Konfigurieren Sie die Anspruchsregeln der abhängigen Partei für ADFS

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Bearbeiten Sie die Anspruchsregeln, um eine ordnungsgemäße Kommunikation mit der Instanz zu ermöglichen.

    Vorbereitungen

    Erforderliche Rolle: admin

    Prozedur

    1. Melden Sie sich beim ADFS-Server an, und öffnen Sie die Managementkonsole.
    2. Klicken Sie mit der rechten Maustaste auf den Trust der vertrauenden Partei, und wählen Sie Anspruchsregeln bearbeitenaus.
    3. Klicken Sie auf die Registerkarte Ausgabe-Transformationsregeln.
    4. Wählen Sie Regeln hinzufügen aus.
    5. Wählen Sie Send LDAP Attribute as Claims (LDAP-Attribut als Ansprüche senden) als zu verwendende Anspruchsregelvorlage aus.
    6. Geben Sie dem Anspruch einen Namen wie LDAP-Attribute abrufen.
    7. Legen Sie den Attributspeicher auf Active Directory, das LDAP-Attribut auf E-Mail-Adressenund den ausgehenden Anspruchstyp auf E-Mail-Adresse fest.
      Attribut abrufen. 
      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]  
=> issue(store = "Active Directory", 
types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"), 
query = ";mail;{0}", param = c.Value);
    8. Wählen Sie Fertigstellen aus.
    9. Wählen Sie Regeln hinzufügen aus.
    10. Wählen Sie Transform an Incoming Claim (Eingehenden Anspruch umwandeln) als zu verwendende Anspruchsregelvorlage aus.
    11. Geben Sie dem Anspruch einen Namen, z. B. E-Mail an Name ID.
    12. Legen Sie den eingehenden Anspruchstyp in der vorherigen Regel auf den ausgehenden Anspruchstyp fest.
      Beispiel: E-Mail-Adresse.
    13. Legen Sie den ausgehenden Anspruchstyp auf Namens-ID und das ausgehende Namens-ID-Format auf E- Mail fest.
      Hinweis:
      Diese Werte müssen mit der Namens-ID-Richtlinie übereinstimmen, die Sie während der SAML 2.0-Konfiguration definieren.
    14. Wählen Sie Alle Anspruchswerte übergeben aus.
      E-Mail an Name ID.

      Diese Anspruchsregel sollte der folgenden Regelsprache ähneln.

      c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", 
Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, 
Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] 
= "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress");
    15. Klicken Sie auf Fertigstellen.