пароля https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Проверка подлинности Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Взаимная аутентификация с использованием протокола Transport Layer Security (TLS) и сертификатов X.509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Проверка подлинности на основе X.509, которая не использует TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

снимок экрана, на котором показано, где выбрать

Создание этого правила с помощью шаблона правила преобразования входящего утверждения для доверительной стороны в Windows Server 2016

  1. В диспетчере серверов щелкните Средства, а затем выберите Управление AD FS.

  2. В дереве консоли в разделе AD FSщелкните доверенные стороны. Снимок экрана, показывающий, где выбрать доверие принимающей стороны в дереве консоли при создании правила с использованием шаблона правила преобразования входящего утверждения.

  3. Щелкните правой кнопкой мыши выбранный объект доверия и выберите Изменить политику выдачи утверждений. Скриншот, на котором показано, где выбрать редактирование политики выдачи утверждений при создании правила с использованием шаблона правила преобразования входящих утверждений.

  4. В диалоговом окне Редактирование политики выдачи утверждений в разделе Правила преобразования выдачи щелкните Добавить правило, чтобы запустить мастер правил. снимок экрана, на котором показано, где выбрать пункт

  5. На странице выбора шаблона правила в разделе шаблон правила для утверждениявыберите Преобразовать входящее утверждение из списка и нажмите Далее. снимок экрана, на котором показано, где выбрать шаблон преобразования входящего утверждения при создании правила.

  6. На странице "Настройка правила" введите название правила авторизации.

  7. В типе входящего утверждениявыберите метод проверки подлинности в списке.

  8. В типе "Исходящие" утверждениявыберите метод проверки подлинности в списке.

  9. Выберите Замените входящее значение утверждения другим значением исходящего утверждения, а затем выполните следующие действия:

    1. В значение входящего утверждениявведите одно из следующих значений URI, основанных на фактическом URI метода проверки подлинности, который использовался первоначально, нажмите кнопку Готовои нажмите кнопку ОК, чтобы сохранить правило.

    2. В значение исходящего утверждениявведите одно из значений URI по умолчанию, указанных в следующей таблице, в зависимости от вашего нового предпочтительного метода аутентификации, затем нажмите Готово, а после нажмите ОК, чтобы сохранить правило.

Фактический метод проверки подлинности Соответствующий универсальный код ресурса (URI)
Проверка подлинности на основе имени пользователя и пароля https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Проверка подлинности Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Взаимная проверка подлинности TLS, использующая сертификаты X.509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Проверка подлинности на основе X.509, которая не использует TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

снимок экрана, на котором показано, где выбрать

Примечание.

Другие значения URI можно использовать в дополнение к значениям в таблице. Значения URI, отображаемые в предыдущей таблице, отражают URI, которые проверяющая сторона принимает по умолчанию.

Для создания этого правила с использованием шаблона трансформации правила для входящих утверждений в доверительных отношениях поставщика утверждений в Windows Server 2016.

  1. В диспетчере серверов щелкните Средства, а затем выберите Управление AD FS.

  2. В дереве консоли в узле AD FSщелкните Доверенные поставщики утверждений. снимок экрана, на котором показано, где выбрать доверие поставщиков утверждений в дереве консоли при создании правила с помощью шаблона правила входящего утверждения в Windows Server 2016.

  3. Щелкните правой кнопкой мыши выбранную доверительную сторону, затем выберите Изменить правила утверждения. снимок экрана, на котором показано, где выбрать пункт

  4. В диалоговом окне Изменение правил утверждений в разделе Правила преобразования принятия щелкните Добавить правило, чтобы запустить мастер правил. Снимок экрана, на котором показано, где выбрать пункт

  5. На странице выбора шаблона правила в разделе шаблон правила для утверждениявыберите Преобразовать входящее утверждение из списка и нажмите Далее. снимок экрана, на котором показано, где выбрать шаблон преобразования входящего утверждения при создании правила в Windows Server 2016.

  6. На странице Настройка правила введите имя правила утверждения.

  7. В типе входящего утвержденияв списке выберите метод проверки подлинности.

  8. В исходящий тип утверждениявыберите метод проверки подлинности в списке.

  9. Выберите Замените входящее значение утверждения другим значением исходящего утверждения, а затем выполните следующие действия:

    1. В значение входящего утверждениявведите одно из следующих значений URI, основанных на фактическом URI метода проверки подлинности, который использовался первоначально, нажмите кнопку Готовои нажмите кнопку ОК для сохранения правила.

    2. В значение исходящего утверждениявведите одно из значений URI по умолчанию из следующей таблицы, которое зависит от вашего нового предпочтительного метода проверки подлинности, нажмите Готово, а затем нажмите кнопку ОК, чтобы сохранить правило.

Фактический метод проверки подлинности Соответствующий универсальный код ресурса (URI)
Проверка подлинности на основе имени пользователя и пароля https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Проверка подлинности Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Взаимная проверка подлинности TLS, использующая сертификаты X.509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Проверка подлинности на основе X.509, которая не использует TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

снимок экрана, на котором показано, где выбрать

Создание этого правила с помощью шаблона правила "Отправить членство в группе в качестве утверждений" в Windows Server 2012 R2

  1. В диспетчере серверов щелкните Средства, а затем выберите Управление AD FS.

  2. В дереве консоли в разделе AD FS\Trust Relationshipsщелкните доверие поставщика утверждений или доверие полагающейся стороны, а затем выберите определенное доверие в списке, где вы хотите создать это правило.

  3. Щелкните правой кнопкой мыши выбранную доверительную сторону, затем выберите Изменить правила утверждения. снимок экрана, на котором показано, где выбрать пункт

  4. В диалоговом окне Редактирование правил утверждений выберите одну из следующих вкладок в зависимости от доверия, которое вы редактируете, и набора правил, в котором вы хотите создать это правило, а затем щелкните Добавить правило, чтобы запустить мастер правил, связанный с этим набором правил.

    • правила преобразования акцепции

    • Правила преобразования выпуска

    • Правила авторизации выдачи

    • Правило авторизации делегированияСкриншот, показывающий, где выбрать

  5. На странице Выбор шаблона правила в разделе Шаблон правила утверждениявыберите Отправить членство в группе в качестве утверждения в списке, а затем нажмите Далее. снимок экрана, на котором показано, где выбрать шаблон

  6. На странице Настройка правила введите имя правила требований.

  7. Щелкните Обзор, выберите группу, участники которой должны получать это утверждение метода проверки подлинности, а затем нажмите ОК.

  8. В исходящем типе утверждениявыберите метод проверки подлинности в списке.

  9. В значение исходящего утверждениявведите одно из значений универсального идентификатора ресурса (URI) по умолчанию в следующей таблице в зависимости от предпочтительного метода проверки подлинности, нажмите кнопку Готово, а затем нажмите кнопку ОК, чтобы сохранить правило.

Фактический метод проверки подлинности Соответствующий универсальный код ресурса (URI)
Проверка подлинности на основе имени пользователя и пароля https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Проверка подлинности Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Взаимная проверка подлинности транспортного уровня (TLS), использующая сертификаты X.509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Проверка подлинности на основе X.509, которая не использует TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

снимок экрана, на котором показано, где выбрать

Примечание.

Другие значения URI можно использовать в дополнение к значениям в таблице. Значения URI, отображаемые в предыдущей таблице, отражают URI, которые проверяющая сторона принимает по умолчанию.

Чтобы создать это правило, используя шаблон правила преобразования входящего утверждения в Windows Server 2012 R2

  1. В диспетчере серверов щелкните Средства, а затем щелкните Управление AD FS.

  2. В дереве консоли в разделе AD FS\Trust Relationshipsщелкните доверие поставщика утверждений или доверие полагающейся стороны, а затем выберите определенное доверие в списке, где вы хотите создать это правило.

  3. Щелкните правой кнопкой мыши выбранную доверительную сторону, затем выберите Изменить правила утверждения. снимок экрана, на котором показано, где выбрать пункт

  4. В диалоговом окне Редактирование правил утверждений выберите одну из следующих вкладок в зависимости от редактируемого доверия и набора правил, в котором вы хотите создать это правило. Затем щелкните Добавить правило, чтобы запустить мастер создания правил, связанный с этим набором.

    • правила преобразования акцепции

    • Правила преобразования выпуска

    • Правила авторизации выдачи

    • Правила авторизации делегированияснимок экрана, на котором показано, где выбрать

  5. На странице выбора шаблона правила в разделе шаблон правила для утверждениявыберите Преобразовать входящее утверждение из списка и нажмите Далее. снимок экрана, на котором показано, где выбрать шаблон преобразования входящего утверждения при создании правила в Windows Server 2012 R2.

  6. На странице Настройка правила введите имя правила требования.

  7. В типе входящего утверждениявыберите в списке метод проверки подлинности.

  8. В Исходящий тип утверждениявыберите в списке метод аутентификации.

  9. Выберите Замените входящее значение утверждения другим значением исходящего утверждения, а затем выполните следующие действия:

    1. В значение входящего утверждениявведите одно из следующих значений URI, основанных на фактическом URI метода проверки подлинности, который использовался первоначально, нажмите кнопку Готовои нажмите кнопку ОК, чтобы сохранить правило.

    2. В значение исходящего утверждениявведите одно из значений URI по умолчанию в следующей таблице, которое зависит от выбранного метода проверки подлинности, нажмите кнопку Готово, а затем нажмите кнопку ОК, чтобы сохранить правило.

Фактический метод проверки подлинности Соответствующий универсальный код ресурса (URI)
Проверка подлинности на основе имени пользователя и пароля https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Проверка подлинности Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Взаимная проверка подлинности TLS, использующая сертификаты X.509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Проверка подлинности на основе X.509, которая не использует TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

создать правило

Примечание.

Другие значения URI можно использовать в дополнение к значениям в таблице. Значения URI, отображаемые в предыдущей таблице, отражают URI, которые проверяющая сторона принимает по умолчанию.

Дополнительные ссылки

настройка правил утверждений

Контрольный список : Создание правил утверждений для доверия доверяющей стороны

Контрольный список: создание правил утверждений для Траста поставщика утверждений

Когда следует использовать правило утверждения авторизации

Роль утверждений

Роль правил утверждений