Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können entweder die Regelvorlage Gruppenmitgliedschaft als Anspruch senden oder die Regelvorlage Eingehenden Anspruch transformieren verwenden, um einen Authentifizierungsmethodenanspruch zu senden. Die vertrauende Seite kann einen Authentifizierungsmethodeanspruch verwenden, um den Anmeldemechanismus zu bestimmen, den der Benutzer zum Authentifizieren und Abrufen von Ansprüchen von Active Directory-Verbunddiensten (AD FS) verwendet. Sie können auch die Funktion der Authentifizierungsmechanismus-Garantie von Active Directory-Verbunddiensten (AD FS) in Windows Server 2012 R2 als Eingabe verwenden, um Ansprüche an Authentifizierungsmethoden für Situationen zu generieren, in denen die vertrauende Partei die Zugriffsebene bestimmen möchte, die auf Smartcard-Anmeldungen basiert. Ein Entwickler kann z. B. unterschiedliche Zugriffsebenen für Verbundbenutzer der Anwendung der vertrauenden Seite zuweisen. Die Zugriffsebenen basieren darauf, ob sich die Benutzer mit ihrem Benutzernamen und ihren Kennwortanmeldeinformationen anmelden, im Gegensatz zu ihren Smartcards.
Verwenden Sie je nach den Anforderungen Ihrer Organisation eines der folgenden Verfahren:
Erstellen Sie diese Regel mit der Regelvorlage Gruppenmitgliedschaft als Anspruch senden: Sie können diese Regelvorlage verwenden, wenn die Gruppe, die Sie in der Vorlage angeben, letztendlich bestimmen soll, welcher Authentifizierungsmethodenanspruch ausgegeben wird.
Erstellen Sie diese Regel mithilfe der Vorlage "Transformieren einer Regel für eingehende Ansprüche ". Sie können diese Regelvorlage verwenden, wenn Sie die vorhandene Authentifizierungsmethode in eine neue Authentifizierungsmethode ändern möchten, die mit einem Produkt funktioniert, das standardmäßige AD FS-Authentifizierungsmethodenansprüche nicht erkennt.
Erstellen der Regel mit der Regelvorlage „Gruppenmitgliedschaft als Anspruch senden“ für eine Vertrauensstellung der vertrauenden Seite in Windows Server 2016
Klicken Sie im Server-Manager auf "Extras", und wählen Sie dann AD FS-Verwaltung aus.
Klicken Sie in der Konsolenstruktur unter AD FS auf Vertrauensstellungen der vertrauenden Seite.
Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie dann auf "Anspruchsausstellungsrichtlinie bearbeiten".
Klicken Sie im Dialogfeld "Anspruchsausstellungsrichtlinie bearbeiten" unter "Ausstellungstransformationsregeln" auf "Regel hinzufügen", um den Regel-Assistenten zu starten.
Wählen Sie auf der Seite " Regelvorlage auswählen " unter "Anspruchsregelvorlage" die Option " Gruppenmitgliedschaft als Anspruch senden " aus der Liste aus, und klicken Sie dann auf "Weiter".
Geben Sie auf der Seite " Regel konfigurieren" einen Anspruchsregelnamen ein.
Klicken Sie auf "Durchsuchen", wählen Sie die Gruppe aus, deren Mitglieder diesen Anspruch der Authentifizierungsmethode erhalten sollen, und klicken Sie dann auf "OK".
Wählen Sie im Typ des ausgehenden Anspruchs die Authentifizierungsmethode in der Liste aus.
Geben Sie in "Ausgehender Anspruchswert" einen der standardmäßigen URI-Werte (Uniform Resource Identifier) in der folgenden Tabelle ein, je nach ihrer bevorzugten Authentifizierungsmethode, auf "Fertig stellen", und klicken Sie dann auf "OK ", um die Regel zu speichern.
| Aktuelle Authentifizierungsmethode | Entsprechender URI |
|---|---|
| Benutzernamen- und Kennwortauthentifizierung | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows-Authentifizierung | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| Transport Layer Security (TLS) Gegenseitige Authentifizierung, die X.509-Zertifikate verwendet | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| X.509-basierte Authentifizierung, die TLS nicht verwendet | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
Erstellen der Regel mit der Regelvorlage „Gruppenmitgliedschaft als Anspruch senden“ für eine Anspruchsanbieter-Vertrauensstellung in Windows Server 2016
Klicken Sie im Server-Manager auf "Extras", und wählen Sie dann AD FS-Verwaltung aus.
Klicken Sie in der Konsolenstruktur unter AD FS auf Anspruchsanbieter-Vertrauensstellungen.
Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie dann auf "Anspruchsregeln bearbeiten".
Klicken Sie im Dialogfeld "Anspruchsregeln bearbeiten" unter "Akzeptanztransformationsregeln" auf "Regel hinzufügen", um den Regel-Assistenten zu starten.
Wählen Sie auf der Seite " Regelvorlage auswählen " unter "Anspruchsregelvorlage" die Option " Gruppenmitgliedschaft als Anspruch senden " aus der Liste aus, und klicken Sie dann auf "Weiter".
Geben Sie auf der Seite " Regel konfigurieren" einen Anspruchsregelnamen ein.
Klicken Sie auf "Durchsuchen", wählen Sie die Gruppe aus, deren Mitglieder diesen Anspruch der Authentifizierungsmethode erhalten sollen, und klicken Sie dann auf "OK".
Wählen Sie im Typ des ausgehenden Anspruchs die Authentifizierungsmethode in der Liste aus.
Geben Sie in "Ausgehender Anspruchswert" einen der standardmäßigen URI-Werte (Uniform Resource Identifier) in der folgenden Tabelle ein, je nach ihrer bevorzugten Authentifizierungsmethode, auf "Fertig stellen", und klicken Sie dann auf "OK ", um die Regel zu speichern.
| Aktuelle Authentifizierungsmethode | Entsprechender URI |
|---|---|
| Benutzernamen- und Kennwortauthentifizierung | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows-Authentifizierung | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| Transport Layer Security (TLS) Gegenseitige Authentifizierung, die X.509-Zertifikate verwendet | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| X.509-basierte Authentifizierung, die TLS nicht verwendet | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
Erstellen der Regel mit der Regelvorlage „Eingehenden Anspruch transformieren“ für eine Vertrauensstellung der vertrauenden Seite in Windows Server 2016
Klicken Sie im Server-Manager auf "Extras", und wählen Sie dann AD FS-Verwaltung aus.
Klicken Sie in der Konsolenstruktur unter AD FS auf Vertrauensstellungen der vertrauenden Seite.
Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie dann auf "Anspruchsausstellungsrichtlinie bearbeiten".
Klicken Sie im Dialogfeld "Anspruchsausstellungsrichtlinie bearbeiten" unter "Ausstellungstransformationsregeln" auf "Regel hinzufügen", um den Regel-Assistenten zu starten.
Wählen Sie auf der Seite Regelvorlage auswählen unter Anspruchsregelvorlage in der Liste die Option Eingehenden Anspruch transformieren aus, und klicken Sie anschließend auf Weiter.
Geben Sie auf der Seite " Regel konfigurieren" einen Anspruchsregelnamen ein.
Wählen Sie im Typ "Eingehender Anspruch" in der Liste die Authentifizierungsmethode aus.
Wählen Sie im Typ des ausgehenden Anspruchs die Authentifizierungsmethode in der Liste aus.
Wählen Sie "Einen eingehenden Anspruchswert durch einen anderen ausgehenden Anspruchswert ersetzen" aus, und führen Sie dann die folgenden Schritte aus:
Geben Sie in "Eingehender Anspruchswert" einen der folgenden URI-Werte ein, die auf dem ursprünglich verwendeten Authentifizierungsmethode-URI basieren, klicken Sie auf "Fertig stellen", und klicken Sie dann auf "OK ", um die Regel zu speichern.
Geben Sie in "Ausgehender Anspruchswert" einen der Standard-URI-Werte in der folgenden Tabelle ein, die von der neuen bevorzugten Authentifizierungsmethodeauswahl abhängig ist, klicken Sie auf "Fertig stellen", und klicken Sie dann auf "OK ", um die Regel zu speichern.
| Tatsächliche Authentifizierungsmethode | Entsprechender URI |
|---|---|
| Benutzernamen- und Kennwortauthentifizierung | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows-Authentifizierung | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| GEGENSEITIGE TLS-Authentifizierung, die X.509-Zertifikate verwendet | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| X.509-basierte Authentifizierung, die TLS nicht verwendet | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
Hinweis
Andere URI-Werte können zusätzlich zu den Werten in der Tabelle verwendet werden. Die URI-Werte, die in der vorherigen Tabelle angezeigt werden, spiegeln die URIs wider, die die vertrauende Seite standardmäßig akzeptiert.
Erstellen der Regel mit der Regelvorlage „Eingehenden Anspruch transformieren“ für eine Anspruchsanbieter-Vertrauensstellung in Windows Server 2016
Klicken Sie im Server-Manager auf "Extras", und wählen Sie dann AD FS-Verwaltung aus.
Klicken Sie in der Konsolenstruktur unter AD FS auf Anspruchsanbieter-Vertrauensstellungen.
Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie dann auf "Anspruchsregeln bearbeiten".
Klicken Sie im Dialogfeld "Anspruchsregeln bearbeiten" unter "Akzeptanztransformationsregeln" auf "Regel hinzufügen", um den Regel-Assistenten zu starten.
Wählen Sie auf der Seite Regelvorlage auswählen unter Anspruchsregelvorlage in der Liste die Option Eingehenden Anspruch transformieren aus, und klicken Sie anschließend auf Weiter.
Geben Sie auf der Seite " Regel konfigurieren" einen Anspruchsregelnamen ein.
Wählen Sie im Typ "Eingehender Anspruch" in der Liste die Authentifizierungsmethode aus.
Wählen Sie im Typ des ausgehenden Anspruchs die Authentifizierungsmethode in der Liste aus.
Wählen Sie "Einen eingehenden Anspruchswert durch einen anderen ausgehenden Anspruchswert ersetzen" aus, und führen Sie dann die folgenden Schritte aus:
Geben Sie in "Eingehender Anspruchswert" einen der folgenden URI-Werte ein, die auf dem ursprünglich verwendeten Authentifizierungsmethode-URI basieren, klicken Sie auf "Fertig stellen", und klicken Sie dann auf "OK ", um die Regel zu speichern.
Geben Sie in "Ausgehender Anspruchswert" einen der Standard-URI-Werte in der folgenden Tabelle ein, die von der neuen bevorzugten Authentifizierungsmethodeauswahl abhängig ist, klicken Sie auf "Fertig stellen", und klicken Sie dann auf "OK ", um die Regel zu speichern.
| Tatsächliche Authentifizierungsmethode | Entsprechender URI |
|---|---|
| Benutzernamen- und Kennwortauthentifizierung | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows-Authentifizierung | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| GEGENSEITIGE TLS-Authentifizierung, die X.509-Zertifikate verwendet | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| X.509-basierte Authentifizierung, die TLS nicht verwendet | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
So erstellen Sie diese Regel mithilfe der Vorlage "Gruppenmitgliedschaft als Anspruchsregel senden" in Windows Server 2012 R2
Klicken Sie im Server-Manager auf "Extras", und wählen Sie dann AD FS-Verwaltung aus.
Klicken Sie in der Konsolenstruktur unter AD FS\Vertrauensstellungen entweder auf Anspruchsanbietervertrauensstellungen oder auf Vertrauensstellungen der vertrauenden Partei, und klicken Sie dann auf eine bestimmte Vertrauensstellung in der Liste, in der Sie diese Regel erstellen möchten.
Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie dann auf "Anspruchsregeln bearbeiten".
Wählen Sie im Dialogfeld Anspruchsregeln bearbeiten eine der folgenden Registerkarten aus, je nachdem, welche Vertrauensstellung Sie bearbeiten und in welchem Regelsatz Sie diese Regel erstellen möchten. Klicken Sie anschließend auf Regel hinzufügen, um den Regel-Assistenten für diesen Regelsatz zu starten:
Regeln für Akzeptanztransformationen
Ausstellungstransformationsregeln
Ausstellungsautorisierungsregeln
Screenshot der Delegierungsautorisierungsregeln
Wählen Sie auf der Seite " Regelvorlage auswählen " unter "Anspruchsregelvorlage" die Option " Gruppenmitgliedschaft als Anspruch senden " aus der Liste aus, und klicken Sie dann auf "Weiter".
Geben Sie auf der Seite " Regel konfigurieren" einen Anspruchsregelnamen ein.
Klicken Sie auf "Durchsuchen", wählen Sie die Gruppe aus, deren Mitglieder diesen Anspruch der Authentifizierungsmethode erhalten sollen, und klicken Sie dann auf "OK".
Wählen Sie im Typ des ausgehenden Anspruchs die Authentifizierungsmethode in der Liste aus.
Geben Sie in "Ausgehender Anspruchswert" einen der standardmäßigen URI-Werte (Uniform Resource Identifier) in der folgenden Tabelle ein, je nach ihrer bevorzugten Authentifizierungsmethode, auf "Fertig stellen", und klicken Sie dann auf "OK ", um die Regel zu speichern.
| Aktuelle Authentifizierungsmethode | Entsprechender URI |
|---|---|
| Benutzernamen- und Kennwortauthentifizierung | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows-Authentifizierung | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| Transport Layer Security (TLS) Gegenseitige Authentifizierung, die X.509-Zertifikate verwendet | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| X.509-basierte Authentifizierung, die TLS nicht verwendet | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
Hinweis
Andere URI-Werte können zusätzlich zu den Werten in der Tabelle verwendet werden. Die URI-Werte, die in der vorherigen Tabelle angezeigt werden, spiegeln die URIs wider, die die vertrauende Seite standardmäßig akzeptiert.
So erstellen Sie diese Regel mithilfe der Vorlage "Transformieren einer Regel für eingehende Ansprüche" in Windows Server 2012 R2
Klicken Sie im Server-Manager auf "Extras" und dann auf "AD FS-Verwaltung".
Klicken Sie in der Konsolenstruktur unter AD FS\Vertrauensstellungen entweder auf Anspruchsanbietervertrauensstellungen oder auf Vertrauensstellungen der vertrauenden Partei, und klicken Sie dann auf eine bestimmte Vertrauensstellung in der Liste, in der Sie diese Regel erstellen möchten.
Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie dann auf "Anspruchsregeln bearbeiten".
Wählen Sie im Dialogfeld "Anspruchsregeln bearbeiten" eine der folgenden Registerkarten aus, je nachdem, welche Vertrauensstellung Sie bearbeiten und in welchem Regelsatz Sie diese Regel erstellen möchten. Klicken Sie dann auf "Regel hinzufügen", um den Assistenten für Regelerstellung zu starten, der diesem Regelsatz zugeordnet ist.
Regeln für Akzeptanztransformationen
Ausstellungstransformationsregeln
Ausstellungsautorisierungsregeln
Screenshot der Delegierungsautorisierungsregeln
Wählen Sie auf der Seite Regelvorlage auswählen unter Anspruchsregelvorlage in der Liste die Option Eingehenden Anspruch transformieren aus, und klicken Sie anschließend auf Weiter.
Geben Sie auf der Seite " Regel konfigurieren" einen Anspruchsregelnamen ein.
Wählen Sie im Typ "Eingehender Anspruch" in der Liste die Authentifizierungsmethode aus.
Wählen Sie im Typ des ausgehenden Anspruchs die Authentifizierungsmethode in der Liste aus.
Wählen Sie "Einen eingehenden Anspruchswert durch einen anderen ausgehenden Anspruchswert ersetzen" aus, und führen Sie dann die folgenden Schritte aus:
Geben Sie in "Eingehender Anspruchswert" einen der folgenden URI-Werte ein, die auf dem ursprünglich verwendeten Authentifizierungsmethode-URI basieren, klicken Sie auf "Fertig stellen", und klicken Sie dann auf "OK ", um die Regel zu speichern.
Geben Sie in "Ausgehender Anspruchswert" einen der Standard-URI-Werte in der folgenden Tabelle ein, die von der neuen bevorzugten Authentifizierungsmethodeauswahl abhängig ist, klicken Sie auf "Fertig stellen", und klicken Sie dann auf "OK ", um die Regel zu speichern.
| Tatsächliche Authentifizierungsmethode | Entsprechender URI |
|---|---|
| Benutzernamen- und Kennwortauthentifizierung | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows-Authentifizierung | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| GEGENSEITIGE TLS-Authentifizierung, die X.509-Zertifikate verwendet | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| X.509-basierte Authentifizierung, die TLS nicht verwendet | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
Hinweis
Andere URI-Werte können zusätzlich zu den Werten in der Tabelle verwendet werden. Die URI-Werte, die in der vorherigen Tabelle angezeigt werden, spiegeln die URIs wider, die die vertrauende Seite standardmäßig akzeptiert.
Zusätzliche Verweise
Konfigurieren von Anspruchsregeln
Checkliste: Erstellen von Anspruchsregeln für eine Vertrauensstellung der vertrauenden Seite
Checkliste: Erstellen von Anspruchsregeln für eine Anspruchsanbieter-Vertrauensstellung