建立規則傳送驗證方法相容宣告

發行項
02/13/2024
適用於:

✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

您可以使用 [傳送群組成員資格作為宣告] 規則範本或 [轉換傳入宣告] 規則範本來傳送驗證方法宣告。信賴憑證者可以使用驗證方法宣告，來確定使用者用來驗證並從 Active Directory 同盟服務 (AD FS) 取得宣告的登入機制。您也可以使用 Windows Server 2012 R2 中 Active Directory 同盟服務 (AD FS) 的驗證機制保證功能作為輸入，針對下列情況產生驗證方法宣告：信賴憑證者想要確定以智慧卡登入為基礎的存取層級。例如，開發人員可以將不同層級的存取權指派給信賴憑證者應用程式的同盟使用者。存取層級基於使用者是否使用其使用者名稱和密碼認證登入，而不是其智慧卡。

根據貴組織的需求，使用下列其中一個程序：

使用 [傳送群組成員資格作為宣告] 規則範本來建立此規則 - 當您想要在此規則範本中指定的群組最終確定要發出的驗證方法宣告時，您可以使用此範本。
使用 [轉換傳入宣告] 規則範本來建立此規則 - 當您想要將現有的驗證方法變更為新的驗證方法時，您可以使用此規則範本，而新的驗證方式使用了無法辨識標準 AD FS 驗證方法宣告的產品。

在 Windows Server 2016 的信賴憑證者信任上，使用 [傳送群組成員資格作為宣告] 規則範本進行建立

在 [伺服器管理員] 中，按一下 [工具]，然後選取 [AD FS 管理]。
在主控台樹狀目錄的 [AD FS] 下，按一下 [信賴憑證者信任]。
以滑鼠右鍵按一下選取的信任，然後按一下 [編輯宣告發行原則]。
在 [編輯宣告發行原則] 對話方塊的 [發行轉換規則] 下，按一下 [新增規則] 以啟動規則精靈。
在 [選取規則範本] 頁面的 [宣告規則範本] 下，從清單中選取 [傳送群組成員資格作為宣告]，然後按 [下一步]。
在 [設定規則] 頁面上，輸入宣告規則名稱。
按一下 [瀏覽]，選取其成員應該接收此驗證方法宣告的群組，然後按一下 [確定]。
在 [傳出宣告類型] 中，選取清單中的 [驗證方法]。
在 [傳出宣告值] 中，根據您偏好的驗證方法，輸入下表中的其中一個預設統一資源識別項 (URI) 值、按一下 [完成]，然後按一下 [確定] 以儲存規則。

實際驗證方法	對應的 URI
使用者名稱和密碼驗證	`https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password`
Windows 驗證	`https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows`
使用 X.509 憑證的傳輸層安全性 (TLS) 相互驗證	`https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient`
不使用 TLS 的 X.509 型驗證	`https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509`

Screenshot that shows where to select Finish when you create a rule by using the Send Group Membership as Claims rule template in Windows Server 2016.

在 Windows Server 2016 的宣告提供者信任上，使用 [傳送群組成員資格作為宣告] 規則範本進行建立

在 [伺服器管理員] 中，按一下 [工具]，然後選取 [AD FS 管理]。
在主控台樹狀目錄的 [AD FS] 下，按一下 [宣告提供者信任]。
以滑鼠右鍵按一下選取的信任，然後按一下 [編輯宣告規則]。
在 [編輯宣告規則] 對話方塊的 [接受轉換規則] 下，按一下 [新增規則] 以啟動規則精靈。
在 [選取規則範本] 頁面的 [宣告規則範本] 下，從清單中選取 [傳送群組成員資格作為宣告]，然後按 [下一步]。
在 [設定規則] 頁面上，輸入宣告規則名稱。
按一下 [瀏覽]，選取其成員應該接收此驗證方法宣告的群組，然後按一下 [確定]。
在 [傳出宣告類型] 中，選取清單中的 [驗證方法]。
在 [傳出宣告值] 中，根據您偏好的驗證方法，輸入下表中的其中一個預設統一資源識別項 (URI) 值、按一下 [完成]，然後按一下 [確定] 以儲存規則。

實際驗證方法	對應的 URI
使用者名稱和密碼驗證	`https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password`
Windows 驗證	`https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows`
使用 X.509 憑證的傳輸層安全性 (TLS) 相互驗證	`https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient`
不使用 TLS 的 X.509 型驗證	`https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509`

Screenshot that shows where to select Finish when you create a rule by using the Send Group Membership as Claims rule template in Windows Server 2016.

在 Windows Server 2016 的信賴憑證者信任上，使用 [轉換傳入宣告] 規則範本來建立此規則

在 [伺服器管理員] 中，按一下 [工具]，然後選取 [AD FS 管理]。
在主控台樹狀目錄的 [AD FS] 下，按一下 [信賴憑證者信任]。
以滑鼠右鍵按一下選取的信任，然後按一下 [編輯宣告發行原則]。
在 [編輯宣告發行原則] 對話方塊的 [發行轉換規則] 底下，按一下 [新增規則] 以啟動規則精靈。
在 [選取規則範本] 頁面的 [宣告規則範本] 下，從清單中選取 [轉換傳入宣告]，然後按 [下一步]。
在 [設定規則] 頁面上，輸入宣告規則名稱。
在 [傳入宣告類型] 中，選取清單中的 [驗證方法]。
在 [傳出宣告類型] 中，選取清單中的 [驗證方法]。
選取 [以不同的傳出宣告值取代傳入宣告值]，然後執行下列動作：
1. 在 [連入宣告值] 中，輸入下列其中一個 URI 值 (以原先使用的實際驗證方法 URI 為基礎)、按一下[完成]，然後按一下 [確定] 以儲存規則。
2. 在 [傳出宣告值] 中，根據新的偏好驗證方法選擇，輸入下表中的其中一個預設 URI 值、按一下 [完成]，然後按一下 [確定] 以儲存規則。

實際驗證方法	對應的 URI
使用者名稱和密碼驗證	`https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password`
Windows 驗證	`https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows`
使用 X.509 憑證的 TLS 相互驗證	`https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient`
不使用 TLS 的 X.509 型驗證	`https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509`

Screenshot that shows where to select Finish when you create a rule by using the transform an incoming claim rule template.

注意

除了資料表中的值之外，還可以使用其他 URI 值。上表所顯示的 URI 值會反映信賴憑證者預設接受的 URI。

在 Windows Server 2016 的宣告提供者信任上，使用 [轉換傳入宣告] 規則範本來建立此規則

在 [伺服器管理員] 中，按一下 [工具]，然後選取 [AD FS 管理]。
在主控台樹狀目錄的 [AD FS] 下，按一下 [宣告提供者信任]。
以滑鼠右鍵按一下選取的信任，然後按一下 [編輯宣告規則]。
在 [編輯宣告規則] 對話方塊的 [接受轉換規則] 底下，按一下 [新增規則] 以啟動規則精靈。
在 [選取規則範本] 頁面的 [宣告規則範本] 下，從清單中選取 [轉換傳入宣告]，然後按 [下一步]。
在 [設定規則] 頁面上，輸入宣告規則名稱。
在 [傳入宣告類型] 中，選取清單中的 [驗證方法]。
在 [傳出宣告類型] 中，選取清單中的 [驗證方法]。
選取 [以不同的傳出宣告值取代傳入宣告值]，然後執行下列動作：
1. 在 [連入宣告值] 中，輸入下列其中一個 URI 值 (以原先使用的實際驗證方法 URI 為基礎)、按一下[完成]，然後按一下 [確定] 以儲存規則。
2. 在 [傳出宣告值] 中，根據新的偏好驗證方法選擇，輸入下表中的其中一個預設 URI 值、按一下 [完成]，然後按一下 [確定] 以儲存規則。

實際驗證方法	對應的 URI
使用者名稱和密碼驗證	`https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password`
Windows 驗證	`https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows`
使用 X.509 憑證的 TLS 相互驗證	`https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient`
不使用 TLS 的 X.509 型驗證	`https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509`

Screenshot that shows where to select Finish when you create a rule by using the transform an incoming claim rule template in Windows Server 2016.

在 Windows Server 2012 R2 中，使用 [傳送群組成員資格作為宣告] 規則範本來建立此規則

在 [伺服器管理員] 中，按一下 [工具]，然後選取 [AD FS 管理]。
在主控台樹狀目錄的 [AD FS\信任關係] 下，按一下 [宣告提供者信任] 或 [信賴憑證者信任]，然後按一下清單中您要在其中建立此規則的特定信任。
以滑鼠右鍵按一下選取的信任，然後按一下 [編輯宣告規則]。
在 [編輯宣告規則] 對話方塊中，根據您要編輯的信任，以及您要在其中建立此規則的規則集，選取下列其中一個索引標籤，然後按一下 [新增規則] 以啟動與該規則集相關聯的規則精靈：
- 接受轉換規則
- 發行轉換規則
- 發行授權規則
- 委派授權規則
在 [選取規則範本] 頁面的 [宣告規則範本] 下，從清單中選取 [傳送群組成員資格作為宣告]，然後按 [下一步]。
在 [設定規則] 頁面上，輸入宣告規則名稱。
按一下 [瀏覽]，選取其成員應該接收此驗證方法宣告的群組，然後按一下 [確定]。
在 [傳出宣告類型] 中，選取清單中的 [驗證方法]。
在 [傳出宣告值] 中，根據您偏好的驗證方法，輸入下表中的其中一個預設統一資源識別項 (URI) 值、按一下 [完成]，然後按一下 [確定] 以儲存規則。

實際驗證方法	對應的 URI
使用者名稱和密碼驗證	`https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password`
Windows 驗證	`https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows`
使用 X.509 憑證的傳輸層安全性 (TLS) 相互驗證	`https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient`
不使用 TLS 的 X.509 型驗證	`https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509`

Screenshot that shows where to select Finish when you create a rule by using the Send Group Membership as Claims rule template.

注意

除了資料表中的值之外，還可以使用其他 URI 值。上表所顯示的 URI 值會反映信賴憑證者預設接受的 URI。

在 Windows Server 2012 R2 中，使用 [轉換傳入宣告] 規則範本來建立此規則

在 [伺服器管理員] 中，按一下 [工具]，然後按一下 [AD FS 管理]。
在主控台樹狀目錄的 [AD FS\信任關係] 下，按一下 [宣告提供者信任] 或 [信賴憑證者信任]，然後按一下清單中您要在其中建立此規則的特定信任。
以滑鼠右鍵按一下選取的信任，然後按一下 [編輯宣告規則]。
在 [編輯宣告規則] 對話方塊中，根據您要編輯的信任，以及您要在其中建立此規則的規則集，選取下列其中一個索引標籤，然後按一下 [新增規則] 以啟動與該規則集相關聯的規則精靈：
- 接受轉換規則
- 發行轉換規則
- 發行授權規則
- 委派授權規則
在 [選取規則範本] 頁面的 [宣告規則範本] 下，從清單中選取 [轉換傳入宣告]，然後按 [下一步]。
在 [設定規則] 頁面上，輸入宣告規則名稱。
在 [傳入宣告類型] 中，選取清單中的 [驗證方法]。
在 [傳出宣告類型] 中，選取清單中的 [驗證方法]。
選取 [以不同的傳出宣告值取代傳入宣告值]，然後執行下列動作：
1. 在 [連入宣告值] 中，輸入下列其中一個 URI 值 (以原先使用的實際驗證方法 URI 為基礎)、按一下[完成]，然後按一下 [確定] 以儲存規則。
2. 在 [傳出宣告值] 中，根據新的偏好驗證方法選擇，輸入下表中的其中一個預設 URI 值、按一下 [完成]，然後按一下 [確定] 以儲存規則。

實際驗證方法	對應的 URI
使用者名稱和密碼驗證	`https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password`
Windows 驗證	`https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows`
使用 X.509 憑證的 TLS 相互驗證	`https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient`
不使用 TLS 的 X.509 型驗證	`https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509`