Erstellen einer Regel zum Senden eines AD FS 1.x-kompatiblen Anspruchs

In Situationen, in denen Sie Active Directory-Verbunddienste (AD FS) (AD FS) verwenden, um Ansprüche zu stellen, die von Verbundservern mit AD FS 1.0 (Windows Server 2003 R2) oder AD FS 1.1 (Windows Server 2008 oder Windows Server 2008 R2 empfangen werden), müssen Sie folgendes ausführen:

  • Erstellen Sie eine Regel, die einen Namen-ID-Anspruchstyp mit einem Format von UPN, E-Mail oder common Name sendet.

  • Alle anderen Ansprüche, die gesendet werden, müssen über einen der folgenden Anspruchstypen verfügen:

Verwenden Sie abhängig von den Anforderungen Ihrer Organisation eine der folgenden Verfahren, um eine AD FS 1 zu erstellen. x kompatible NameID-Anspruch:

  • Erstellen Sie diese Regel, um einen AD FS 1.x Name ID-Anspruch mithilfe der Vorlage "Pass Through" oder "Filtern einer Vorlage für eingehende Anspruchsregel" zu erstellen.

  • Erstellen Sie diese Regel, um einen AD FS 1.x Name ID-Anspruch mithilfe der Vorlage "Eingehende Ansprüche transformieren" auszulegen. Sie können diese Regelvorlage in Situationen verwenden, in denen Sie den vorhandenen Anspruchstyp in einen neuen Anspruchstyp ändern möchten, der mit AD FS 1 funktioniert. x Ansprüche.

Hinweis

Stellen Sie sicher, dass die Vertrauens- oder Anspruchsanbieter-Vertrauensstellung, in der Sie diese Regel erstellen, für die Verwendung des AD FS 1.0- und 1.1-Profils konfiguriert wurde, damit diese Regel wie erwartet funktioniert.

So erstellen Sie eine Regel, um eine AD FS 1 zu erstellen. x Name ID-Anspruch mit der Vorlage "Pass Through" oder "Filtern einer Vorlage für eingehende Anspruchsregel" in einer Vertrauenspartei in Windows Server 2016

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie in der Konsolenstruktur unter AD FS auf vertrauende Parteien vertrauende Vertrauensstellungen. Screenshot that shows where to select Relying Party Trusts when you create a rule to issue an AD FS 1.x Name ID claim.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie dann auf " Anspruchsausstellungsrichtlinie bearbeiten". Screenshot that shows where to select the Edit Claim Issuance Policy option when you create a rule to issue an AD FS 1.x Name ID claim.

  4. Klicken Sie im Dialogfeld " Anspruchsausstellungsrichtlinie bearbeiten " unter " Ausgabetransformationsregeln " auf "Regel hinzufügen ", um den Regel-Assistenten zu starten. Screenshot that shows where to select Add Rule when you create a rule to issue an AD FS 1.x Name ID claim.

  5. Wählen Sie auf der Seite "Regelvorlage auswählen " unter " Anspruchsregelvorlage" die Option "Pass Through" oder "Eingehende Ansprüche filtern" aus der Liste aus, und klicken Sie dann auf "Weiter". Screenshot that shows where to select the Pass Through or Filter an Incoming Claim template when you create a rule to issue an AD FS 1.x Name ID claim.

  6. Geben Sie auf der Seite "Regel konfigurieren" einen Anspruchsregelnamen ein.

  7. Wählen Sie in "Eingehender Anspruchstyp" die Name-ID in der Liste aus.

  8. Wählen Sie im Format "Eingehende Namen-ID" eine der folgenden AD FS 1 aus. x-kompatible Anspruchsformate aus der Liste:

    • UPN

    • E-Mail

    • Allgemeiner Name

  9. Wählen Sie eine der folgenden Optionen aus, abhängig von den Anforderungen Ihrer Organisation:

    • Alle Anspruchswerte weiterleiten

    • Nur einen bestimmten Anspruchswert weiterleiten

    • Übergeben Sie nur Anspruchswerte, die einem bestimmten E-Mail-Suffixwert entsprechen

    • Übergeben Sie nur Anspruchswerte, die mit einem bestimmten Wert beginnenScreenshot that shows the Configure Claim Rule screen.

  10. Klicken Sie auf "Fertig stellen", und klicken Sie dann auf "OK ", um die Regel zu speichern.

So erstellen Sie eine Regel, um eine AD FS 1 zu erstellen. x Name ID-Anspruch mit der Vorlage "Pass Through" oder "Filtern einer Vorlage für eingehende Ansprüche" auf einer Anspruchsanbieter-Vertrauensstellung in Windows Server 2016

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie in der Konsolenstruktur unter AD FS auf "Anspruchsanbietervertrauenswürdig". Screenshot that shows where to select Claims Provider Trusts in the console tree.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie dann auf "Anspruchsregeln bearbeiten". Screenshot that shows where to select the Edit Claim Rules menu option when you create a rule to issue an AD FS 1.x Name ID claim.

  4. Klicken Sie im Dialogfeld "Anspruchsregeln bearbeiten " unter "Akzeptanztransformationsregeln " auf "Regel hinzufügen ", um den Regel-Assistenten zu starten. Screenshot that shows the Add Rule button on the Acceptance Transform Rules tab.

  5. Wählen Sie auf der Seite "Regelvorlage auswählen " unter " Anspruchsregelvorlage" die Option "Pass Through" oder "Eingehende Ansprüche filtern" aus der Liste aus, und klicken Sie dann auf "Weiter". Screenshot that shows where to select the Pass Through or Filter an Incoming Claim template when you create a rule to issue an AD FS 1.x Name ID claim.

  6. Geben Sie auf der Seite "Regel konfigurieren" einen Anspruchsregelnamen ein.

  7. Wählen Sie in "Eingehender Anspruchstyp" die Name-ID in der Liste aus.

  8. Wählen Sie im Format "Eingehende Namen-ID" eine der folgenden AD FS 1 aus. x-kompatible Anspruchsformate aus der Liste:

    • UPN

    • E-Mail

    • Allgemeiner Name

  9. Wählen Sie eine der folgenden Optionen aus, abhängig von den Anforderungen Ihrer Organisation:

    • Alle Anspruchswerte weiterleiten

    • Nur einen bestimmten Anspruchswert weiterleiten

    • Übergeben Sie nur Anspruchswerte, die einem bestimmten E-Mail-Suffixwert entsprechen

    • Übergeben Sie nur Anspruchswerte, die mit einem bestimmten Wert beginnenScreenshot that shows where to select the options on the Configure Claim Rule screen.

  10. Klicken Sie auf "Fertig stellen", und klicken Sie dann auf "OK ", um die Regel zu speichern.

So erstellen Sie eine Regel zum Transformieren eines eingehenden Anspruchs auf einer Vertrauenspartei in Windows Server 2016

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie in der Konsolenstruktur unter AD FS auf vertrauende Parteien vertrauende Vertrauensstellungen. Screenshot that shows where to select Relying Party Trusts when you create a rule to transform an incoming claim.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie dann auf " Anspruchsausstellungsrichtlinie bearbeiten". Screenshot that shows where to select the Edit Claim Issuance Policy menu option when you create a rule to transform an incoming claim.

  4. Klicken Sie im Dialogfeld " Anspruchsausstellungsrichtlinie bearbeiten " unter " Ausgabetransformationsregeln " auf "Regel hinzufügen ", um den Regel-Assistenten zu starten. Screenshot that shows where to select the Add Rule button.

  5. Wählen Sie auf der Seite "Regelvorlage auswählen " unter " Anspruchsregelvorlage" die Option "Eingehende Ansprüche aus der Liste transformieren " aus, und klicken Sie dann auf "Weiter". Screenshot that shows where to select Transform an Incoming Claim when you create a rule to transform an incoming claim.

  6. Geben Sie auf der Seite "Regel konfigurieren" einen Anspruchsregelnamen ein.

  7. Wählen Sie in "Eingehender Anspruchstyp" den Typ des eingehenden Anspruchs aus, den Sie in der Liste transformieren möchten.

  8. Wählen Sie in der Liste "Name-ID" in der Liste aus.

  9. Wählen Sie im Format "Ausgehende Namen-ID" eine der folgenden AD FS 1 aus. x-kompatible Anspruchsformate aus der Liste:

    • UPN

    • E-Mail

    • Allgemeiner Name

  10. Wählen Sie eine der folgenden Optionen aus, abhängig von den Anforderungen Ihrer Organisation:

    • Alle Anspruchswerte weiterleiten

    • Ersetzen Sie einen eingehenden Anspruchswert durch einen anderen ausgehenden Anspruchswert

    • Ersetzen sie eingehende E-Mail-Suffixansprüche durch ein neues E-Mail-SuffixScreenshot that shows the options you can select on the Configure Claim Rule screen when you create a rule to transform an incoming claim.

  11. Klicken Sie auf "Fertig stellen", und klicken Sie dann auf "OK ", um die Regel zu speichern.

So erstellen Sie eine Regel zum Transformieren eines eingehenden Anspruchs auf einer Anspruchsanbieter-Vertrauensstellung in Windows Server 2016

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie in der Konsolenstruktur unter AD FS auf "Anspruchsanbietervertrauenswürdig". Screenshot that shows where to select Claims Provider Trusts in the console tree when you create a rule to transform an incoming claim.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie dann auf "Anspruchsregeln bearbeiten". Screenshot that shows where to select the Edit Claim Rules menu option when you create a rule to transform an incoming claim.

  4. Klicken Sie im Dialogfeld "Anspruchsregeln bearbeiten " unter "Akzeptanztransformationsregeln " auf "Regel hinzufügen ", um den Regel-Assistenten zu starten. Screenshot that shows where to select the Add Rule button on the Acceptance Transform Rules tab when you create a rule to transform an incoming claim.

  5. Wählen Sie auf der Seite "Regelvorlage auswählen " unter " Anspruchsregelvorlage" die Option "Eingehende Ansprüche aus der Liste transformieren " aus, und klicken Sie dann auf "Weiter". Screenshot that shows where to select Transform an Incoming Claim when you create a rule to transform an incoming claim.

  6. Geben Sie auf der Seite "Regel konfigurieren" einen Anspruchsregelnamen ein.

  7. Wählen Sie in "Eingehender Anspruchstyp" den Typ des eingehenden Anspruchs aus, den Sie in der Liste transformieren möchten.

  8. Wählen Sie in der Liste "Name-ID" in der Liste aus.

  9. Wählen Sie im Format "Ausgehende Namen-ID" eine der folgenden AD FS 1 aus. x-kompatible Anspruchsformate aus der Liste:

    • UPN

    • E-Mail

    • Allgemeiner Name

  10. Wählen Sie je nach den Anforderungen Ihrer Organisation eine der folgenden Optionen aus:

    • Alle Anspruchswerte weiterleiten

    • Ersetzen Sie einen eingehenden Anspruchswert durch einen anderen ausgehenden Anspruchswert

    • Ersetzen von posteingangsbezogenen E-Mail-Suffixansprüchen durch ein neues E-Mail-SuffixScreenshot that shows where to select the options on the Configure Claim Rule screen when you create a rule to transform an incoming claim.

  11. Klicken Sie auf "Fertig stellen", und klicken Sie dann auf "OK ", um die Regel zu speichern.

So erstellen Sie eine Regel zum Ausgeben eines AD FS 1. x Name ID-Anspruch mithilfe der Vorlage "Pass Through" oder "Filtern einer Vorlage für eingehende Ansprüche" auf Windows Server 2012 R2

  1. Klicken Sie in Server-Manager auf "Extras", und klicken Sie dann auf "AD FS-Verwaltung".

  2. Klicken Sie in der Konsolenstruktur unter AD FS\Trust Relationships auf " Anspruchsanbietervertrauenswürdige Vertrauensstellungen" oder " Vertrauende Partei vertrauen", und klicken Sie dann auf eine bestimmte Vertrauensstellung in der Liste, in der Sie diese Regel erstellen möchten.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie dann auf "Anspruchsregeln bearbeiten". Screenshot that shows where to select the Edit Claim Rules menu option when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  4. Wählen Sie im Dialogfeld "Anspruchsregeln bearbeiten" eine der folgenden Registerkarten aus, je nachdem, welche Vertrauensstellung Sie bearbeiten und in welcher Regelsatz Sie diese Regel erstellen möchten, und klicken Sie dann auf " Regel hinzufügen ", um den Regel-Assistenten zu starten, der diesem Regelsatz zugeordnet ist:

    • Akzeptanztransformationsregeln

    • Veröffentlichungstransformationsregeln

    • Autorisierungsregeln für ausstellungen

    • DelegierungsautorisierungsregelnScreenshot that shows where to select Add Rule when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  5. Wählen Sie auf der Seite " Regelvorlage auswählen " unter "Anspruchsregelvorlage" die Option "Pass Through" oder "Filtern eines eingehenden Anspruchs " aus der Liste aus, und klicken Sie dann auf "Weiter". Screenshot that shows where to select the Pass Through or Filter an Incoming Claim template when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  6. Geben Sie auf der Seite "Regel konfigurieren " einen Anspruchsregelnamen ein.

  7. Wählen Sie im Typ "Eingehender Anspruch" die Namen-ID in der Liste aus.

  8. Wählen Sie im Format "Eingehende Namens-ID" einen der folgenden AD FS 1 aus. x-kompatible Anspruchsformate aus der Liste:

    • UPN

    • E-Mail

    • Allgemeiner Name

  9. Wählen Sie je nach den Anforderungen Ihrer Organisation eine der folgenden Optionen aus:

    • Alle Anspruchswerte weiterleiten

    • Nur einen bestimmten Anspruchswert weiterleiten

    • Übergeben sie nur Anspruchswerte, die einem bestimmten E-Mail-Suffixwert entsprechen

    • Durchlaufen sie nur Anspruchswerte, die mit einem bestimmten Wert beginnenScreenshot that shows where to select the options on the Configure Claim Rule screen when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  10. Klicken Sie auf "Fertig stellen", und klicken Sie dann auf "OK ", um die Regel zu speichern.

So erstellen Sie eine Regel zum Ausgeben eines AD FS 1. x Name ID-Anspruch mithilfe der Vorlage "Transformieren einer Posteingangsanspruchsregel" in Windows Server 2012 R2

  1. Klicken Sie in Server-Manager auf "Extras", und klicken Sie dann auf "AD FS-Verwaltung".

  2. Klicken Sie in der Konsolenstruktur unter AD FS\Trust Relationships auf " Anspruchsanbietervertrauenswürdige Vertrauensstellungen" oder " Vertrauende Partei vertrauen", und klicken Sie dann auf eine bestimmte Vertrauensstellung in der Liste, in der Sie diese Regel erstellen möchten.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie dann auf "Anspruchsregeln bearbeiten". Screenshot that shows where to select Edit Claim Rules when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  4. Wählen Sie im Dialogfeld "Anspruchsregeln bearbeiten" eine der folgenden Registerkarten aus, die von der Vertrauensstellung abhängig ist, die Sie bearbeiten und in welcher Regelsatz Sie diese Regel erstellen möchten, und klicken Sie dann auf "Regel hinzufügen ", um den Regel-Assistenten zu starten, der diesem Regelsatz zugeordnet ist:

    • Akzeptanztransformationsregeln

    • Veröffentlichungstransformationsregeln

    • Autorisierungsregeln für ausstellungen

    • DelegierungsautorisierungsregelnScreenshot that shows where to add a rule when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  5. Wählen Sie auf der Seite " Regelvorlage auswählen " unter der Vorlage "Anspruchsregel auswählen" die Option "Eingehender Anspruch aus der Liste transformieren " aus, und klicken Sie dann auf "Weiter". Screenshot that shows where to select Transform an Incoming Claim when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  6. Geben Sie auf der Seite "Regel konfigurieren " einen Anspruchsregelnamen ein.

  7. Wählen Sie im Typ "Eingehender Anspruch" den Typ des eingehenden Anspruchs aus, den Sie in der Liste transformieren möchten.

  8. Wählen Sie im Typ "Ausgehender Anspruch" die Namen-ID in der Liste aus.

  9. Wählen Sie im Format der Ausgehenden Namens-ID eines der folgenden AD FS 1 aus. x-kompatible Anspruchsformate aus der Liste:

    • UPN

    • E-Mail

    • Allgemeiner Name

  10. Wählen Sie je nach den Anforderungen Ihrer Organisation eine der folgenden Optionen aus:

    • Alle Anspruchswerte weiterleiten

    • Ersetzen Sie einen eingehenden Anspruchswert durch einen anderen ausgehenden Anspruchswert

    • Ersetzen von posteingangsbezogenen E-Mail-Suffixansprüchen durch ein neues E-Mail-Suffixcreate rule

  11. Klicken Sie auf "Fertig stellen", und klicken Sie dann auf "OK ", um die Regel zu speichern.

Weitere Verweise

Konfigurieren von Anspruchsregeln

Prüfliste: Erstellen von Anspruchsregeln für eine Vertrauensstellung der vertrauenden Seite

Prüfliste: Erstellen von Anspruchsregeln für eine Anspruchsanbieter-Vertrauensstellung

Wann sollte eine Autorisierungsanspruchsregel verwendet werden

Rolle von Ansprüchen

Rolle von Anspruchsregeln