Partager via

Créer une règle pour envoyer une revendication de méthode d’authentification

  • Article

Vous pouvez utiliser le modèle de règle Envoyer l’appartenance à un groupe en tant que revendications ou Transformer une revendication entrante pour envoyer une revendication de méthode d’authentification. La partie de confiance peut utiliser une revendication de méthode d’authentification pour déterminer le mécanisme d’ouverture de session que l’utilisateur utilise pour authentifier et obtenir des revendications de Services ADFS. Vous pouvez également utiliser la fonctionnalité Assurance du mécanisme d’authentification de Services ADFS dans Windows Server 2012 R2 en tant qu’entrée pour générer des revendications de méthode d’authentification pour les situations dans lesquelles la partie de confiance souhaite déterminer le niveau d’accès basé sur les ouvertures de session par carte à puce. Par exemple, un développeur peut attribuer différents niveaux d’accès aux utilisateurs fédérés de l’application de la partie de confiance. Les niveaux d’accès varient selon que les utilisateurs se connectent avec leurs informations d’identification de nom d’utilisateur et de mot de passe, ou avec leurs cartes à puce.

En fonction des exigences de votre organisation, utilisez l’une des procédures suivantes :

  • Créez cette règle à l’aide du modèle de règle Envoyer l’appartenance à un groupe en tant que revendications : vous pouvez utiliser ce modèle de règle lorsque vous souhaitez que le groupe que vous spécifiez dans ce modèle détermine au final la revendication de méthode d’authentification à émettre.

  • Créez cette règle à l’aide du modèle de règle Transformer une revendication entrante : vous pouvez utiliser ce modèle de règle lorsque vous souhaitez remplacer la méthode d’authentification existante par une nouvelle méthode d’authentification qui fonctionne avec un produit qui ne reconnaît pas les revendications de méthode d’authentification AD FS standard.

Pour créer à l’aide du modèle de règle Envoyer l’appartenance à un groupe en tant que revendications sur une approbation de partie de confiance dans Windows Server 2016

  1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sélectionnez Gestion AD FS.

  2. Dans l’arborescence de la console, sous AD FS, cliquez sur Approbations de partie de confiance. Screenshot that shows where to select Relying Party Trusts in the console tree when you create a rule by using the Send Group Membership as Claims rule template.

  3. Cliquez avec le bouton droit sur l’approbation sélectionnée, puis sélectionnez Modifier la stratégie d’émission de revendications. Screenshot that shows where to select the Edit Claim Issuance Policy menu option when you create a rule by using the Send Group Membership as Claims rule template.

  4. Dans la boîte de dialogue Modifier la stratégie d’émission de revendications, sous Règles de transformation d’émission, cliquez sur Ajouter une règle pour démarrer l’Assistant Règle. Screenshot that shows how to add a rule when you create a rule by using the Send Group Membership as Claims rule template.

  5. Dans la page Sélectionner un modèle de règle, sous Modèle de règle de revendication, sélectionnez Envoyer l’appartenance au groupe en tant que revendication dans la liste, puis Suivant. Screenshot that shows where to select the Send Group Membership as Claim template.

  6. Dans la page Configurer la règle, tapez un nom de règle de revendication.

  7. Cliquez sur Parcourir, sélectionnez le groupe dont les membres doivent recevoir cette revendication de méthode d’authentification, puis cliquez sur OK.

  8. Dans Type de revendication sortante, sélectionnez dans la liste Méthode d’authentification.

  9. Dans Valeur de revendication sortante, tapez l’une des valeurs par défaut URI (Uniform Resource Identifier) dans le tableau suivant, en fonction de votre méthode d’authentification préférée, puis cliquez sur Terminer, et cliquez sur OK pour enregistrer la règle.

Méthode d’authentification réelle URI correspondant
Authentification par nom d’utilisateur et mot de passe https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Authentification Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Authentification mutuelle du protocole TLS (Transport Layer Security) qui utilise des certificats X.509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Authentification basée sur X.509 qui n’utilise pas le protocole TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Screenshot that shows where to select Finish when you create a rule by using the Send Group Membership as Claims rule template in Windows Server 2016.

Pour créer à l’aide du modèle de règle Envoyer l’appartenance à un groupe en tant que revendications sur une approbation de fournisseur de revendications dans Windows Server 2016

  1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sélectionnez Gestion AD FS.

  2. Dans l’arborescence de la console, sous AD FS, cliquez sur Approbations de fournisseur de revendications. Screenshot that shows where to select Claims Provider Trusts when you create a rule by using the Send Group Membership as Claims rule template in Windows Server 2016.

  3. Cliquez avec le bouton droit sur l’approbation sélectionnée, puis sélectionnez Modifier les règles de revendication. Screenshot that shows where to select Edit Claim Rules when you create a rule by using the Send Group Membership as Claims rule template in Windows Server 2016.

  4. Dans la boîte de dialogue Modifier les règles de revendication, sous Règles de transformation d’acceptation, cliquez sur Ajouter une règle pour démarrer l’Assistant Règle. Screenshot that shows where to select the Add Rule button when you create a rule by using the Send Group Membership as Claims rule template in Windows Server 2016.

  5. Dans la page Sélectionner un modèle de règle, sous Modèle de règle de revendication, sélectionnez Envoyer l’appartenance au groupe en tant que revendication dans la liste, puis Suivant. Screenshot that shows where to select the Send Group Membership as Claim template when you create a rule in Windows Server 2016.

  6. Dans la page Configurer la règle, tapez un nom de règle de revendication.

  7. Cliquez sur Parcourir, sélectionnez le groupe dont les membres doivent recevoir cette revendication de méthode d’authentification, puis cliquez sur OK.

  8. Dans Type de revendication sortante, sélectionnez dans la liste Méthode d’authentification.

  9. Dans Valeur de revendication sortante, tapez l’une des valeurs par défaut URI (Uniform Resource Identifier) dans le tableau suivant, en fonction de votre méthode d’authentification préférée, puis cliquez sur Terminer, et cliquez sur OK pour enregistrer la règle.

Méthode d’authentification réelle URI correspondant
Authentification par nom d’utilisateur et mot de passe https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Authentification Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Authentification mutuelle du protocole TLS (Transport Layer Security) qui utilise des certificats X.509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Authentification basée sur X.509 qui n’utilise pas le protocole TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Screenshot that shows where to select Finish when you create a rule by using the Send Group Membership as Claims rule template in Windows Server 2016.

Pour créer cette règle à l’aide du modèle de règle Transformer une revendication entrante sur une approbation de partie de confiance dans Windows Server 2016

  1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sélectionnez Gestion AD FS.

  2. Dans l’arborescence de la console, sous AD FS, cliquez sur Approbations de partie de confiance. Screenshot that shows where to select Relying Party Trusts in the console tree when you create a rule by using the transform an incoming claim rule template.

  3. Cliquez avec le bouton droit sur l’approbation sélectionnée, puis sélectionnez Modifier la stratégie d’émission de revendications. Screenshot that shows where to select Edit Claim Issuance Policy when you create a rule by using the transform an incoming claim rule template.

  4. Dans la boîte de dialogue Modifier la stratégie d’émission de revendications, sous Règles de transformation d’émission, cliquez sur Ajouter une règle pour démarrer l’Assistant Règle. Screenshot that shows where to select Add Rule when you create a rule by using the transform an incoming claim rule template.

  5. Dans la page Sélectionner un modèle de règle, sous Modèle de règle de revendication, sélectionnez Transformer une revendication entrante dans la liste, puis Suivant. Screenshot that shows where to select the Transform an Incoming Claim template when you create a rule.

  6. Dans la page Configurer la règle, tapez un nom de règle de revendication.

  7. Dans Type de revendication entrante, sélectionnez Méthode d’authentification dans la liste.

  8. Dans Type de revendication sortante, sélectionnez dans la liste Méthode d’authentification.

  9. Sélectionnez Remplacer une valeur de revendication entrante par une autre valeur de revendication sortante, puis procédez comme suit :

    1. Dans Valeur de revendication entrante, tapez l’une des valeurs URI suivantes basées sur l’URI de la méthode d’authentification réelle qui a été utilisée à l’origine, cliquez sur Terminer, puis cliquez sur OK pour enregistrer la règle.

    2. Dans Valeur de revendication sortante, tapez l’une des valeurs par défaut URI dans le tableau suivant, en fonction de votre nouveau choix de méthode d’authentification préférée, puis cliquez sur Terminer, et cliquez sur OK pour enregistrer la règle.

Méthode d’authentification réelle URI correspondant
Authentification par nom d’utilisateur et mot de passe https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Authentification Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Authentification mutuelle du protocole TLS qui utilise des certificats X.509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Authentification basée sur X.509 qui n’utilise pas le protocole TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Screenshot that shows where to select Finish when you create a rule by using the transform an incoming claim rule template.

Note

D’autres valeurs URI peuvent être utilisées en plus des valeurs dans la table. Les valeurs URI affichées dans le tableau précédent reflètent les URI que la partie de confiance accepte par défaut.

Pour créer cette règle afin de transformer un modèle de règle de revendication entrante sur une approbation de fournisseur de revendications dans Windows Server 2016

  1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sélectionnez Gestion AD FS.

  2. Dans l’arborescence de la console, sous AD FS, cliquez sur Approbations de fournisseur de revendications. Screenshot that shows where to select Claims Provider Trusts in the console tree when you create a rule by using the transform an incoming claim rule template in Windows Server 2016.

  3. Cliquez avec le bouton droit sur l’approbation sélectionnée, puis sélectionnez Modifier les règles de revendication. Screenshot that shows where to select Edit Claim Rules when you create a rule by using the transform an incoming claim rule template in Windows Server 2016.

  4. Dans la boîte de dialogue Modifier les règles de revendication, sous Règles de transformation d’acceptation, cliquez sur Ajouter une règle pour démarrer l’Assistant Règle. Screenshot that shows where to select Add Rule when you create a rule by using the transform an incoming claim rule template in Windows Server 2016.

  5. Dans la page Sélectionner un modèle de règle, sous Modèle de règle de revendication, sélectionnez Transformer une revendication entrante dans la liste, puis Suivant. Screenshot that shows where to select the Transform an Incoming Claim template when you create a rule in Windows Server 2016.

  6. Dans la page Configurer la règle, tapez un nom de règle de revendication.

  7. Dans Type de revendication entrante, sélectionnez Méthode d’authentification dans la liste.

  8. Dans Type de revendication sortante, sélectionnez dans la liste Méthode d’authentification.

  9. Sélectionnez Remplacer une valeur de revendication entrante par une autre valeur de revendication sortante, puis procédez comme suit :

    1. Dans Valeur de revendication entrante, tapez l’une des valeurs URI suivantes basées sur l’URI de la méthode d’authentification réelle qui a été utilisée à l’origine, cliquez sur Terminer, puis cliquez sur OK pour enregistrer la règle.

    2. Dans Valeur de revendication sortante, tapez l’une des valeurs par défaut URI dans le tableau suivant, en fonction de votre nouveau choix de méthode d’authentification préférée, puis cliquez sur Terminer, et cliquez sur OK pour enregistrer la règle.

Méthode d’authentification réelle URI correspondant
Authentification par nom d’utilisateur et mot de passe https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Authentification Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Authentification mutuelle du protocole TLS qui utilise des certificats X.509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Authentification basée sur X.509 qui n’utilise pas le protocole TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Screenshot that shows where to select Finish when you create a rule by using the transform an incoming claim rule template in Windows Server 2016.

Pour créer cette règle à l’aide du modèle de règle Envoyer l’appartenance au groupe en tant que revendications dans Windows Server 2012 R2

  1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sélectionnez Gestion AD FS.

  2. Dans l’arborescence de la console, sous AD FS\Trust Relationships, cliquez sur Approbations du fournisseur de revendications ou Approbations de parties de confiance, puis cliquez sur une approbation spécifique dans la liste dans laquelle vous souhaitez créer cette règle.

  3. Cliquez avec le bouton droit sur l’approbation sélectionnée, puis sélectionnez Modifier les règles de revendication. Screenshot that shows where to select Edit Claim Rules when you create a rule by using the Send Group Membership as Claims rule template.

  4. Dans la boîte de dialogue Modifier les règles de revendication, sélectionnez l’un des onglets suivants, en fonction de l’approbation que vous modifiez et de l’ensemble de règles dans lequel vous souhaitez créer cette règle, puis Ajouter une règle pour démarrer l’Assistant Règle associé à cet ensemble de règles :

    • Règles de transformation d’acceptation

    • Règles de transformation de l’émission

    • Règles d’autorisation de l’émission

    • Règles d’autorisation de la délégationScreenshot that shows where to select Add Rule when you create a rule by using the Send Group Membership as Claims rule template.

  5. Dans la page Sélectionner un modèle de règle, sous Modèle de règle de revendication, sélectionnez Envoyer l’appartenance au groupe en tant que revendication dans la liste, puis Suivant. Screenshot that shows where to select the Send Group Membership as a Claim template when you create a rule.

  6. Dans la page Configurer la règle, tapez un nom de règle de revendication.

  7. Cliquez sur Parcourir, sélectionnez le groupe dont les membres doivent recevoir cette revendication de méthode d’authentification, puis cliquez sur OK.

  8. Dans Type de revendication sortante, sélectionnez dans la liste Méthode d’authentification.

  9. Dans Valeur de revendication sortante, tapez l’une des valeurs par défaut URI (Uniform Resource Identifier) dans le tableau suivant, en fonction de votre méthode d’authentification préférée, puis cliquez sur Terminer, et cliquez sur OK pour enregistrer la règle.

Méthode d'authentification réelle URI correspondant
Authentification par nom d’utilisateur et mot de passe https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Authentification Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Authentification mutuelle du protocole TLS (Transport Layer Security) qui utilise des certificats X.509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Authentification basée sur X.509 qui n’utilise pas le protocole TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Screenshot that shows where to select Finish when you create a rule by using the Send Group Membership as Claims rule template.

Note

D’autres valeurs URI peuvent être utilisées en plus des valeurs dans la table. Les valeurs URI affichées dans le tableau précédent reflètent les URI que la partie de confiance accepte par défaut.

Pour créer cette règle à l’aide du modèle de règle Transformer une revendication entrante dans Windows Server 2012 R2

  1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sélectionnez Gestion AD FS.

  2. Dans l’arborescence de la console, sous AD FS\Trust Relationships, cliquez sur Approbations du fournisseur de revendications ou Approbations de parties de confiance, puis cliquez sur une approbation spécifique dans la liste dans laquelle vous souhaitez créer cette règle.

  3. Cliquez avec le bouton droit sur l’approbation sélectionnée, puis sélectionnez Modifier les règles de revendication. Screenshot that shows where to select Edit Claim Rules when you create a rule by using the Transform an Incoming Claim rule template in Windows Server 2012 R2.

  4. Dans la boîte de dialogue Modifier les règles de revendication, sélectionnez l’un des onglets suivants, en fonction de l’approbation que vous modifiez et de l’ensemble de règles dans lequel vous souhaitez créer cette règle, puis Ajouter une règle pour démarrer l’Assistant Règle associé à cet ensemble de règles :

    • Règles de transformation d’acceptation

    • Règles de transformation de l’émission

    • Règles d’autorisation de l’émission

    • Règles d’autorisation de la délégationScreenshot that shows where to select Add Rule when you create a rule by using the Transform an Incoming Claim rule template in Windows Server 2012 R2.

  5. Dans la page Sélectionner un modèle de règle, sous Modèle de règle de revendication, sélectionnez Transformer une revendication entrante dans la liste, puis Suivant. Screenshot that shows where to select the Transform an Incoming Claim template when you create a rule in Windows Server 2012 R2.

  6. Dans la page Configurer la règle, tapez un nom de règle de revendication.

  7. Dans Type de revendication entrante, sélectionnez Méthode d’authentification dans la liste.

  8. Dans Type de revendication sortante, sélectionnez dans la liste Méthode d’authentification.

  9. Sélectionnez Remplacer une valeur de revendication entrante par une autre valeur de revendication sortante, puis procédez comme suit :

    1. Dans Valeur de revendication entrante, tapez l’une des valeurs URI suivantes basées sur l’URI de la méthode d’authentification réelle qui a été utilisée à l’origine, cliquez sur Terminer, puis cliquez sur OK pour enregistrer la règle.

    2. Dans Valeur de revendication sortante, tapez l’une des valeurs par défaut URI dans le tableau suivant, en fonction de votre nouveau choix de méthode d’authentification préférée, puis cliquez sur Terminer, et cliquez sur OK pour enregistrer la règle.

Méthode d’authentification réelle URI correspondant
Authentification par nom d’utilisateur et mot de passe https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Authentification Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Authentification mutuelle du protocole TLS qui utilise des certificats X.509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Authentification basée sur X.509 qui n’utilise pas le protocole TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

create rule

Note

D’autres valeurs URI peuvent être utilisées en plus des valeurs dans la table. Les valeurs URI affichées dans le tableau précédent reflètent les URI que la partie de confiance accepte par défaut.

Références supplémentaires

Configurer les règles de revendication

Check-list : création de règles de revendication pour une approbation de partie de confiance

Check-list : création de règles de revendication pour une approbation de fournisseur de revendications

Quand utiliser une règle de revendication d’autorisation

Rôle des revendications

Rôle des règles de revendication