Erstellen einer Regel zum Senden von LDAP-Attributen als Ansprüche

2025-04-18
Gilt für:: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Mit der Regelvorlage "LDAP-Attribute als Ansprüche senden" in Active Directory-Verbunddienste (AD FS) können Sie eine Regel erstellen, die Attribute aus einem LDAP-Attributspeicher, wie Active Directory, auswählt, um sie als Ansprüche an den vertrauenden Partner zu senden. Sie können z. B. diese Regelvorlage verwenden, um ein Send LDAP Attributes as Claims rule zu erstellen, das Attributwerte für authentifizierte Benutzer aus den Attributen displayName und telephoneNumber Active Directory extrahiert und diese Werte dann als zwei verschiedene ausgehende Ansprüche sendet.

Sie können diese Regel auch verwenden, um alle Gruppenmitgliedschaften des Benutzers zu senden. Wenn Sie nur einzelne Gruppenmitgliedschaften senden möchten, verwenden Sie die Vorlage "Gruppenmitgliedschaft senden" als Anspruchsregelvorlage. Mit dem folgenden Verfahren können Sie eine Anspruchsregel mit dem AD FS Management-Snap-In erstellen.

Zum Ausführen dieses Verfahrens ist mindestens die Mitgliedschaft in der Gruppe Administratoren oder eine gleichwertige Berechtigung auf dem lokalen Computer erforderlich. Informationen zu den entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter Local and Domain Default Groups (Lokale und Domänenstandardgruppen).

So erstellen Sie eine Regel zum Senden von LDAP-Attributen als Ansprüche für eine Vertrauensstellung einer vertrauenden Seite in Windows Server 2016

Klicken Sie im Server-Manager auf "Extras", und wählen Sie dann AD FS-Verwaltung aus.
Klicken Sie in der Konsolenstruktur unter AD FS auf Vertrauensstellungen der vertrauenden Seite.
Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie dann auf "Anspruchsausstellungsrichtlinie bearbeiten".
Klicken Sie im Dialogfeld "Anspruchsausstellungsrichtlinie bearbeiten" unter "Ausstellungstransformationsregeln" auf "Regel hinzufügen", um den Regel-Assistenten zu starten.
Wählen Sie auf der Seite "Regelvorlage auswählen " unter " Anspruchsregelvorlage" die Option "LDAP-Attribute als Ansprüche senden " aus der Liste aus, und klicken Sie dann auf "Weiter".
Wählen Sie auf der Seite " Regel konfigurieren" unter " Anspruchsregelname " den Anzeigenamen für diese Regel aus, wählen Sie den Attributspeicher aus, und wählen Sie dann das LDAP-Attribut aus, und ordnen Sie es dem ausgehenden Anspruchstyp zu.
Klicken Sie auf die Schaltfläche "Fertig stellen ".
Klicken Sie im Dialogfeld "Anspruchsregeln bearbeiten " auf "OK ", um die Regel zu speichern.

So erstellen Sie eine Regel zum Senden von LDAP-Attributen als Ansprüche für eine Anspruchsanbieter-Vertrauensstellung in Windows Server 2016

Klicken Sie im Server-Manager auf "Extras", und wählen Sie dann AD FS-Verwaltung aus.
Klicken Sie in der Konsolenstruktur unter AD FS auf Anspruchsanbieter-Vertrauensstellungen.
Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie dann auf "Anspruchsregeln bearbeiten".
Klicken Sie im Dialogfeld "Anspruchsregeln bearbeiten" unter "Akzeptanztransformationsregeln" auf "Regel hinzufügen", um den Regel-Assistenten zu starten.
Wählen Sie auf der Seite "Regelvorlage auswählen " unter " Anspruchsregelvorlage" die Option "LDAP-Attribute als Ansprüche senden " aus der Liste aus, und klicken Sie dann auf "Weiter".
Wählen Sie auf der Seite " Regel konfigurieren" unter " Anspruchsregelname " den Anzeigenamen für diese Regel aus, wählen Sie den Attributspeicher aus, und wählen Sie dann das LDAP-Attribut aus, und ordnen Sie es dem ausgehenden Anspruchstyp zu.
Klicken Sie auf die Schaltfläche "Fertig stellen ".
Klicken Sie im Dialogfeld "Anspruchsregeln bearbeiten " auf "OK ", um die Regel zu speichern.

So erstellen Sie eine Regel zum Senden von LDAP-Attributen als Ansprüche für Windows Server 2012 R2

Klicken Sie im Server-Manager auf "Extras", und wählen Sie dann AD FS-Verwaltung aus.
Klicken Sie in der Konsolenstruktur unter AD FSAD FS\Vertrauensstellungen entweder auf Anspruchsanbietervertrauensstellungen oder Vertrauensstellungen der vertrauenden Seite, und klicken Sie dann auf eine bestimmte Vertrauensstellung in der Liste, in der Sie diese Regel erstellen möchten.
Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie dann auf "Anspruchsregeln bearbeiten".
Wählen Sie im Dialogfeld "Anspruchsregeln bearbeiten" eine der folgenden Registerkarten aus, je nachdem, welche Vertrauensstellung Sie bearbeiten und welchen Regelsatz Sie für diese Regel verwenden möchten, und klicken Sie dann auf "Regel hinzufügen", um den Regel-Assistenten zu starten, der diesem Regelsatz zugeordnet ist.
- Annahmeregeln für Transformationen
- Ausstellungstransformationsregeln
- Ausgabe-Autorisierungsregeln
- Delegationsautorisierungsregeln
Wählen Sie auf der Seite "Regelvorlage auswählen " unter " Anspruchsregelvorlage" die Option "LDAP-Attribute als Ansprüche senden " aus der Liste aus, und klicken Sie dann auf "Weiter".
Geben Sie auf der Seite „Regel konfigurieren“ unter „Anspruchsregelname“ den Anzeigenamen für diese Regel ein, unter „Attributspeicher“"Active Directory“ aus, und wählen Sie unter „Zuordnung von LDAP-Attributen zu ausgehenden Anspruchstypen“ das gewünschte LDAP-Attribut und die entsprechenden ausgehenden Anspruchstypen aus den Dropdownlisten aus.

Sie müssen ein neues LDAP-Attribut und ein paar ausgehende Anspruchstypen in einer anderen Zeile für jedes Active Directory-Attribut auswählen, für das Sie einen Anspruch als Teil dieser Regel ausgeben möchten.
Klicken Sie auf die Schaltfläche "Fertig stellen ".
Klicken Sie im Dialogfeld "Anspruchsregeln bearbeiten " auf "OK ", um die Regel zu speichern.