Konfigurieren Sie die Anspruchsregeln der abhängigen Partei in ADFS

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Bearbeiten Sie die Anspruchsregeln, um eine ordnungsgemäße Kommunikation mit der Instanz zu ermöglichen.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Prozedur

    1. Melden Sie sich beim ADFS-Server an, und öffnen Sie die Verwaltungskonsole.
    2. Klicken Sie mit der rechten Maustaste auf den Trust der vertrauenden Partei, und wählen Sie Anspruchsregeln bearbeitenaus.
    3. Klicken Sie auf die Registerkarte Ausgabe Transformationsregeln.
    4. Wählen Sie Regeln hinzufügen.
    5. Wählen Sie „LDAP-Attribut als Ansprüche senden“ als zu verwendende Anspruchsregelvorlage aus.
    6. Geben Sie der Forderung einen Namen wie z.  B. LDAP-Attribute abrufen.
    7. Legen Sie den Attributspeicher auf Active Directory, das LDAP-Attribut auf E-Mail-Adressenund den Typ des ausgehenden Anspruchs auf E-Mail-Adressefest.
      Attribut abrufen. 
      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]  
=> issue(store = "Active Directory", 
types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"), 
query = ";mail;{0}", param = c.Value);
    8. Wählen Sie Fertigstellen aus.
    9. Wählen Sie Regeln hinzufügen.
    10. Wählen Sie Eingehenden Anspruch transformieren als zu verwendende Anspruchsregelvorlage aus.
    11. Geben Sie dem Anspruch einen Namen, z. B. E-Mail an Namens-ID.
    12. Legen Sie in der vorherigen Regel den Typ des eingehenden Anspruchs auf den Typ des ausgehenden Anspruchs fest.
      Beispiel: E-Mail-Adresse.
    13. Legen Sie den Typ des ausgehenden Anspruchs auf Namens-ID und das Format der ausgehenden Namens-ID auf E-Mailfest.
      Hinweis:
      Diese Werte müssen mit der Namens-ID-Richtlinie übereinstimmen, die Sie während der SAML 2.0-Konfiguration definieren.
    14. Wählen Sie Alle Anspruchswerte übergeben aus.
      E-Mail an die Namens-ID.

      Diese Anspruchsregel sollte ähnlich wie die folgende Regelsprache aussehen.

      c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", 
Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, 
Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] 
= "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress");
    15. Klicken Sie auf Fertigstellen.