您可以使用 傳送群組成員資格作為宣告 規則範本或 轉換傳入宣告 規則範本來傳送驗證方法宣告。 信賴方可以使用驗證方法宣告來判斷使用者所利用的登入機制,並透過 Active Directory 同盟服務 (AD FS) 取得宣告。 您也可以利用 Windows Server 2012 R2 中 Active Directory 聯合身份驗證服務(AD FS)的驗證機制保證功能,來生成驗證方法宣告,這適用於信賴方希望根據智慧卡登入來判斷存取層級的情況。 例如,開發人員可以將不同層級的存取權指派給受信任方應用程式的同盟使用者。 存取層級取決於使用者是否使用其使用者名稱和密碼認證登入,而不是其智慧卡。
根據您的組織需求,使用下列其中一個程式:
使用傳送群組成員資格作為宣告的規則範本來建立此規則,當您希望此範本中指定的群組能最終決定要發出的驗證方法宣告時,即可使用此規則範本。
使用 轉換傳入宣告 規則範本建立此規則 - 當您想要將現有的驗證方法變更為新的驗證方法時,您可以使用此規則範本,以搭配無法辨識標準 AD FS 驗證方法宣告的產品使用。
若要在 Windows Server 2016 中於信賴憑證者信任上使用傳送群組成員資格作為宣告規則範本來建立
在 [伺服器管理員] 中,按一下 [工具],然後選取 [AD FS 管理]。
在主控台樹狀結構的 AD FS 底下,按一下 信賴憑證者信任。
右鍵點選選取的信任,然後點擊 編輯宣告發行原則。
![顯示如何在使用「傳送群組成員資格作為宣告」規則範本建立規則時,選擇 [編輯宣告發行原則] 功能表選項的螢幕擷圖。](media/create-a-rule-to-pass-through-or-filter-an-incoming-claim/claimrule10.png)
在 [ 編輯宣告發行原則 ] 對話方塊的 [ 發行轉換規則 ] 底下,按兩下 [ 新增規則 ] 以啟動規則精靈。
在 [ 選取規則範本 ] 頁面上的 [宣告規則範本] 底下,從清單中選取 [傳送群組成員資格為宣告 ],然後按 [ 下一步]。
![顯示如何選取 [傳送群組成員資格] 作為宣告的範本的螢幕快照。](media/create-a-rule-to-send-group-membership-as-a-claim/group3.png)
在 [設定規則] 頁面上,輸入宣告規則名稱。
按一下 [瀏覽],選取其成員應該接收此驗證方法宣告的群組,然後按一下 [確定]。
在 [傳出宣告類型] 中,選取清單中的 [驗證方法 ]。
在 [傳出宣告值] 中,根據您慣用的驗證方法,輸入下表中的其中一個默認統一資源標識符 (URI) 值,按兩下 [ 完成],然後按兩下 [ 確定 ] 以儲存規則。
| 實際驗證方法 | 對應的 URI |
|---|---|
| 使用者名稱和密碼驗證 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows 驗證 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| 使用 X.509 憑證的傳輸層安全性 (TLS) 相互驗證 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| 不使用 TLS 的 X.509 型驗證 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
![此螢幕快照顯示在 Windows Server 2016 中使用 [傳送群組成員資格作為宣告] 規則範本建立規則時,選取 [完成] 的位置。](media/create-a-rule-to-send-an-authentication-method-claim/auth2.png)
在 Windows Server 2016 的宣告提供者信任中使用 [將群組成員資格作為宣告傳送] 規則範本來進行建立
在 [伺服器管理員] 中,按一下 [工具],然後選取 [AD FS 管理]。
在主控台樹狀結構的 [AD FS] 底下,按一下 [宣告提供者信任]。
![此螢幕快照顯示當您在 Windows Server 2016 中使用 [傳送群組成員資格] 作為宣告規則範本建立規則時,選取 [宣告提供者信任] 的位置。](media/create-a-rule-to-pass-through-or-filter-an-incoming-claim/claimrule1.png)
在選取的信任上按滑鼠右鍵,然後點擊 [編輯宣告規則]
。 
在 [編輯宣告規則] 對話方塊的 [接受轉換規則] 底下,按一下 [新增規則] 以開始規則精靈。
![此螢幕快照顯示當您在 Windows Server 2016 中使用 [傳送群組成員資格] 作為宣告規則範本建立規則時,選取 [新增規則] 按鈕的位置。](media/create-a-rule-to-pass-through-or-filter-an-incoming-claim/claimrule3.png)
在 [ 選取規則範本 ] 頁面上的 [宣告規則範本] 底下,從清單中選取 [傳送群組成員資格為宣告 ],然後按 [ 下一步]。
在 [設定規則] 頁面上,輸入宣告規則名稱。
按一下 [瀏覽],選取其成員應該接收此驗證方法宣告的群組,然後按一下 [確定]。
在 [傳出宣告類型] 中,選取清單中的 [驗證方法 ]。
在 [傳出宣告值] 中,根據您慣用的驗證方法,輸入下表中的其中一個默認統一資源標識符 (URI) 值,按兩下 [ 完成],然後按兩下 [ 確定 ] 以儲存規則。
| 實際驗證方法 | 對應的 URI |
|---|---|
| 使用者名稱和密碼驗證 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows 驗證 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| 使用 X.509 憑證的傳輸層安全性 (TLS) 相互驗證 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| 不使用 TLS 的 X.509 型驗證 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
在 Windows Server 2016 中,若要使用轉換傳入宣告規則範本來建立信賴方信任中的規則
在 [伺服器管理員] 中,按一下 [工具],然後選取 [AD FS 管理]。
在主控台樹狀結構的 [AD FS] 底下,按一下 [信賴方信任]。
右鍵點選選取的信任,然後點擊 編輯宣告發行原則。
在 [ 編輯宣告發行原則 ] 對話方塊的 [ 發行轉換規則 ] 底下,按兩下 [ 新增規則 ] 以啟動規則精靈。
在 [ 選取規則範本 ] 頁面上的 [宣告規則範本] 底下,從清單中選取 [轉換傳入宣告 ],然後按 [ 下一步]。
![此螢幕擷取畫面顯示如何選取 [轉換傳入要求] 範本,當您建立規則時。](media/create-a-rule-to-transform-an-incoming-claim/transform3.png)
在 [設定規則] 頁面上,輸入宣告規則名稱。
在 [傳入宣告類型] 中,選取清單中的 [驗證方法 ]。
在 [傳出宣告類型] 中,選取清單中的 [驗證方法 ]。
選取 將輸入宣告值以不同的輸出宣告值取代,然後執行下列動作:
在 [連入宣告值] 中,輸入下列其中一個 URI 值,這些值是以原先使用的實際驗證方法 URI 為基礎,按兩下 [ 完成],然後按兩下 [ 確定 ] 以儲存規則。
在 [傳出宣告值] 中,輸入下表中的其中一個預設 URI 值,視您新的慣用驗證方法選擇而定,按兩下 [ 完成],然後按下 [ 確定 ] 以儲存規則。
| 實際驗證方法 | 對應的 URI |
|---|---|
| 使用者名稱和密碼驗證 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows 驗證 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| 使用 X.509 憑證的 TLS 相互驗證 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| 不使用 TLS 的 X.509 型驗證 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
![此螢幕快照顯示當您使用轉換傳入宣告規則範本建立規則時要選取 [完成] 的位置。](media/create-a-rule-to-send-an-authentication-method-claim/auth4.png)
Note
除了數據表中的值之外,還可以使用其他 URI 值。 上表中顯示的 URI 值反映了受託方預設接受的 URI。
若要使用 Windows Server 2016 中宣告提供者信任的「轉換傳入宣告規則範本」來建立此規則
在 [伺服器管理員] 中,按一下 [工具],然後選取 [AD FS 管理]。
在主控台樹狀結構的 [AD FS] 之下,按一下 [宣告提供者信任]。
在選取的信任上按滑鼠右鍵,然後點擊 [編輯宣告規則]
。
在 [編輯宣告規則] 對話方塊的 [接受轉換規則] 底下,按一下 [新增規則] 以開始規則精靈。
在 [ 選取規則範本 ] 頁面上的 [宣告規則範本] 底下,從清單中選取 [轉換傳入宣告 ],然後按 [ 下一步]。
在 [設定規則] 頁面上,輸入宣告規則名稱。
在 [傳入宣告類型] 中,選取清單中的 [驗證方法 ]。
在 [傳出宣告類型] 中,選取清單中的 [驗證方法 ]。
選取 將輸入宣告值以不同的輸出宣告值取代,然後執行下列動作:
在 [連入宣告值] 中,輸入下列其中一個 URI 值,這些值是以原先使用的實際驗證方法 URI 為基礎,按兩下 [ 完成],然後按兩下 [ 確定 ] 以儲存規則。
在 [傳出宣告值] 中,輸入下表中的其中一個預設 URI 值,視您新的慣用驗證方法選擇而定,按兩下 [ 完成],然後按下 [ 確定 ] 以儲存規則。
| 實際驗證方法 | 對應的 URI |
|---|---|
| 使用者名稱和密碼驗證 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows 驗證 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| 使用 X.509 憑證的 TLS 相互驗證 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| 不使用 TLS 的 X.509 型驗證 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
若要使用 Windows Server 2012 R2 中的「將群組成員資格發送為宣告」規則範本來建立此規則
在 [伺服器管理員] 中,按一下 [工具],然後選取 [AD FS 管理]。
在主控台樹的 [AD FS\信任關係] 下,按一下 [宣告提供者信任] 或 [信賴憑證者信任],然後按一下清單中的某個特定信任,以便建立此規則。
在選取的信任上按滑鼠右鍵,然後點擊 [編輯宣告規則]
。 ![顯示螢幕快照,說明如何在使用將群組成員資格傳送為宣告的規則範本時,選取 [編輯宣告規則]。](media/create-a-rule-to-pass-through-or-filter-an-incoming-claim/claimrule6.png)
在 [ 編輯宣告規則 ] 對話框中,根據您要編輯的信任,以及您要在其中建立此規則的規則集,選取下列其中一個索引卷標,然後按兩下 [ 新增規則 ] 以啟動與該規則集相關聯的規則精靈:
接受轉換規則
發行轉換規則
發行授權規則
委派授權規則
在 [ 選取規則範本 ] 頁面上的 [宣告規則範本] 底下,從清單中選取 [傳送群組成員資格為宣告 ],然後按 [ 下一步]。
在 [設定規則] 頁面上,輸入宣告規則名稱。
按一下 [瀏覽],選取其成員應該接收此驗證方法宣告的群組,然後按一下 [確定]。
在 [傳出宣告類型] 中,選取清單中的 [驗證方法 ]。
在 [傳出宣告值] 中,根據您慣用的驗證方法,輸入下表中的其中一個默認統一資源標識符 (URI) 值,按兩下 [ 完成],然後按兩下 [ 確定 ] 以儲存規則。
| 實際驗證方法 | 對應的 URI |
|---|---|
| 使用者名稱和密碼驗證 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows 驗證 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| 使用 X.509 憑證的傳輸層安全性 (TLS) 相互驗證 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| 不使用 TLS 的 X.509 型驗證 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
![此螢幕快照顯示當您使用傳送群組成員資格作為宣告規則範本建立規則時要選取 [完成] 的位置。](media/create-a-rule-to-send-an-authentication-method-claim/auth1.png)
Note
除了數據表中的值之外,還可以使用其他 URI 值。 先前表格中顯示的 URI 值反映了依賴方預設接受的 URI。
若要在 Windows Server 2012 R2 中使用「轉換傳入宣告規則」範本來建立此規則
在 [伺服器管理員] 中,按一下 [工具],然後按一下 [AD FS 管理]。
在主控台樹的 [AD FS\信任關係] 下,按一下 [宣告提供者信任] 或 [信賴憑證者信任],然後按一下清單中的某個特定信任,以便建立此規則。
在選取的信任上按滑鼠右鍵,然後點擊 [編輯宣告規則]
。
在 [ 編輯宣告規則 ] 對話框中,選取下列其中一個索引標籤,這取決於您要編輯的信任,以及您要建立此規則的規則集,然後按兩下 [ 新增規則 ] 以啟動與該規則集相關聯的規則精靈:
接受轉換規則
發行轉換規則
發行授權規則
委派授權規則
在 [ 選取規則範本 ] 頁面上的 [宣告規則範本] 底下,從清單中選取 [轉換傳入宣告 ],然後按 [ 下一步]。
![此螢幕擷取畫面顯示如何在 Windows Server 2012 R2 中建立規則時,選取 [轉換傳入宣告] 範本的位置。](media/create-a-rule-to-transform-an-incoming-claim/transform1.png)
在 [設定規則] 頁面上,輸入宣告規則名稱。
在 [傳入宣告類型] 中,選取清單中的 [驗證方法 ]。
在 [傳出宣告類型] 中,選取清單中的 [驗證方法 ]。
選取 將輸入宣告值以不同的輸出宣告值取代,然後執行下列動作:
在 [連入宣告值] 中,輸入下列其中一個 URI 值,這些值是以原先使用的實際驗證方法 URI 為基礎,按兩下 [ 完成],然後按兩下 [ 確定 ] 以儲存規則。
在 [傳出宣告值] 中,輸入下表中的其中一個預設 URI 值,視您新的慣用驗證方法選擇而定,按兩下 [ 完成],然後按下 [ 確定 ] 以儲存規則。
| 實際驗證方法 | 對應的 URI |
|---|---|
| 使用者名稱和密碼驗證 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows 驗證 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| 使用 X.509 憑證的 TLS 相互驗證 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| 不使用 TLS 的 X.509 型驗證 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
Note
除了數據表中的值之外,還可以使用其他 URI 值。 上表中顯示的 URI 值反映了受託方預設接受的 URI。
其他參考資料
聲明規則的作用