Поделиться через

Создание правила для преобразования входящего утверждения

С помощью шаблона правила , преобразующего входящее утверждение в службах федерации Active Directory (AD FS), вы можете выбрать входящее утверждение, изменить его тип и значение. Например, этот шаблон правила можно использовать для создания правила, которое отправляет утверждение о роли с тем же значением, что и у входящего утверждения группы. Это правило также можно использовать для отправки утверждения группы со значением Покупатели при наличии входящего утверждения группы со значением Администраторы, либо для отправки только тех утверждений имени пользователя (UPN), которые заканчиваются на @fabrikam.

Вы можете использовать следующую процедуру, чтобы создать правило утверждения через оснастку управления AD FS.

Членство в группе Администраторыили эквивалентной на локальном компьютере является минимальным требованием для выполнения этой процедуры. Ознакомьтесь со сведениями об использовании соответствующих учетных записей и членства в группах в Группах по умолчанию на локальном и доменном уровнях.

Для создания правила, чтобы преобразовать входящее утверждение в доверие проверяющей стороны на Windows Server 2016

  1. В диспетчере серверов щелкните Средства, а затем выберите Управление AD FS.

  2. В дереве консоли в разделе AD FSщелкните доверенные стороны. снимок экрана, на котором показано, где выбрать доверительные отношения с доверяющей стороной при создании правила для преобразования входящего утверждения на доверяющую сторону в Windows Server 2016.

  3. Щелкните правой кнопкой мыши выбранный объект доверия и выберите Изменить политику выдачи утверждений. снимок экрана, на котором показано, где выбрать команду

  4. В диалоговом окне Редактирование политики выдачи утверждений в разделе Правила преобразования выдачи щелкните Добавить правило, чтобы запустить мастер правил. снимок экрана, на котором показано, где выбрать пункт

  5. На странице выбора шаблона правила в разделе шаблон правила для утверждениявыберите Преобразовать входящее утверждение из списка и нажмите Далее. снимок экрана, на котором показано, где выбрать преобразование входящего утверждения при создании правила для преобразования входящего утверждения доверия проверяющей стороны в Windows Server 2016.

  6. На странице Настройка Правила, в разделе название правила требования, введите отображаемое имя этого правила. В тип входящего запросавыберите тип запроса в списке. Выберите тип утверждения в исходящем утверждениииз списка, а затем выберите один из следующих вариантов в зависимости от требований вашей организации:

    • Перебрать все значения утверждений

    • Замените входящее значение утверждения другим значением исходящего утверждения

    • Замените входящие утверждения, связанные с суффиксом электронной почты, новым суффиксомНа скриншоте показано, где ввести имя правила при создании правила для преобразования входящего утверждения в доверии проверяющей стороны в Windows Server 2016.

  7. Нажмите кнопку Готово.

  8. В диалоговом окне Редактирование правил утверждений нажмите кнопку ОК, чтобы сохранить правило.

Примечание.

Если вы настраиваете сценарий динамического управления доступом, который использует утверждения AD FS, сначала создайте правило преобразования доверия поставщику утверждений и в поле "Тип входящего утверждения"введите имя для входящего утверждения или, если ранее было создано описание утверждения, выберите его из списка. Во-вторых, в выберите тип исходящего утверждения, нужный URL-адрес утверждения, а затем создайте правило преобразования для доверия принимающей стороны, чтобы выдать утверждение устройства.

Дополнительные сведения о сценариях динамического управления доступом см. в разделе Дорожная карта содержания о динамическом управлении доступом или Использование утверждений AD DS с AD FS.

Чтобы создать правило для преобразования входящего утверждения на доверие поставщика утверждений в Windows Server 2016

  1. В диспетчере серверов щелкните Средства, а затем выберите Управление AD FS.

  2. В дереве консоли в узле AD FSщелкните Доверенные поставщики утверждений. снимок экрана, на котором показано, где выбрать доверие поставщика утверждений при создании правила для преобразования входящего утверждения доверия поставщика утверждений в Windows Server 2016.

  3. Щелкните правой кнопкой мыши выбранную доверительную сторону, затем выберите Изменить правила утверждения. снимок экрана, на котором показано, где выбрать пункт

  4. В диалоговом окне Изменение правил утверждений в разделе Правила преобразования принятия щелкните Добавить правило, чтобы запустить мастер правил. снимок экрана, на котором показано, где выбрать пункт

  5. На странице выбор шаблона правила в разделе Шаблон правила утверждениявыберите Преобразовать входящее утверждение из списка и нажмите Далее. снимок экрана, на котором показано, где выбрать шаблон для преобразования входящего утверждения при создании правила на доверии поставщика утверждений в Windows Server 2016.

  6. На странице Настройка правила в поле Название правила утверждениявведите отображаемое имя этого правила. В разделе "Входящий тип претензии"выберите тип претензии из списка. В исходящий тип утверждениявыберите в списке тип утверждения, а затем выберите один из следующих вариантов, в зависимости от требований вашей организации:

    • Перебрать все значения утверждений

    • Замените входящее значение утверждения другим значением исходящего утверждения

    • Заменить утверждения с входящим суффиксом электронной почты новым суффиксом электронной почтыСнимок экрана, на котором показано, где ввести имя правила для преобразования входящего утверждения в доверии поставщика утверждений в Windows Server 2016.

  7. Нажмите кнопку Готово.

  8. В диалоговом окне Редактирование правил утверждений нажмите кнопку ОК, чтобы сохранить правило.

Примечание.

Если вы настраиваете сценарий динамического управления доступом, использующий утверждения AD FS, сначала создайте правило преобразования для доверия поставщика утверждений и в поле Тип входящего утверждениявведите имя входящего утверждения или, если ранее было создано описание утверждения, выберите его в списке. Во-вторых, в выберите нужный URL-адрес утверждения для исходящего утверждения, а затем создайте правило преобразования для доверительных отношений с проверяющей стороной, чтобы выдать утверждение устройства.

Дополнительные сведения о сценариях динамического управления доступом см. в дорожной карте контента для динамического управления доступом или в использовании утверждений AD DS сAD FS.

Создание правила для преобразования входящего утверждения в Windows Server 2012 R2

  1. В диспетчере серверов щелкните Средства, а затем щелкните Управление AD FS.

  2. В дереве консоли в разделе AD FS\Trust Relationshipsщелкните доверие поставщика утверждений или доверие полагающейся стороны, а затем выберите определенное доверие в списке, где вы хотите создать это правило.

  3. Щелкните правой кнопкой мыши выбранную доверительную сторону, затем выберите Изменить правила утверждения. снимок экрана, на котором показано, где выбрать пункт

  4. В диалоговом окне Редактирование правил утверждений выберите одну из следующих вкладок в зависимости от редактируемого доверия и набора правил, в котором вы хотите создать это правило. Затем щелкните Добавить правило, чтобы запустить мастер создания правил, связанный с этим набором.

    • правила преобразования акцепции

    • Правила преобразования выпуска

    • Правила авторизации выдачи

    • Правила авторизации делегированияСнимок экрана, на котором показано, где выбрать пункт

  5. На странице выбор шаблона правила в разделе Шаблон правила утверждениявыберите Преобразовать входящего утверждения из списка и нажмите кнопку Далее. снимок экрана, на котором показано, где выбрать шаблон преобразования входящего утверждения при создании правила для преобразования входящего утверждения в Windows Server 2012 R2.

  6. На странице Настройка правила в разделе Имя правила запросавведите отображаемое имя для этого правила. В тип входящих декларацийвыберите тип декларации в списке. В исходящий тип утверждениявыберите тип утверждения из списка, а затем выберите один из следующих вариантов, в зависимости от требований вашей организации:

    • Перебрать все значения утверждений

    • Замените входящее значение утверждения другим значением исходящего утверждения

    • Замените входящие суффиксы электронной почты новым суффиксом электронной почтысоздать правило

Примечание.

Если вы настраиваете сценарий динамического управления доступом, использующий утверждения AD FS, сначала создайте правило трансформации на доверии поставщику утверждений, и в поле 'Тип входящего утверждения' , введите имя входящего утверждения или, если ранее было создано описание утверждения, выберите его из списка. Во-вторых, в тип исходящего утверждениявыберите нужный URL-адрес утверждения, а затем создайте правило преобразования для доверительных отношений с проверяющей стороной, чтобы выдать утверждения для устройства.

Дополнительные сведения о сценариях динамического управления доступом см. в дорожной карте динамического управления доступом или использовании претензий AD DS сAD FS.

  1. Нажмите кнопку Готово.

  2. В диалоговом окне Редактирование правил утверждений нажмите кнопку ОК, чтобы сохранить правило.

Дополнительные ссылки

настройка правил утверждений

Контрольный список : Создание правил утверждений для доверия доверяющей стороны

Контрольный список: создание правил утверждений для Траста поставщика утверждений

Когда следует использовать правило утверждения авторизации

Роль утверждений

Роль правил утверждений