Создание правила для отправки атрибутов LDAP в качестве утверждений

С помощью шаблона правила отправки атрибутов LDAP в виде утверждений в службах федерации Active Directory (AD FS) можно создать правило, которое будет выбирать атрибуты из хранилища атрибутов протокола LDAP, например Active Directory, для отправки в качестве утверждений проверяющей стороне. Например, этот шаблон правила можно использовать для создания правила отправки атрибутов LDAP в качестве правила утверждений, которое будет извлекать значения атрибутов для прошедших проверку подлинности пользователей из атрибутов displayName и telephoneNumber Active Directory, а затем отправлять эти значения в виде двух разных исходящих утверждений.

Это правило также можно использовать для отправки всех членств пользователя в группах. Если вы хотите переслать только индивидуальные участия в группах, используйте шаблон правила "Отправить членство в группе как утверждение". Вы можете использовать следующую процедуру, чтобы создать правило утверждения через оснастку управления AD FS.

Членство в группе Администраторы или эквивалентной на локальном компьютере является минимально необходимым для выполнения этой процедуры. Дополнительные сведения об использовании соответствующих учетных записей и членстве в группах см. в статье Local and Domain Default Groups (Локальные и доменные группы по умолчанию).

Создание правила для отправки атрибутов LDAP в качестве утверждений для доверия проверяющей стороны в Windows Server 2016

1. В диспетчере серверов щелкните Средства, а затем выберите Управление AD FS.

2. В дереве консоли в разделе AD FSщелкните доверенные стороны.

3. Щелкните правой кнопкой мыши выбранный объект доверия и выберите Изменить политику выдачи утверждений.

4. В диалоговом окне Редактирование политики выдачи утверждений в разделе Правила преобразования выдачи щелкните Добавить правило, чтобы запустить мастер правил.

5. На странице "Выбор шаблона правила " в разделе "Правило утверждения" выберите "Отправить атрибуты LDAP в качестве утверждений " в списке и нажмите кнопку "Далее".

6. На странице "Настройка правила " в разделе "Имя правила утверждения " введите отображаемое имя для этого правила, выберите хранилище атрибутов, а затем выберите атрибут LDAP и сопоставите его с типом исходящего утверждения.

7. Нажмите кнопку Готово.

8. В диалоговом окне Редактирование правил утверждений нажмите кнопку ОК, чтобы сохранить правило.

Создание правила для отправки атрибутов LDAP в качестве утверждений для доверия поставщика утверждений в Windows Server 2016

1. В диспетчере серверов щелкните Средства, а затем выберите Управление AD FS.

2. В дереве консоли в узле AD FSщелкните Доверенные поставщики утверждений.

3. Щелкните правой кнопкой мыши выбранную доверительную сторону, затем выберите Изменить правила утверждения.

4. В диалоговом окне Изменение правил утверждений в разделе Правила преобразования принятия щелкните Добавить правило, чтобы запустить мастер правил.

5. На странице "Выбор шаблона правила " в разделе "Правило утверждения" выберите "Отправить атрибуты LDAP в качестве утверждений " в списке и нажмите кнопку "Далее".

6. На странице "Настройка правила " в разделе "Имя правила утверждения " введите отображаемое имя для этого правила, выберите хранилище атрибутов, а затем выберите атрибут LDAP и сопоставите его с типом исходящего утверждения.

7. Нажмите кнопку Готово.

8. В диалоговом окне Редактирование правил утверждений нажмите кнопку ОК, чтобы сохранить правило.

Создание правила для отправки атрибутов LDAP в качестве утверждений для Windows Server 2012 R2

1. В диспетчере серверов щелкните Средства, а затем выберите Управление AD FS.

2. В дереве консоли в разделе AD FSAD FS\Trust Relationshipsщелкните Доверия поставщиков заявок или Доверия доверяющей стороны, а затем выберите конкретное доверие в списке, где вы хотите создать это правило.

3. Щелкните правой кнопкой мыши выбранную доверительную сторону, затем выберите Изменить правила утверждения.

4. В диалоговом окне Редактирование правил утверждений выберите одну из следующих вкладок в зависимости от доверия, которое вы редактируете, и набора правил, в котором вы хотите создать это правило, а затем щелкните Добавить правило, чтобы запустить мастер правил, связанный с этим набором правил.

   • правила преобразования акцепции

   • Правила преобразования выпуска

   • Правила авторизации выдачи

   • Снимок экрана правил авторизации делегирования

5. На странице "Выбор шаблона правила " в разделе "Правило утверждения" выберите "Отправить атрибуты LDAP в качестве утверждений " в списке и нажмите кнопку "Далее".

6. На странице Настройка правила в разделе Имя правила утверждения введите отображаемое имя для этого правила, в разделе Хранилище атрибутов выберите Active Directory, и в разделе Сопоставление атрибутов LDAP к типам исходящих утверждений выберите нужный Атрибут LDAP и соответствующий Тип исходящего утверждения из раскрывающихся списков.

   Необходимо выбрать новый атрибут LDAP и пару исходящих утверждений в другой строке для каждого атрибута Active Directory, для которого требуется выдать утверждение в рамках этого правила.

7. Нажмите кнопку Готово.

8. В диалоговом окне Редактирование правил утверждений нажмите кнопку ОК, чтобы сохранить правило.

Дополнительные ссылки

настройка правил утверждений

Контрольный список : Создание правил утверждений для доверия доверяющей стороны

Контрольный список: создание правил утверждений для Траста поставщика утверждений

Когда следует использовать правило утверждения авторизации

Роль исков

Роль правил утверждений