Поделиться через

Создание правила для отправки утверждения методов аутентификации

Вы можете использовать шаблон правила "Отправить членство в группе" в качестве правила утверждений или шаблон правила преобразования правила входящего утверждения для отправки утверждения метода проверки подлинности. Проверяющая сторона может использовать утверждение метода проверки подлинности для определения механизма входа, используемого пользователем для проверки подлинности и получения утверждений из службы федерации Active Directory (AD FS) (AD FS). Вы также можете использовать функцию проверки подлинности службы федерации Active Directory (AD FS) (AD FS) в Windows Server 2012 R2 в качестве входных данных для создания утверждений метода проверки подлинности для ситуаций, в которых проверяющая сторона хочет определить уровень доступа, основанный на смарт-карта входа. Например, разработчик может назначать различные уровни доступа федеративных пользователей приложения проверяющей стороны. Уровни доступа основаны на том, входят ли пользователи в систему с использованием имени пользователя и учетных данных пароля, а не смарт-карта.

В зависимости от требований организации используйте одну из следующих процедур:

  • Создайте это правило с помощью шаблона правила отправки членства в группах в качестве правила утверждений . Этот шаблон правила можно использовать при желании группы, указанной в этом шаблоне, чтобы в конечном итоге определить, какое утверждение метода проверки подлинности будет выдаваться.

  • Создайте это правило с помощью шаблона правила преобразования правила входящего утверждения . Этот шаблон правила можно использовать, если вы хотите изменить существующий метод проверки подлинности на новый метод проверки подлинности, который работает с продуктом, который не распознает стандартные утверждения метода проверки подлинности AD FS.

Создание с помощью шаблона правила "Отправить членство в группах в качестве утверждений" в доверии проверяющей стороны в Windows Server 2016

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В дереве консоли в разделе AD FS щелкните "Доверие проверяющей стороны". Screenshot that shows where to select Relying Party Trusts in the console tree when you create a rule by using the Send Group Membership as Claims rule template.

  3. Щелкните правой кнопкой мыши выбранное доверие и выберите команду "Изменить политику выдачи утверждений". Screenshot that shows where to select the Edit Claim Issuance Policy menu option when you create a rule by using the Send Group Membership as Claims rule template.

  4. В диалоговом окне "Изменить политику выдачи утверждений" в разделе "Правила преобразования выдачи" нажмите кнопку "Добавить правило", чтобы запустить мастер правил. Screenshot that shows how to add a rule when you create a rule by using the Send Group Membership as Claims rule template.

  5. На странице "Выбор шаблона правила" в разделе "Правило утверждения" выберите "Отправить членство в группе в качестве утверждения" из списка и нажмите кнопку "Далее". Screenshot that shows where to select the Send Group Membership as Claim template.

  6. На странице "Настройка правила" введите имя правила утверждения.

  7. Нажмите кнопку "Обзор", выберите группу, участники которой должны получать это утверждение метода проверки подлинности, и нажмите кнопку "ОК".

  8. В типе исходящих утверждений выберите метод проверки подлинности в списке.

  9. В значении исходящего утверждения введите одно из значений универсального идентификатора ресурса (URI) по умолчанию в следующей таблице в зависимости от предпочтительного метода проверки подлинности, нажмите кнопку "Готово" и нажмите кнопку "ОК", чтобы сохранить правило.

Фактический метод проверки подлинности Соответствующий код URI
Проверка подлинности с помощью имени пользователя и пароля https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Проверка подлинности Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Взаимная проверка подлинности транспортного уровня (TLS), использующая сертификаты X.509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Проверка подлинности на основе X.509, которая не использует TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Screenshot that shows where to select Finish when you create a rule by using the Send Group Membership as Claims rule template in Windows Server 2016.

Создание с помощью шаблона правила "Отправить членство в группе в качестве утверждений" в доверии поставщика утверждений в Windows Server 2016

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В дереве консоли в разделе AD FS щелкните "Отношения доверия поставщиков утверждений". Screenshot that shows where to select Claims Provider Trusts when you create a rule by using the Send Group Membership as Claims rule template in Windows Server 2016.

  3. Щелкните правой кнопкой мыши выбранное доверие и выберите команду "Изменить правила утверждения". Screenshot that shows where to select Edit Claim Rules when you create a rule by using the Send Group Membership as Claims rule template in Windows Server 2016.

  4. В диалоговом окне "Изменение правил утверждений" в разделе "Правила преобразования принятия" нажмите кнопку "Добавить правило", чтобы запустить мастер правил. Screenshot that shows where to select the Add Rule button when you create a rule by using the Send Group Membership as Claims rule template in Windows Server 2016.

  5. На странице "Выбор шаблона правила" в разделе "Правило утверждения" выберите "Отправить членство в группе в качестве утверждения" из списка и нажмите кнопку "Далее". Screenshot that shows where to select the Send Group Membership as Claim template when you create a rule in Windows Server 2016.

  6. На странице "Настройка правила" введите имя правила утверждения.

  7. Нажмите кнопку "Обзор", выберите группу, участники которой должны получать это утверждение метода проверки подлинности, и нажмите кнопку "ОК".

  8. В типе исходящих утверждений выберите метод проверки подлинности в списке.

  9. В значении исходящего утверждения введите одно из значений универсального идентификатора ресурса (URI) по умолчанию в следующей таблице в зависимости от предпочтительного метода проверки подлинности, нажмите кнопку "Готово" и нажмите кнопку "ОК", чтобы сохранить правило.

Фактический метод проверки подлинности Соответствующий код URI
Проверка подлинности с помощью имени пользователя и пароля https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Проверка подлинности Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Взаимная проверка подлинности транспортного уровня (TLS), использующая сертификаты X.509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Проверка подлинности на основе X.509, которая не использует TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Screenshot that shows where to select Finish when you create a rule by using the Send Group Membership as Claims rule template in Windows Server 2016.

Создание этого правила с помощью шаблона правила входящего утверждения для доверия проверяющей стороны в Windows Server 2016

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В дереве консоли в разделе AD FS щелкните "Доверие проверяющей стороны". Screenshot that shows where to select Relying Party Trusts in the console tree when you create a rule by using the transform an incoming claim rule template.

  3. Щелкните правой кнопкой мыши выбранное доверие и выберите команду "Изменить политику выдачи утверждений". Screenshot that shows where to select Edit Claim Issuance Policy when you create a rule by using the transform an incoming claim rule template.

  4. В диалоговом окне "Изменить политику выдачи утверждений" в разделе "Правила преобразования выдачи" нажмите кнопку "Добавить правило", чтобы запустить мастер правил. Screenshot that shows where to select Add Rule when you create a rule by using the transform an incoming claim rule template.

  5. На странице "Выбор шаблона правила" в разделе "Правило утверждения" выберите "Преобразовать входящее утверждение" из списка и нажмите кнопку "Далее". Screenshot that shows where to select the Transform an Incoming Claim template when you create a rule.

  6. На странице "Настройка правила" введите имя правила утверждения.

  7. В типе входящего утверждения выберите метод проверки подлинности в списке.

  8. В типе исходящих утверждений выберите метод проверки подлинности в списке.

  9. Выберите " Заменить входящее значение утверждения" другим исходящим значением утверждения, а затем выполните следующие действия:

    1. В качестве значения входящего утверждения введите одно из следующих значений URI, основанных на фактическом URI метода проверки подлинности, который использовался первоначально, нажмите кнопку "Готово", а затем нажмите кнопку "ОК", чтобы сохранить правило.

    2. В значении исходящего утверждения введите одно из значений URI по умолчанию в следующей таблице, которое зависит от выбранного метода проверки подлинности, нажмите кнопку "Готово" и нажмите кнопку "ОК", чтобы сохранить правило.

Фактический метод проверки подлинности Соответствующий код URI
Проверка подлинности с помощью имени пользователя и пароля https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Проверка подлинности Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Взаимная проверка подлинности TLS, использующая сертификаты X.509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Проверка подлинности на основе X.509, которая не использует TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Screenshot that shows where to select Finish when you create a rule by using the transform an incoming claim rule template.

Примечание.

Другие значения URI можно использовать в дополнение к значениям в таблице. Значения URI, отображаемые в предыдущей таблице, отражают URI, которые проверяющая сторона принимает по умолчанию.

Создание этого правила с помощью шаблона правила входящего утверждения в доверии поставщика утверждений в Windows Server 2016

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В дереве консоли в разделе AD FS щелкните "Отношения доверия поставщиков утверждений". Screenshot that shows where to select Claims Provider Trusts in the console tree when you create a rule by using the transform an incoming claim rule template in Windows Server 2016.

  3. Щелкните правой кнопкой мыши выбранное доверие и выберите команду "Изменить правила утверждения". Screenshot that shows where to select Edit Claim Rules when you create a rule by using the transform an incoming claim rule template in Windows Server 2016.

  4. В диалоговом окне "Изменение правил утверждений" в разделе "Правила преобразования принятия" нажмите кнопку "Добавить правило", чтобы запустить мастер правил. Screenshot that shows where to select Add Rule when you create a rule by using the transform an incoming claim rule template in Windows Server 2016.

  5. На странице "Выбор шаблона правила" в разделе "Правило утверждения" выберите "Преобразовать входящее утверждение" из списка и нажмите кнопку "Далее". Screenshot that shows where to select the Transform an Incoming Claim template when you create a rule in Windows Server 2016.

  6. На странице "Настройка правила" введите имя правила утверждения.

  7. В типе входящего утверждения выберите метод проверки подлинности в списке.

  8. В типе исходящих утверждений выберите метод проверки подлинности в списке.

  9. Выберите " Заменить входящее значение утверждения" другим исходящим значением утверждения, а затем выполните следующие действия:

    1. В качестве значения входящего утверждения введите одно из следующих значений URI, основанных на фактическом URI метода проверки подлинности, который использовался первоначально, нажмите кнопку "Готово", а затем нажмите кнопку "ОК", чтобы сохранить правило.

    2. В значении исходящего утверждения введите одно из значений URI по умолчанию в следующей таблице, которое зависит от выбранного метода проверки подлинности, нажмите кнопку "Готово" и нажмите кнопку "ОК", чтобы сохранить правило.

Фактический метод проверки подлинности Соответствующий код URI
Проверка подлинности с помощью имени пользователя и пароля https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Проверка подлинности Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Взаимная проверка подлинности TLS, использующая сертификаты X.509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Проверка подлинности на основе X.509, которая не использует TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Screenshot that shows where to select Finish when you create a rule by using the transform an incoming claim rule template in Windows Server 2016.

Создание этого правила с помощью шаблона правила "Отправить членство в группе в качестве утверждений" в Windows Server 2012 R2

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В дереве консоли в разделе "Отношения доверия ad FS\Trusts" щелкните " Доверие поставщика утверждений" или "Доверие проверяющей стороны", а затем щелкните определенное доверие в списке, где вы хотите создать это правило.

  3. Щелкните правой кнопкой мыши выбранное доверие и выберите команду "Изменить правила утверждения". Screenshot that shows where to select Edit Claim Rules when you create a rule by using the Send Group Membership as Claims rule template.

  4. В диалоговом окне "Изменить правила утверждений" выберите одну из следующих вкладок в зависимости от того, в каком доверии вы редактируете и в каком наборе правил нужно создать это правило, а затем нажмите кнопку "Добавить правило", чтобы запустить мастер правил, связанный с этим набором правил:

    • Правила преобразования приемки

    • Правила преобразования выпуска

    • Правила авторизации выпуска

    • Правила авторизации делегированияScreenshot that shows where to select Add Rule when you create a rule by using the Send Group Membership as Claims rule template.

  5. На странице "Выбор шаблона правила" в разделе "Правило утверждения" выберите "Отправить членство в группе в качестве утверждения" из списка и нажмите кнопку "Далее". Screenshot that shows where to select the Send Group Membership as a Claim template when you create a rule.

  6. На странице "Настройка правила" введите имя правила утверждения.

  7. Нажмите кнопку "Обзор", выберите группу, участники которой должны получать это утверждение метода проверки подлинности, и нажмите кнопку "ОК".

  8. В типе исходящих утверждений выберите метод проверки подлинности в списке.

  9. В значении исходящего утверждения введите одно из значений универсального идентификатора ресурса (URI) по умолчанию в следующей таблице в зависимости от предпочтительного метода проверки подлинности, нажмите кнопку "Готово" и нажмите кнопку "ОК", чтобы сохранить правило.

Фактический метод проверки подлинности Соответствующий код URI
Проверка подлинности с помощью имени пользователя и пароля https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Проверка подлинности Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Взаимная проверка подлинности транспортного уровня (TLS), использующая сертификаты X.509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Проверка подлинности на основе X.509, которая не использует TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Screenshot that shows where to select Finish when you create a rule by using the Send Group Membership as Claims rule template.

Примечание.

Другие значения URI можно использовать в дополнение к значениям в таблице. Значения URI, отображаемые в предыдущей таблице, отражают URI, которые проверяющая сторона принимает по умолчанию.

Создание этого правила с помощью шаблона правила входящего утверждения в Windows Server 2012 R2

  1. В диспетчер сервера щелкните "Сервис" и щелкните "Управление AD FS".

  2. В дереве консоли в разделе "Отношения доверия ad FS\Trusts" щелкните " Доверие поставщика утверждений" или "Доверие проверяющей стороны", а затем щелкните определенное доверие в списке, где вы хотите создать это правило.

  3. Щелкните правой кнопкой мыши выбранное доверие и выберите команду "Изменить правила утверждения". Screenshot that shows where to select Edit Claim Rules when you create a rule by using the Transform an Incoming Claim rule template in Windows Server 2012 R2.

  4. В диалоговом окне "Изменить правила утверждений" выберите одну из следующих вкладок, которые зависят от доверия, в котором вы редактируете и в каком наборе правил нужно создать это правило, а затем нажмите кнопку "Добавить правило", чтобы запустить мастер правил, связанный с этим набором правил:

    • Правила преобразования приемки

    • Правила преобразования выпуска

    • Правила авторизации выпуска

    • Правила авторизации делегированияScreenshot that shows where to select Add Rule when you create a rule by using the Transform an Incoming Claim rule template in Windows Server 2012 R2.

  5. На странице "Выбор шаблона правила" в разделе "Правило утверждения" выберите "Преобразовать входящее утверждение" из списка и нажмите кнопку "Далее". Screenshot that shows where to select the Transform an Incoming Claim template when you create a rule in Windows Server 2012 R2.

  6. На странице "Настройка правила" введите имя правила утверждения.

  7. В типе входящего утверждения выберите метод проверки подлинности в списке.

  8. В типе исходящих утверждений выберите метод проверки подлинности в списке.

  9. Выберите " Заменить входящее значение утверждения" другим исходящим значением утверждения, а затем выполните следующие действия:

    1. В качестве значения входящего утверждения введите одно из следующих значений URI, основанных на фактическом URI метода проверки подлинности, который использовался первоначально, нажмите кнопку "Готово", а затем нажмите кнопку "ОК", чтобы сохранить правило.

    2. В значении исходящего утверждения введите одно из значений URI по умолчанию в следующей таблице, которое зависит от выбранного метода проверки подлинности, нажмите кнопку "Готово" и нажмите кнопку "ОК", чтобы сохранить правило.

Фактический метод проверки подлинности Соответствующий код URI
Проверка подлинности с помощью имени пользователя и пароля https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Проверка подлинности Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Взаимная проверка подлинности TLS, использующая сертификаты X.509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Проверка подлинности на основе X.509, которая не использует TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

create rule

Примечание.

Другие значения URI можно использовать в дополнение к значениям в таблице. Значения URI, отображаемые в предыдущей таблице, отражают URI, которые проверяющая сторона принимает по умолчанию.

Дополнительная справка

Настройка правил для утверждения

Контрольный список. Создание правил утверждений для доверия проверяющей стороны

Контрольный список. Создание правил утверждений для доверия поставщика утверждений

Когда следует использовать правило утверждения авторизации

Роль утверждений

Роль правил утверждений