Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ein Anspruch ist eine Aussage, die eine Entität über sich selbst oder eine andere Entität trifft. Eine vertrauende Seite gibt die Ansprüche aus. Sie erhalten einen oder mehrere Werte und werden dann in Sicherheitstoken verpackt, die der Active Directory-Verbunddienste (AD FS)-Server ausgibt. In diesem Artikel werden die Syntax und die Erstellung von Ansprüchen behandelt. Informationen zur Forderungsausstellung finden Sie unter "Problembehandlung bei AD FS".
Verarbeiten von Anspruchsregeln
Claim rules are processed through the claims pipeline by using the claims engine. Das Anspruchsmodul ist eine logische Komponente von AD FS, die den Satz eingehender Ansprüche untersucht, die von einem Benutzer präsentiert werden. Je nach der Logik jeder Regel erzeugt es eine Ergebnismenge von Ansprüchen.
Wie man eine Anspruchsregel erstellt
Anspruchsregeln werden für jede Verbundvertrauensstellung innerhalb von AD FS separat erstellt. Sie werden nicht über mehrere Trusts verteilt. You can:
- Erstellen Sie eine Regel aus einer Anspruchsregelvorlage.
- Beginnen Sie ganz neu, indem Sie die Regel mithilfe der Anspruchsregelsprache erstellen.
- Verwenden Sie Windows PowerShell, um eine Regel anzupassen.
Komponenten der Anspruchsregelsprache
Die Anspruchsregelsprache besteht aus den folgenden Komponenten, getrennt durch den " =>" Operator:
- Eine Bedingung dient in einer Regel dazu, Eingabeansprüche zu überprüfen und zu bestimmen, ob die Ausstellungsanweisung der Regel ausgeführt werden soll. Es stellt einen logischen Ausdruck dar, der als wahr ausgewertet werden muss, um das Element des Regel-Bodys auszuführen.
- Eine Ausstellungsanweisung
Ein Beispiel:
c:[type == "Name", value == "domain user"] => issue(type = "Role", value = "employee");
Dieser Anspruch hat:
- Condition:
c:[type == "Name", value == "domain user"]evaluates the input claim of whether the Windows account name is a domain user. - Issuance:
issue(type = "Role", value = "employee")adds a new claim to the input claim with the role of employee, if the condition is true.
Weitere Informationen zu Ansprüchen und der Syntax finden Sie in der Rolle der Anspruchsregelsprache.
Anspruchsregel-Editor
The claims rule editor performs syntax checking after you finish the claim and select OK. Wenn Sie über die falsche Syntax verfügen, informiert der Editor Sie.
Event logs
Wenn Sie versuchen, eine Fehlerbehebung anhand der Protokolle vorzunehmen, suchen Sie am besten nach der Ausgabe der Ansprüche. Suchen Sie im Ereignisprotokoll nach 1000- und 1001-Ereignissen.
Erstellen einer Beispielanwendung
Sie können auch eine Beispielanwendung erstellen, die Ihre Ansprüche wiedergibt. Sie können z.B. eine Beispielanwendung verwenden und eine vertrauende Partei erstellen, die denselben Anspruch hat, den Sie zu beheben versuchen, und sehen, ob die App Probleme mit diesem Anspruch hat.
Eine gute Beispiel-Web-App ist verfügbar. Die App gibt die Ansprüche wieder, die sie von der vertrauenden Partei erhält. Um sie zu verwenden, bearbeiten Sie die web.config-App:
- Ändern Sie
https://app1.contoso.com/sampappin die URL, die zum Hosten der Beispiel-App verwendet wird. - Ändern Sie alle Instanzen von
sts.contoso.comso, dass sie auf Ihren AD FS-Server verweisen. - Ersetzen Sie den Fingerabdruck durch ihren Fingerabdruck.
- Ersetzen Sie die
decryptionKeyWerte und dievalidationKeyWerte durch Werte, die für Ihr Szenario geeignet sind.
Dieser Blogartikel enthält hervorragende, ausführliche Anleitungen zum Einrichten der App.