Freigeben über

Erstellen einer Regel zur Transformation eines ankommenden Anspruchs

Mithilfe der Vorlage "Transformieren einer Regel für eingehende Ansprüche " in Active Directory-Verbunddienste (AD FS) können Sie einen eingehenden Anspruch auswählen, den Anspruchstyp ändern und den Anspruchswert ändern. Sie können beispielsweise diese Regelvorlage verwenden, um eine Regel zu erstellen, die einen Rollenanspruch mit demselben Anspruchswert eines eingehenden Gruppenanspruchs sendet. Sie können diese Regel auch verwenden, um einen Gruppenanspruch mit einem Anspruchswert von Käufern zu senden, wenn ein eingehender Gruppenanspruch mit einem Wert von Administratoren vorhanden ist, oder Sie können nur Benutzerprinzipalnamen (UPN)-Ansprüche senden, die enden @fabrikam.

Mit dem folgenden Verfahren können Sie eine Anspruchsregel mit dem AD FS Management-Snap-In erstellen.

Die Mitgliedschaft in Administratoren oder gleichwertig auf dem lokalen Computer ist die Mindestanforderung, um dieses Verfahren abzuschließen. Informationen zu den entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter Local and Domain Default Groups (Lokale und Domänenstandardgruppen).

Erstellen einer Regel zum Transformieren eines eingehenden Anspruchs für eine Vertrauensstellung der vertrauenden Seite in Windows Server 2016

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie in der Konsolenstruktur unter AD FS auf Vertrauensstellungen der vertrauenden Seite. Screenshot: Auswahl von Vertrauensstellungen der vertrauenden Seite beim Erstellen einer Regel zum Transformieren eines eingehenden Anspruchs an eine Vertrauensstellung der vertrauenden Seite in Windows Server 2016

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie dann auf "Anspruchsausstellungsrichtlinie bearbeiten". Screenshot: Auswahl von „Anspruchsausstellungsrichtlinie bearbeiten“ beim Erstellen einer Regel zum Transformieren eines eingehenden Anspruchs an eine Vertrauensstellung der vertrauenden Seite in Windows Server 2016

  4. Klicken Sie im Dialogfeld "Anspruchsausstellungsrichtlinie bearbeiten" unter "Ausstellungstransformationsregeln" auf "Regel hinzufügen", um den Regel-Assistenten zu starten. Screenshot: Auswahl von „Regel hinzufügen“ beim Erstellen einer Regel zum Transformieren eines eingehenden Anspruchs an eine Vertrauensstellung der vertrauenden Seite in Windows Server 2016

  5. Wählen Sie auf der Seite Regelvorlage auswählen unter Anspruchsregelvorlage in der Liste die Option Eingehenden Anspruch transformieren aus, und klicken Sie anschließend auf Weiter. Screenshot, der zeigt, wie man die Option

  6. Geben Sie auf der Seite " Regel konfigurieren " unter " Anspruchsregelname" den Anzeigenamen für diese Regel ein. Wählen Sie im Typ "Eingehender Anspruch" einen Anspruchstyp in der Liste aus. Wählen Sie im Typ "Ausgehender Anspruch" einen Anspruchstyp in der Liste aus, und wählen Sie dann eine der folgenden Optionen aus, die von den Anforderungen Ihrer Organisation abhängig sind:

    • Alle Anspruchswerte durchleiten

    • Ersetzen eines eingehenden Anspruchswerts durch einen anderen ausgehenden Anspruchswert

    • Ersetzen eingehender E-Mail-Suffixansprüche durch ein neues E-Mail-SuffixScreenshot, der zeigt, wo Sie den Namen der Anspruchsregel eingeben, wenn Sie eine Regel erstellen, um einen eingehenden Anspruch in einer Vertrauensstellung der vertrauenden Seite in Windows Server 2016 zu transformieren

  7. Klicken Sie auf die Schaltfläche "Fertig stellen ".

  8. Klicken Sie im Dialogfeld "Anspruchsregeln bearbeiten " auf "OK ", um die Regel zu speichern.

Hinweis

Wenn Sie das Szenario für die dynamische Zugriffssteuerung einrichten, das AD FS-ausgestellte Ansprüche verwendet, erstellen Sie zuerst eine Transformationsregel für die Vertrauensstellung des Anspruchsanbieters und geben Sie im Typ "Eingehender Anspruch" den Namen für den eingehenden Anspruch ein, oder wählen Sie sie aus der Liste aus, wenn zuvor eine Anspruchsbeschreibung erstellt wurde. Wählen Sie zweitens unter Ausgehender Anspruchstyp die gewünschte Anspruchs-URL aus, und erstellen Sie dann eine Transformationsregel für die Vertrauensstellung der vertrauenden Seite, um den Geräteanspruch auszugeben.

Weitere Informationen zu Szenarien für die dynamische Zugriffssteuerung finden Sie in der Inhaltsroadmap für die Dynamische Zugriffssteuerung oder unter Verwendung von AD DS-Ansprüchen mit AD FS.

Erstellen einer Regel zum Transformieren eines eingehenden Anspruchs für eine Vertrauensstellung eines Anspruchsanbieters in Windows Server 2016

  1. Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.

  2. Klicken Sie in der Konsolenstruktur unter AD FS auf Anspruchsanbieter-Vertrauensstellungen. Screenshot, der zeigt, wo Anspruchsanbietervertrauensstellungen ausgewählt werden sollen, wenn Sie eine Regel erstellen, um einen eingehenden Anspruch in einer Anspruchsanbietervertrauensstellung in Windows Server 2016 zu transformieren.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie dann auf "Anspruchsregeln bearbeiten". Screenshot, der zeigt, wo Sie

  4. Klicken Sie im Dialogfeld "Anspruchsregeln bearbeiten" unter "Akzeptanztransformationsregeln" auf "Regel hinzufügen", um den Regel-Assistenten zu starten. Screenshot, der zeigt, wo Sie

  5. Wählen Sie auf der Seite Regelvorlage auswählen unter Anspruchsregelvorlage in der Liste die Option Eingehenden Anspruch transformieren aus, und klicken Sie anschließend auf Weiter. Screenshot: Auswahl der Vorlage zum Transformieren eines eingehenden Anspruchs beim Erstellen einer Regel zum Transformieren eines eingehenden Anspruchs an eine Vertrauensstellung des Anspruchsanbieters in Windows Server 2016

  6. Geben Sie auf der Seite " Regel konfigurieren " unter " Anspruchsregelname" den Anzeigenamen für diese Regel ein. Wählen Sie im Typ "Eingehender Anspruch" einen Anspruchstyp in der Liste aus. Wählen Sie im Typ "Ausgehender Anspruch" einen Anspruchstyp in der Liste aus, und wählen Sie dann eine der folgenden Optionen aus, die von den Anforderungen Ihrer Organisation abhängig sind:

    • Alle Anspruchswerte durchleiten

    • Ersetzen eines eingehenden Anspruchswerts durch einen anderen ausgehenden Anspruchswert

    • Ersetzen eingehender E-Mail-Suffixansprüche durch ein neues E-Mail-SuffixScreenshot, der zeigt, wo Sie den Namen der Anspruchsregel eingeben, wenn Sie eine Regel erstellen, um einen eingehenden Anspruch in einer Anspruchsanbieter-Vertrauensstellung in Windows Server 2016 zu transformieren

  7. Klicken Sie auf die Schaltfläche "Fertig stellen ".

  8. Klicken Sie im Dialogfeld "Anspruchsregeln bearbeiten " auf "OK ", um die Regel zu speichern.

Hinweis

Wenn Sie das Szenario für die dynamische Zugriffssteuerung einrichten, das AD FS-ausgestellte Ansprüche verwendet, erstellen Sie zuerst eine Transformationsregel für die Vertrauensstellung des Anspruchsanbieters und geben Sie im Typ "Eingehender Anspruch" den Namen für den eingehenden Anspruch ein, oder wählen Sie sie aus der Liste aus, wenn zuvor eine Anspruchsbeschreibung erstellt wurde. Wählen Sie zweitens unter Ausgehender Anspruchstyp die gewünschte Anspruchs-URL aus, und erstellen Sie dann eine Transformationsregel für die Vertrauensstellung der vertrauenden Seite, um den Geräteanspruch auszugeben.

Weitere Informationen zu Szenarien für die dynamische Zugriffssteuerung finden Sie in der Inhaltsroadmap für die Dynamische Zugriffssteuerung oder unter Verwendung von AD DS-Ansprüchen mit AD FS.

So erstellen Sie eine Regel zum Transformieren eines eingehenden Anspruchs in Windows Server 2012 R2

  1. Klicken Sie im Server-Manager auf "Extras" und dann auf "AD FS-Verwaltung".

  2. Klicken Sie in der Konsolenstruktur unter AD FS\Vertrauensstellungen entweder auf Anspruchsanbietervertrauensstellungen oder auf Vertrauensstellungen der vertrauenden Partei, und klicken Sie dann auf eine bestimmte Vertrauensstellung in der Liste, in der Sie diese Regel erstellen möchten.

  3. Klicken Sie mit der rechten Maustaste auf die ausgewählte Vertrauensstellung, und klicken Sie dann auf "Anspruchsregeln bearbeiten". Screenshot, der zeigt, wo Sie

  4. Wählen Sie im Dialogfeld "Anspruchsregeln bearbeiten" eine der folgenden Registerkarten aus, je nachdem, welche Vertrauensstellung Sie bearbeiten und in welchem Regelsatz Sie diese Regel erstellen möchten. Klicken Sie dann auf "Regel hinzufügen", um den Assistenten für Regelerstellung zu starten, der diesem Regelsatz zugeordnet ist.

    • Regeln für Akzeptanztransformationen

    • Ausstellungstransformationsregeln

    • Ausgabe-Autorisierungsregeln

    • Screenshot der Delegierungsautorisierungsregeln, der zeigt, wo Sie

  5. Wählen Sie auf der Seite Regelvorlage auswählen unter Anspruchsregelvorlage in der Liste die Option Eingehenden Anspruch transformieren aus, und klicken Sie anschließend auf Weiter. Screenshot, der zeigt, wo die Vorlage

  6. Geben Sie auf der Seite " Regel konfigurieren " unter " Anspruchsregelname" den Anzeigenamen für diese Regel ein. Wählen Sie im Typ "Eingehender Anspruch" einen Anspruchstyp in der Liste aus. Wählen Sie im Typ "Ausgehender Anspruch" einen Anspruchstyp in der Liste aus, und wählen Sie dann eine der folgenden Optionen aus, die von den Anforderungen Ihrer Organisation abhängig sind:

    • Alle Anspruchswerte durchleiten

    • Ersetzen eines eingehenden Anspruchswerts durch einen anderen ausgehenden Anspruchswert

    • Ersetzen eingehender E-Mail-Suffixansprüche durch ein neues E-Mail-SuffixRegel erstellen

Hinweis

Wenn Sie das Szenario für die dynamische Zugriffssteuerung einrichten, das AD FS-ausgestellte Ansprüche verwendet, erstellen Sie zuerst eine Transformationsregel für die Vertrauensstellung des Anspruchsanbieters und geben Sie im Typ "Eingehender Anspruch" den Namen für den eingehenden Anspruch ein, oder wählen Sie sie aus der Liste aus, wenn zuvor eine Anspruchsbeschreibung erstellt wurde. Wählen Sie zweitens unter Ausgehender Anspruchstyp die gewünschte Anspruchs-URL aus, und erstellen Sie dann eine Transformationsregel für die Vertrauensstellung der vertrauenden Seite, um den Geräteanspruch auszugeben.

Weitere Informationen zu Szenarien für die dynamische Zugriffssteuerung finden Sie in der Inhaltsroadmap für die Dynamische Zugriffssteuerung oder unter Verwendung von AD DS-Ansprüchen mit AD FS.

  1. Klicken Sie auf Fertig stellen.

  2. Klicken Sie im Dialogfeld "Anspruchsregeln bearbeiten " auf "OK ", um die Regel zu speichern.

Zusätzliche Verweise

Anspruchsregeln konfigurieren

Checkliste: Erstellen von Anspruchsregeln für eine Vertrauensstellung der vertrauenden Seite

Prüfliste: Erstellen von Anspruchsregeln für eine Anspruchsanbieter-Vertrauensstellung

Wann man eine Autorisierungsanspruchsregel verwenden sollte

Die Rolle von Ansprüchen

Die Rolle der Anspruchsregeln