建立規則以將LDAP屬性傳送為宣告
您可以在 Active Directory 同盟服務 (AD FS) 中使用「傳送 LDAP 屬性作為宣告」規則範本,來建立規則,從輕量目錄存取協定 (LDAP) 的屬性存放區中選取屬性,例如 Active Directory,作為宣告傳送給信賴方。 例如,您可以使用此規則範本來建立傳送 LDAP 屬性做為宣告規則,以從 displayName 和 telephoneNumber Active Directory 屬性擷取已驗證使用者的屬性值,然後將這些值傳送為兩個不同的傳出宣告。
您也可以使用此規則來傳送所有使用者的群組成員資格。 如果您只想傳送個別群組成員資格,請使用「傳送群組成員資格作為宣告」規則範本。 您可以使用下列程序來透過 AD FS 管理單元建立宣告規則。
在本機電腦上,Administrators群組或等效群組的成員資格是完成此程序所需的最低要求。 請檢閱本機與網域預設群組中關於使用適當帳戶和群組成員資格的詳細資料。
若要建立規則,將 LDAP 屬性作為宣告項傳送至 Windows Server 2016 中的信賴憑證者信任
在 [伺服器管理員] 中,按兩下 [工具],然後選取 [AD FS 管理]。
在主控台樹的 [AD FS] 下,點擊 [信賴方信任]。
在選取的信任上按一下滑鼠右鍵,然後按一下 編輯宣告發行原則。
![此螢幕快照顯示當您建立規則以將LDAP屬性傳送為Windows Server 2016 中信賴憑證者信任的宣告時,選取 [編輯宣告發行原則] 的位置。](media/create-a-rule-to-pass-through-or-filter-an-incoming-claim/claimrule10.png)
在 [編輯宣告發行原則] 對話方塊的 [發行轉換 規則] 底下,按兩下 [新增規則],以啟動規則精靈。
![此螢幕截圖顯示當您在 Windows Server 2016 中建立規則以將 LDAP 屬性作為宣告傳送給信賴方信任時,選取 [新增規則] 的位置。](media/create-a-rule-to-pass-through-or-filter-an-incoming-claim/claimrule11.png)
在 [ 選取規則範本 ] 頁面上的 [宣告規則範本] 底下,從清單中選取 [將 LDAP 屬性傳送為宣告 ],然後按 [ 下一步]。
![此螢幕快照顯示,當您在 Windows Server 2016 中為信賴方信任設定建立規則以傳送 LDAP 屬性作為宣告時,如何選取 [傳送 LDAP 屬性為宣告] 範本。](media/create-a-rule-to-send-ldap-attributes-as-claims/ldap1.png)
在 [宣告規則名稱] 下的 [設定規則] 頁面上,輸入此規則的顯示名稱,選取 [屬性存放區],然後選取LDAP屬性,並將其對應至傳出宣告類型。
單擊 [完成] 按鈕
。 在 [編輯宣告規則] 對話框中,按一下 [確定] 儲存規則。
若要建立規則以將 LDAP 屬性作為宣告提供者信任中的宣告傳送到 Windows Server 2016
在 [伺服器管理員] 中,按兩下 [工具],然後選取 [AD FS 管理]。
在主控台樹的 [AD FS] 下,按一下 [宣告提供者信任]。
![此螢幕快照顯示當您建立規則以將LDAP屬性傳送為Windows Server 2016 中宣告提供者信任的宣告時,要選取 [宣告提供者信任] 的位置。](media/create-a-rule-to-pass-through-or-filter-an-incoming-claim/claimrule1.png)
在選取的信任上按滑鼠右鍵,然後點擊 [編輯宣告規則]
。 ![此螢幕快照顯示如何在 Windows Server 2016 中建立宣告提供者信任時,選擇 [編輯宣告規則] 以將 LDAP 屬性作為宣告傳送。](media/create-a-rule-to-pass-through-or-filter-an-incoming-claim/claimrule2.png)
在 編輯宣告規則 對話方塊的 接受轉換規則 底下,按一下 新增規則 以啟動規則精靈。
![此螢幕快照顯示當您建立規則以便將 LDAP 屬性作為宣告提供者信任中的宣告傳送到 Windows Server 2016 時,選取 [新增規則] 的位置。](media/create-a-rule-to-pass-through-or-filter-an-incoming-claim/claimrule3.png)
在 [ 選取規則範本 ] 頁面上的 [宣告規則範本] 底下,從清單中選取 [將 LDAP 屬性傳送為宣告 ],然後按 [ 下一步]。
在 [宣告規則名稱] 下的 [設定規則] 頁面上,輸入此規則的顯示名稱,選取 [屬性存放區],然後選取LDAP屬性,並將其對應至傳出宣告類型。
單擊 [完成] 按鈕
。 在 [編輯宣告規則] 對話框中,按一下 [確定] 儲存規則。
建立規則以將LDAP屬性作為宣告傳送至Windows Server 2012 R2
在 [伺服器管理員] 中,按兩下 [工具],然後選取 [AD FS 管理]。
在控制台樹的 [AD FSAD FS\Trust Relationships] 下,按一下 [宣告提供者信任] 或 [信賴憑證者信任],然後在清單中選擇您想要在其中建立此規則的特定信任。
在選取的信任上按滑鼠右鍵,然後點擊 [編輯宣告規則]
。 
在 [編輯宣告規則] 對話框中,根據您要編輯的信任,以及您要在其中建立此規則的規則集,選取下列其中一個索引標籤,然後按一下 [新增規則],以啟動與該規則集相關聯的規則精靈:
接受轉換規則
發行轉換規則
發行授權規則
委派授權規則
![此螢幕截圖顯示如何選擇 [新增規則] 以建立規則,將 LDAP 屬性作為 Windows Server 2012 R2 的宣告傳送。](media/create-a-rule-to-permit-all-users/permitall5.png)
在 [ 選取規則範本 ] 頁面上的 [宣告規則範本] 底下,從清單中選取 [將 LDAP 屬性傳送為宣告 ],然後按 [ 下一步]。
在 [宣告規則名稱] 下的 [設定規則] 頁面上,輸入此規則的顯示名稱,在 [屬性存放區] 下選取 [Active Directory],然後在 [將 LDAP 屬性對應至傳出宣告類型] 底下,從下拉式清單中選取所需的 LDAP 屬性和對應的 [連出宣告類型類型]。
您必須針對要在此規則中發出宣告的每個 Active Directory 屬性,在不同的行選取新的 LDAP 屬性和傳出宣告類型組合。
單擊 [完成] 按鈕
。 在 [編輯宣告規則] 對話框中,按一下 [確定] 儲存規則。