Поделиться через

Создание правила для преобразования входящего утверждения

С помощью шаблона правила преобразования входящего утверждения в службы федерации Active Directory (AD FS) (AD FS) можно выбрать входящее утверждение, изменить тип утверждения и изменить его значение утверждения. Например, этот шаблон правила можно использовать для создания правила, отправляющего утверждение роли с тем же значением утверждения входящей группы. Это правило также можно использовать для отправки утверждения группы с значением утверждения покупателей, если есть входящее утверждение группы со значением Администратор, или вы можете отправлять только утверждения субъекта-пользователя (UPN), которые заканчиваются@fabrikam.

Чтобы создать правило утверждения с оснасткой управления AD FS, можно использовать следующую процедуру.

Членство в Администратор istrators или эквивалентном на локальном компьютере является минимальным требованием для выполнения этой процедуры. Дополнительные сведения об использовании соответствующих учетных записей и членстве в группах см. в статье Local and Domain Default Groups (Локальные и доменные группы по умолчанию).

Создание правила для преобразования входящего утверждения в доверии проверяющей стороны в Windows Server 2016

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В дереве консоли в разделе AD FS щелкните "Доверие проверяющей стороны". Screenshot that shows where to select Relying Party Trusts when you create a rule to transform an incoming claim on a Relying Party Trust in Windows Server 2016.

  3. Щелкните правой кнопкой мыши выбранное доверие и выберите команду "Изменить политику выдачи утверждений". Screenshot that shows where to select Edit Claim Issuance Policy when you create a rule to transform an incoming claim on a Relying Party Trust in Windows Server 2016.

  4. В диалоговом окне "Изменить политику выдачи утверждений" в разделе "Правила преобразования выдачи" нажмите кнопку "Добавить правило", чтобы запустить мастер правил. Screenshot that shows where to select Add Rule when you create a rule to transform an incoming claim on a Relying Party Trust in Windows Server 2016.

  5. На странице "Выбор шаблона правила" в разделе "Правило утверждения" выберите "Преобразовать входящее утверждение" из списка и нажмите кнопку "Далее". Screenshot that shows where to select the Transform an Incoming Claim when you create a rule to transform an incoming claim on a Relying Party Trust in Windows Server 2016.

  6. На странице "Настройка правила" в поле "Имя правила утверждения" введите отображаемое имя для этого правила. В типе входящего утверждения выберите тип утверждения в списке. В типе исходящего утверждения выберите тип утверждения в списке, а затем выберите один из следующих вариантов, которые зависят от требований вашей организации:

    • Сквозь все значения утверждений

    • Замените входящее значение утверждения другим исходящим значением утверждения.

    • Замените входящие утверждения суффикса электронной почты новым суффиксом электронной почтыScreenshot that shows where to type the claim rule name when you create a rule to transform an incoming claim on a Relying Party Trust in Windows Server 2016.

  7. Нажмите кнопку Готово.

  8. В диалоговом окне "Изменение правил утверждений" нажмите кнопку "ОК", чтобы сохранить правило.

Примечание.

Если вы настраиваете сценарий динамической контроль доступа, использующий утверждения, выданные AD FS, сначала создайте правило преобразования для доверия поставщика утверждений и введите имя входящего утверждения или, если ранее было создано описание утверждения, выберите его в списке. Во-вторых, в типе исходящего утверждения выберите нужный URL-адрес утверждения, а затем создайте правило преобразования для доверия проверяющей стороны для выдачи утверждения устройства.

Дополнительные сведения о сценариях динамического контроль доступа см. в статье "Схема динамического контроль доступа содержимого" или использование утверждений AD DS с AD FS.

Создание правила для преобразования входящего утверждения доверия поставщика утверждений в Windows Server 2016

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В дереве консоли в разделе AD FS щелкните "Отношения доверия поставщиков утверждений". Screenshot that shows where to select Claims Provider Trusts when you create a rule to transform an incoming claim on a Claims Provider Trust in Windows Server 2016.

  3. Щелкните правой кнопкой мыши выбранное доверие и выберите команду "Изменить правила утверждения". Screenshot that shows where to select Edit Claim Rules when you create a rule to transform an incoming claim on a Claims Provider Trust in Windows Server 2016.

  4. В диалоговом окне "Изменение правил утверждений" в разделе "Правила преобразования принятия" нажмите кнопку "Добавить правило", чтобы запустить мастер правил. Screenshot that shows where to select Add Rule when you create a rule to transform an incoming claim on a Claims Provider Trust in Windows Server 2016.

  5. На странице "Выбор шаблона правила" в разделе "Правило утверждения" выберите "Преобразовать входящее утверждение" из списка и нажмите кнопку "Далее". Screenshot that shows where to select the Transform an Incoming Claim template when you create a rule to transform an incoming claim on a Claims Provider Trust in Windows Server 2016.

  6. На странице "Настройка правила" в поле "Имя правила утверждения" введите отображаемое имя для этого правила. В типе входящего утверждения выберите тип утверждения в списке. В типе исходящего утверждения выберите тип утверждения в списке, а затем выберите один из следующих вариантов, которые зависят от требований вашей организации:

    • Сквозь все значения утверждений

    • Замените входящее значение утверждения другим исходящим значением утверждения.

    • Замените входящие утверждения суффикса электронной почты новым суффиксом электронной почтыScreenshot that shows where to type the claim rule name when you create a rule to transform an incoming claim on a Claims Provider Trust in Windows Server 2016.

  7. Нажмите кнопку Готово.

  8. В диалоговом окне "Изменение правил утверждений" нажмите кнопку "ОК", чтобы сохранить правило.

Примечание.

Если вы настраиваете сценарий динамической контроль доступа, использующий утверждения, выданные AD FS, сначала создайте правило преобразования для доверия поставщика утверждений и введите имя входящего утверждения или, если ранее было создано описание утверждения, выберите его в списке. Во-вторых, в типе исходящего утверждения выберите нужный URL-адрес утверждения, а затем создайте правило преобразования для доверия проверяющей стороны для выдачи утверждения устройства.

Дополнительные сведения о сценариях динамического контроль доступа см. в статье "Схема динамического контроль доступа содержимого" или использование утверждений AD DS с AD FS.

Создание правила для преобразования входящего утверждения в Windows Server 2012 R2

  1. В диспетчер сервера щелкните "Сервис" и щелкните "Управление AD FS".

  2. В дереве консоли в разделе "Отношения доверия ad FS\Trusts" щелкните " Доверие поставщика утверждений" или "Доверие проверяющей стороны", а затем щелкните определенное доверие в списке, где вы хотите создать это правило.

  3. Щелкните правой кнопкой мыши выбранное доверие и выберите команду "Изменить правила утверждения". Screenshot that shows where to select Edit Claim Rules when you create a rule in Windows Server 2012 R2.

  4. В диалоговом окне "Изменить правила утверждений" выберите одну из следующих вкладок, которые зависят от доверия, в котором вы редактируете и в каком наборе правил нужно создать это правило, а затем нажмите кнопку "Добавить правило", чтобы запустить мастер правил, связанный с этим набором правил:

    • Правила преобразования приемки

    • Правила преобразования выпуска

    • Правила авторизации выпуска

    • Правила авторизации делегированияScreenshot that shows where to select Edit Claim Rules when you create a rule to transform an incoming claim in Windows Server 2012 R2.

  5. На странице "Выбор шаблона правила" в разделе "Правило утверждения" выберите "Преобразовать входящее утверждение" из списка и нажмите кнопку "Далее". Screenshot that shows where to select the Transform an Incoming Claim template when you create a rule to transform an incoming claim in Windows Server 2012 R2.

  6. На странице "Настройка правила" в поле "Имя правила утверждения" введите отображаемое имя для этого правила. В типе входящего утверждения выберите тип утверждения в списке. В типе исходящего утверждения выберите тип утверждения в списке, а затем выберите один из следующих вариантов, которые зависят от требований вашей организации:

    • Сквозь все значения утверждений

    • Замените входящее значение утверждения другим исходящим значением утверждения.

    • Замените входящие утверждения суффикса электронной почты новым суффиксом электронной почтыcreate rule

Примечание.

Если вы настраиваете сценарий динамической контроль доступа, использующий утверждения, выданные AD FS, сначала создайте правило преобразования для доверия поставщика утверждений и введите имя входящего утверждения или, если ранее было создано описание утверждения, выберите его в списке. Во-вторых, в типе исходящего утверждения выберите нужный URL-адрес утверждения, а затем создайте правило преобразования для доверия проверяющей стороны для выдачи утверждения устройства.

Дополнительные сведения о сценариях динамического контроль доступа см. в статье "Схема динамического контроль доступа содержимого" или использование утверждений AD DS с AD FS.

  1. Нажмите кнопку Готово.

  2. В диалоговом окне "Изменение правил утверждений" нажмите кнопку "ОК", чтобы сохранить правило.

Дополнительная справка

Настройка правил для утверждения

Контрольный список. Создание правил утверждений для доверия проверяющей стороны

Контрольный список. Создание правил утверждений для доверия поставщика утверждений

Когда следует использовать правило утверждения авторизации

Роль утверждений

Роль правил утверждений