Condividi tramite

Creare una regola per inviare un'attestazione di metodo di autenticazione

  • Articolo

È possibile utilizzare il inviare l'appartenenza al gruppo come attestazioni modello di regola o il trasformare un'attestazione in ingresso modello di regola per inviare un'attestazione di metodo di autenticazione. La relying party può usare un'attestazione basata sul metodo di autenticazione per determinare il meccanismo di accesso che l'utente usa per autenticare e ottenere le attestazioni da Active Directory Federation Services (AD FS). È inoltre possibile usare la funzionalità di verifica del meccanismo di autenticazione di Active Directory Federation Services (AD FS) in Windows Server 2012 R2 come input per generare attestazioni basate sul metodo di autenticazione per casi in cui la relying party vuole determinare il livello di accesso basato su accessi con smart card. Ad esempio, uno sviluppatore può assegnare diversi livelli di accesso agli utenti federati dell'applicazione relying party. I livelli di accesso sono basati su se gli utenti accedono con le credenziali nome utente e password, anziché le smart card.

A seconda dei requisiti dell'organizzazione, utilizzare una delle seguenti procedure:

  • Creare questa regola usando il modello di regola Invia appartenenza ai gruppi come attestazioni. È possibile usare questo modello di regola quando si vuole che sia il gruppo specificato in questo modello a determinare l'attestazione basata su metodo di autenticazione da rilasciare.

  • Creare questa regola usando il modello di regola Trasformare un'attestazione in ingresso. È possibile usare questo modello di regola quando si vuole modificare il metodo di autenticazione esistente in un nuovo metodo di autenticazione compatibile con un prodotto che non riconosce le attestazioni basate su metodo di autenticazione AD FS standard.

Per creare tramite l'appartenenza al gruppo di invio come modello di regola attestazioni in un Trust della Relying Party in Windows Server 2016

  1. In Server Manager, fare clic su strumenti, quindi selezionare Gestione ADFS.

  2. Nell'albero della console, in ADFS, fare clic su attendibilità. Screenshot that shows where to select Relying Party Trusts in the console tree when you create a rule by using the Send Group Membership as Claims rule template.

  3. Fare clic con il pulsante destro del mouse sul trust selezionato e quindi fare clic su Modifica criteri di rilascio dell'attestazione. Screenshot that shows where to select the Edit Claim Issuance Policy menu option when you create a rule by using the Send Group Membership as Claims rule template.

  4. Nel Modifica criteri di rilascio dell'attestazione nella finestra di dialogo regole di trasformazione rilascio fare clic su Aggiungi regola per avviare la creazione guidata regola. Screenshot that shows how to add a rule when you create a rule by using the Send Group Membership as Claims rule template.

  5. Nel Seleziona modello di regola nella pagina modello di regola attestazione, selezionare inviare l'appartenenza al gruppo come attestazione dall'elenco, quindi fare clic su Avanti. Screenshot that shows where to select the Send Group Membership as Claim template.

  6. Nel configurare la regola digitare un nome di regola attestazione.

  7. Fare clic su Sfoglia, selezionare il gruppo i cui membri devono ricevere l'attestazione metodo di autenticazione e quindi fare clic su OK.

  8. In attestazione in uscita, selezionare metodo di autenticazione nell'elenco.

  9. In Valore attestazione in uscita digitare uno dei valori di URI (Uniform Resource Identifier) predefiniti URI valori nella tabella seguente, a seconda del metodo di autenticazione preferito, fare clic su Fine e quindi fare clic su OK per salvare la regola.

Metodo di autenticazione effettivo URI corrispondente
Mediante autenticazione con nome utente e password https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Autenticazione di Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Autenticazione reciproca TLS (Transport Layer Security) che usa i certificati X.509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Autenticazione basata su X.509 che non usa TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Screenshot that shows where to select Finish when you create a rule by using the Send Group Membership as Claims rule template in Windows Server 2016.

Per creare tramite l'appartenenza al gruppo di invio come modello di regola attestazioni in un Trust di Provider di attestazioni in Windows Server 2016

  1. In Server Manager, fare clic su strumenti, quindi selezionare Gestione ADFS.

  2. Nell'albero della console, in ADFS, fare clic su Provider di attestazioni. Screenshot that shows where to select Claims Provider Trusts when you create a rule by using the Send Group Membership as Claims rule template in Windows Server 2016.

  3. Fare clic con il pulsante destro del mouse sul trust selezionato e quindi fare clic su Modifica regole attestazioni. Screenshot that shows where to select Edit Claim Rules when you create a rule by using the Send Group Membership as Claims rule template in Windows Server 2016.

  4. Nel Modifica regole attestazione nella finestra di dialogo regole di trasformazione accettazione fare clic su Aggiungi regola per avviare la creazione guidata regola. Screenshot that shows where to select the Add Rule button when you create a rule by using the Send Group Membership as Claims rule template in Windows Server 2016.

  5. Nel Seleziona modello di regola nella pagina modello di regola attestazione, selezionare inviare l'appartenenza al gruppo come attestazione dall'elenco, quindi fare clic su Avanti. Screenshot that shows where to select the Send Group Membership as Claim template when you create a rule in Windows Server 2016.

  6. Nel configurare la regola digitare un nome di regola attestazione.

  7. Fare clic su Sfoglia, selezionare il gruppo i cui membri devono ricevere l'attestazione metodo di autenticazione e quindi fare clic su OK.

  8. In attestazione in uscita, selezionare metodo di autenticazione nell'elenco.

  9. In Valore attestazione in uscita digitare uno dei valori di URI (Uniform Resource Identifier) predefiniti URI valori nella tabella seguente, a seconda del metodo di autenticazione preferito, fare clic su Fine e quindi fare clic su OK per salvare la regola.

Metodo di autenticazione effettivo URI corrispondente
Mediante autenticazione con nome utente e password https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Autenticazione di Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Autenticazione reciproca TLS (Transport Layer Security) che usa i certificati X.509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Autenticazione basata su X.509 che non usa TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Screenshot that shows where to select Finish when you create a rule by using the Send Group Membership as Claims rule template in Windows Server 2016.

Per creare questa regola utilizzando la trasformazione un'attestazione in ingresso modello di regola in un Trust della Relying Party in Windows Server 2016

  1. In Server Manager, fare clic su strumenti, quindi selezionare Gestione ADFS.

  2. Nell'albero della console, in ADFS, fare clic su attendibilità. Screenshot that shows where to select Relying Party Trusts in the console tree when you create a rule by using the transform an incoming claim rule template.

  3. Fare clic con il pulsante destro del mouse sul trust selezionato e quindi fare clic su Modifica criteri di rilascio dell'attestazione. Screenshot that shows where to select Edit Claim Issuance Policy when you create a rule by using the transform an incoming claim rule template.

  4. Nel Modifica criteri di rilascio dell'attestazione nella finestra di dialogo regole di trasformazione rilascio fare clic su Aggiungi regola per avviare la creazione guidata regola. Screenshot that shows where to select Add Rule when you create a rule by using the transform an incoming claim rule template.

  5. Nel Seleziona modello di regola nella pagina modello di regola attestazione, selezionare trasformare un'attestazione in ingresso dall'elenco, quindi fare clic su Avanti. Screenshot that shows where to select the Transform an Incoming Claim template when you create a rule.

  6. Nel configurare la regola digitare un nome di regola attestazione.

  7. In tipo di attestazione in ingresso, selezionare metodo di autenticazione nell'elenco.

  8. In attestazione in uscita, selezionare metodo di autenticazione nell'elenco.

  9. Selezionare sostituire un valore di attestazione in ingresso con un diverso valore attestazione in uscita, e quindi eseguire le operazioni seguenti:

    1. In valore attestazione in ingresso, digitare uno dei seguenti valori URI che sono in base al metodo di autenticazione effettiva URI utilizzato originariamente, fare clic su Fine, quindi fare clic su OK per salvare la regola.

    2. In valore attestazione in uscita, digitare uno dei valori di URI predefinito nella tabella seguente, che dipende la scelta metodo di autenticazione preferito nuovo, fare clic su Fine, quindi fare clic su OK per salvare la regola.

Metodo di autenticazione effettivo URI corrispondente
Mediante autenticazione con nome utente e password https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Autenticazione di Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Autenticazione reciproca TLS che utilizza certificati x. 509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Autenticazione basata su X.509 che non usa TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Screenshot that shows where to select Finish when you create a rule by using the transform an incoming claim rule template.

Nota

Oltre ai valori nella tabella, è possono utilizzare altri valori URI. I valori URI presenti ion nella tabella precedente rappresentano gli URI che accetta la relying party per impostazione predefinita.

Per creare questa regola utilizzando la trasformazione un'attestazione in ingresso modello di regola in un Trust di Provider di attestazioni in Windows Server 2016

  1. In Server Manager, fare clic su strumenti, quindi selezionare Gestione ADFS.

  2. Nell'albero della console, in ADFS, fare clic su Provider di attestazioni. Screenshot that shows where to select Claims Provider Trusts in the console tree when you create a rule by using the transform an incoming claim rule template in Windows Server 2016.

  3. Fare clic con il pulsante destro del mouse sul trust selezionato e quindi fare clic su Modifica regole attestazioni. Screenshot that shows where to select Edit Claim Rules when you create a rule by using the transform an incoming claim rule template in Windows Server 2016.

  4. Nel Modifica regole attestazione nella finestra di dialogo regole di trasformazione accettazione fare clic su Aggiungi regola per avviare la creazione guidata regola. Screenshot that shows where to select Add Rule when you create a rule by using the transform an incoming claim rule template in Windows Server 2016.

  5. Nel Seleziona modello di regola nella pagina modello di regola attestazione, selezionare trasformare un'attestazione in ingresso dall'elenco, quindi fare clic su Avanti. Screenshot that shows where to select the Transform an Incoming Claim template when you create a rule in Windows Server 2016.

  6. Nel configurare la regola digitare un nome di regola attestazione.

  7. In tipo di attestazione in ingresso, selezionare metodo di autenticazione nell'elenco.

  8. In attestazione in uscita, selezionare metodo di autenticazione nell'elenco.

  9. Selezionare sostituire un valore di attestazione in ingresso con un diverso valore attestazione in uscita, e quindi eseguire le operazioni seguenti:

    1. In valore attestazione in ingresso, digitare uno dei seguenti valori URI che sono in base al metodo di autenticazione effettiva URI utilizzato originariamente, fare clic su Fine, quindi fare clic su OK per salvare la regola.

    2. In valore attestazione in uscita, digitare uno dei valori di URI predefinito nella tabella seguente, che dipende la scelta metodo di autenticazione preferito nuovo, fare clic su Fine, quindi fare clic su OK per salvare la regola.

Metodo di autenticazione effettivo URI corrispondente
Mediante autenticazione con nome utente e password https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Autenticazione di Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Autenticazione reciproca TLS che utilizza certificati x. 509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Autenticazione basata su X.509 che non usa TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Screenshot that shows where to select Finish when you create a rule by using the transform an incoming claim rule template in Windows Server 2016.

Creare la regola tramite l'appartenenza al gruppo di invio come modello di regola attestazioni in Windows Server 2012 R2

  1. In Server Manager, fare clic su strumenti, quindi selezionare Gestione ADFS.

  2. Nell'albero della console in AD FS\Relazioni di trust, fare clic su Trust provider di attestazioni o su Trust relying party e quindi fare clic su una relazione di trust specifica nell'elenco in cui si vuole creare questa regola.

  3. Fare clic con il pulsante destro del mouse sul trust selezionato e quindi fare clic su Modifica regole attestazioni. Screenshot that shows where to select Edit Claim Rules when you create a rule by using the Send Group Membership as Claims rule template.

  4. Nel Modifica regole attestazione nella finestra di dialogo selezionare una delle seguenti schede, in base ai trust che si sta modificando e set di regola che si desidera creare questa regola e quindi fare clic su Aggiungi regola per avviare la creazione guidata regola associata a tale set di regole:

    • Regole di trasformazione accettazione

    • Regole di trasformazione rilascio

    • Regole di autorizzazione rilascio

    • Regole di autorizzazione delegaScreenshot that shows where to select Add Rule when you create a rule by using the Send Group Membership as Claims rule template.

  5. Nel Seleziona modello di regola nella pagina modello di regola attestazione, selezionare inviare l'appartenenza al gruppo come attestazione dall'elenco, quindi fare clic su Avanti. Screenshot that shows where to select the Send Group Membership as a Claim template when you create a rule.

  6. Nel configurare la regola digitare un nome di regola attestazione.

  7. Fare clic su Sfoglia, selezionare il gruppo i cui membri devono ricevere l'attestazione metodo di autenticazione e quindi fare clic su OK.

  8. In attestazione in uscita, selezionare metodo di autenticazione nell'elenco.

  9. In Valore attestazione in uscita digitare uno dei valori di URI (Uniform Resource Identifier) predefiniti URI valori nella tabella seguente, a seconda del metodo di autenticazione preferito, fare clic su Fine e quindi fare clic su OK per salvare la regola.

Metodo di autenticazione effettivo URI corrispondente
Mediante autenticazione con nome utente e password https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Autenticazione di Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Autenticazione reciproca TLS (Transport Layer Security) che usa i certificati X.509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Autenticazione basata su X.509 che non usa TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Screenshot that shows where to select Finish when you create a rule by using the Send Group Membership as Claims rule template.

Nota

Oltre ai valori nella tabella, è possono utilizzare altri valori URI. I valori URI che vengono visualizzati nella tabella precedente rappresentano gli URI che accetta la relying party per impostazione predefinita.

Per creare questa regola utilizzando la trasformazione di un modello di regola attestazione in ingresso in Windows Server 2012 R2

  1. In Server Manager, fare clic su strumenti, quindi fare clic su Gestione ADFS.

  2. Nell'albero della console in AD FS\Relazioni di trust, fare clic su Trust provider di attestazioni o su Trust relying party e quindi fare clic su una relazione di trust specifica nell'elenco in cui si vuole creare questa regola.

  3. Fare clic con il pulsante destro del mouse sul trust selezionato e quindi fare clic su Modifica regole attestazioni. Screenshot that shows where to select Edit Claim Rules when you create a rule by using the Transform an Incoming Claim rule template in Windows Server 2012 R2.

  4. Nel Modifica regole attestazione la finestra di dialogo, selezionare una le schede seguenti, che dipende la relazione di trust che si sta modificando e nel quale set di regole si desidera creare questa regola e quindi fare clic su Aggiungi regola per avviare la creazione guidata regola associata a tale set di regole:

    • Regole di trasformazione accettazione

    • Regole di trasformazione rilascio

    • Regole di autorizzazione rilascio

    • Regole di autorizzazione delegaScreenshot that shows where to select Add Rule when you create a rule by using the Transform an Incoming Claim rule template in Windows Server 2012 R2.

  5. Nel Seleziona modello di regola nella pagina modello di regola attestazione, selezionare trasformare un'attestazione in ingresso dall'elenco, quindi fare clic su Avanti. Screenshot that shows where to select the Transform an Incoming Claim template when you create a rule in Windows Server 2012 R2.

  6. Nel configurare la regola digitare un nome di regola attestazione.

  7. In tipo di attestazione in ingresso, selezionare metodo di autenticazione nell'elenco.

  8. In attestazione in uscita, selezionare metodo di autenticazione nell'elenco.

  9. Selezionare sostituire un valore di attestazione in ingresso con un diverso valore attestazione in uscita, e quindi eseguire le operazioni seguenti:

    1. In valore attestazione in ingresso, digitare uno dei seguenti valori URI che sono in base al metodo di autenticazione effettiva URI utilizzato originariamente, fare clic su Fine, quindi fare clic su OK per salvare la regola.

    2. In valore attestazione in uscita, digitare uno dei valori di URI predefinito nella tabella seguente, che dipende la scelta metodo di autenticazione preferito nuovo, fare clic su Fine, quindi fare clic su OK per salvare la regola.

Metodo di autenticazione effettivo URI corrispondente
Mediante autenticazione con nome utente e password https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Autenticazione di Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Autenticazione reciproca TLS che utilizza certificati x. 509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Autenticazione basata su X.509 che non usa TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

create rule

Nota

Oltre ai valori nella tabella, è possono utilizzare altri valori URI. I valori URI presenti ion nella tabella precedente rappresentano gli URI che accetta la relying party per impostazione predefinita.

Altri riferimenti

Configurare le regole delle attestazioni

Elenco di controllo: Creazione di regole attestazione per un trust di relying party

Elenco di controllo: Creazione di regole attestazione per un trust di provider di attestazioni

Quando usare una regola attestazione di autorizzazione

Ruolo delle attestazioni

Ruolo delle regole delle attestazioni