Freigeben über


Erstellen einer Regel zum Senden von LDAP-Attributen als Ansprüche

Mit der Regelvorlage "LDAP-Attribute als Ansprüche senden" in Active Directory-Verbunddienste (AD FS) können Sie eine Regel erstellen, die Attribute aus einem LDAP-Attributspeicher, wie Active Directory, auswählt, um sie als Ansprüche an den vertrauenden Partner zu senden. Sie können z. B. diese Regelvorlage verwenden, um ein Send LDAP Attributes as Claims rule zu erstellen, das Attributwerte für authentifizierte Benutzer aus den Attributen displayName und telephoneNumber Active Directory extrahiert und diese Werte dann als zwei verschiedene ausgehende Ansprüche sendet.

Sie können diese Regel auch verwenden, um alle Gruppenmitgliedschaften des Benutzers zu senden. Wenn Sie nur einzelne Gruppenmitgliedschaften senden möchten, verwenden Sie die Vorlage "Gruppenmitgliedschaft senden" als Anspruchsregelvorlage. Mit dem folgenden Verfahren können Sie eine Anspruchsregel mit dem AD FS Management-Snap-In erstellen.

Zum Ausführen dieses Verfahrens ist mindestens die Mitgliedschaft in der Gruppe Administratoren oder eine gleichwertige Berechtigung auf dem lokalen Computer erforderlich. Informationen zu den entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter Local and Domain Default Groups (Lokale und Domänenstandardgruppen).

So erstellen Sie eine Regel zum Senden von LDAP-Attributen als Ansprüche für eine Vertrauensstellung einer vertrauenden Seite in Windows Server 2016

  1. Klicken Sie im Server-Manager auf "Extras", und wählen Sie dann AD FS-Verwaltung aus.

  2. Klicken Sie in der Konsolenstruktur unter AD FS auf Vertrauensstellungen der vertrauenden Seite. Screenshot, der zeigt, wo Sie Vertrauensstellungen der vertrauenden Seite auswählen, wenn Sie eine Regel zum Senden von LDAP-Attributen als Ansprüche für eine Vertrauensstellung der vertrauenden Seite in Windows Server 2016 erstellen.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie dann auf "Anspruchsausstellungsrichtlinie bearbeiten". Screenshot, der zeigt, wo Sie „Anspruchsausstellungsrichtlinie bearbeiten“ auswählen, wenn Sie eine Regel zum Senden von LDAP-Attributen als Ansprüche für eine Vertrauensstellung der vertrauenden Seite in Windows Server 2016 erstellen.

  4. Klicken Sie im Dialogfeld "Anspruchsausstellungsrichtlinie bearbeiten" unter "Ausstellungstransformationsregeln" auf "Regel hinzufügen", um den Regel-Assistenten zu starten. Screenshot, der zeigt, wo Sie

  5. Wählen Sie auf der Seite "Regelvorlage auswählen " unter " Anspruchsregelvorlage" die Option "LDAP-Attribute als Ansprüche senden " aus der Liste aus, und klicken Sie dann auf "Weiter". Screenshot, der zeigt, wo die Vorlage

  6. Wählen Sie auf der Seite " Regel konfigurieren" unter " Anspruchsregelname " den Anzeigenamen für diese Regel aus, wählen Sie den Attributspeicher aus, und wählen Sie dann das LDAP-Attribut aus, und ordnen Sie es dem ausgehenden Anspruchstyp zu. Screenshot, der zeigt, wo Sie den Anspruchsregelnamen eingeben, wenn Sie eine Regel zum Senden von LDAP-Attributen als Ansprüche für eine Vertrauensstellung der vertrauenden Seite in Windows Server 2016 erstellen.

  7. Klicken Sie auf die Schaltfläche "Fertig stellen ".

  8. Klicken Sie im Dialogfeld "Anspruchsregeln bearbeiten " auf "OK ", um die Regel zu speichern.

So erstellen Sie eine Regel zum Senden von LDAP-Attributen als Ansprüche für eine Anspruchsanbieter-Vertrauensstellung in Windows Server 2016

  1. Klicken Sie im Server-Manager auf "Extras", und wählen Sie dann AD FS-Verwaltung aus.

  2. Klicken Sie in der Konsolenstruktur unter AD FS auf Anspruchsanbieter-Vertrauensstellungen. Screenshot, der zeigt, wo Anspruchsanbietervertrauensstellungen ausgewählt werden sollen, wenn Sie eine Regel zum Senden von LDAP-Attributen als Ansprüche für eine Anspruchsanbietervertrauensstellung in Windows Server 2016 erstellen.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie dann auf "Anspruchsregeln bearbeiten". Screenshot, der zeigt, wo Sie

  4. Klicken Sie im Dialogfeld "Anspruchsregeln bearbeiten" unter "Akzeptanztransformationsregeln" auf "Regel hinzufügen", um den Regel-Assistenten zu starten. Screenshot, der zeigt, wo Sie „Regel hinzufügen“ auswählen, wenn Sie eine Regel zum Senden von LDAP-Attributen als Ansprüche für eine Anspruchsanbieter-Vertrauensstellung in Windows Server 2016 erstellen.

  5. Wählen Sie auf der Seite "Regelvorlage auswählen " unter " Anspruchsregelvorlage" die Option "LDAP-Attribute als Ansprüche senden " aus der Liste aus, und klicken Sie dann auf "Weiter". Screenshot, der zeigt, wo beim Erstellen einer Regel in Windows Server 2016

  6. Wählen Sie auf der Seite " Regel konfigurieren" unter " Anspruchsregelname " den Anzeigenamen für diese Regel aus, wählen Sie den Attributspeicher aus, und wählen Sie dann das LDAP-Attribut aus, und ordnen Sie es dem ausgehenden Anspruchstyp zu. Screenshot, der zeigt, wo der Anspruchsregelname eingegeben werden soll, wenn Sie eine Regel zum Senden von LDAP-Attributen als Ansprüche für eine Anspruchsanbietervertrauensstellung in Windows Server 2016 erstellen.

  7. Klicken Sie auf die Schaltfläche "Fertig stellen ".

  8. Klicken Sie im Dialogfeld "Anspruchsregeln bearbeiten " auf "OK ", um die Regel zu speichern.

So erstellen Sie eine Regel zum Senden von LDAP-Attributen als Ansprüche für Windows Server 2012 R2

  1. Klicken Sie im Server-Manager auf "Extras", und wählen Sie dann AD FS-Verwaltung aus.

  2. Klicken Sie in der Konsolenstruktur unter AD FSAD FS\Vertrauensstellungen entweder auf Anspruchsanbietervertrauensstellungen oder Vertrauensstellungen der vertrauenden Seite, und klicken Sie dann auf eine bestimmte Vertrauensstellung in der Liste, in der Sie diese Regel erstellen möchten.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie dann auf "Anspruchsregeln bearbeiten". Screenshot, der zeigt, wo Sie

  4. Wählen Sie im Dialogfeld "Anspruchsregeln bearbeiten" eine der folgenden Registerkarten aus, je nachdem, welche Vertrauensstellung Sie bearbeiten und welchen Regelsatz Sie für diese Regel verwenden möchten, und klicken Sie dann auf "Regel hinzufügen", um den Regel-Assistenten zu starten, der diesem Regelsatz zugeordnet ist.

    • Annahmeregeln für Transformationen

    • Ausstellungstransformationsregeln

    • Ausgabe-Autorisierungsregeln

    • DelegationsautorisierungsregelnScreenshot, der zeigt, wo Sie „Regel hinzufügen“ auswählen, um eine Regel zum Senden von LDAP-Attributen als Ansprüche für Windows Server 2012 R2 zu erstellen.

  5. Wählen Sie auf der Seite "Regelvorlage auswählen " unter " Anspruchsregelvorlage" die Option "LDAP-Attribute als Ansprüche senden " aus der Liste aus, und klicken Sie dann auf "Weiter". Screenshot, der zeigt, wo Sie

  6. Geben Sie auf der Seite „Regel konfigurieren“ unter „Anspruchsregelname“ den Anzeigenamen für diese Regel ein, unter „Attributspeicher“"Active Directory“ aus, und wählen Sie unter „Zuordnung von LDAP-Attributen zu ausgehenden Anspruchstypen“ das gewünschte LDAP-Attribut und die entsprechenden ausgehenden Anspruchstypen aus den Dropdownlisten aus.

    Sie müssen ein neues LDAP-Attribut und ein paar ausgehende Anspruchstypen in einer anderen Zeile für jedes Active Directory-Attribut auswählen, für das Sie einen Anspruch als Teil dieser Regel ausgeben möchten. Regel erstellen

  7. Klicken Sie auf die Schaltfläche "Fertig stellen ".

  8. Klicken Sie im Dialogfeld "Anspruchsregeln bearbeiten " auf "OK ", um die Regel zu speichern.

Weitere Referenzen

Konfigurieren von Anspruchsregeln

Checkliste: Erstellen von Anspruchsregeln für eine Vertrauensstellung der vertrauenden Seite

Prüfliste: Erstellen von Anspruchsregeln für eine Anspruchsanbieter-Vertrauensstellung

Wann sollte eine Autorisierungsanspruchsregel verwendet werden

Die Rolle von Ansprüchen

Die Rolle der Anspruchsregeln