Konfigurieren Sie die ADFS-Anspruchsregeln für vertrauende Parteien

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Bearbeiten Sie die Anspruchsregeln, um eine ordnungsgemäße Kommunikation mit der Instanz zu ermöglichen.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Prozedur

    1. Melden Sie sich beim ADFS-Server an, und öffnen Sie die Verwaltungskonsole.
    2. Klicken Sie mit der rechten Maustaste auf das Vertrauen der vertrauenden Partei, und wählen Sie aus Bearbeiten Sie Anspruchsregeln .
    3. Klicken Sie auf Regeln Für Ausgabetransformation Registerkarte.
    4. Wählen Sie Aus Fügen Sie Regeln Hinzu .
    5. Wählen Sie Aus LDAP-Attribut als Ansprüche senden Als zu verwendende Anspruchsregelvorlage.
    6. Geben Sie dem Anspruch einen Namen wie LDAP-Attribute abrufen .
    7. Legen Sie fest Attributspeicher Bis Active Directory , LDAP-Attribut Bis E-Mail-Adressen , Und Typ Des Ausgehenden Anspruchs Bis E-Mail-Adresse .
      Attribut abrufen. 
      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]  
=> issue(store = "Active Directory", 
types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"), 
query = ";mail;{0}", param = c.Value);
    8. Wählen Sie Fertigstellen aus.
    9. Wählen Sie Aus Fügen Sie Regeln Hinzu .
    10. Wählen Sie Aus Transformieren Sie einen eingehenden Anspruch Als zu verwendende Anspruchsregelvorlage.
    11. Geben Sie dem Anspruch einen Namen wie E-Mail-Empfänger-Name-ID .
    12. Legen Sie fest Typ des eingehenden Anspruchs Zu Typ Des Ausgehenden Anspruchs In der vorherigen Regel.
      Beispiel: E-Mail-Adresse .
    13. Legen Sie fest Typ des ausgehenden Anspruchs Bis Name-ID Und Format der ausgehenden Namens-ID Bis E-Mail .
      Hinweis:
      Diese Werte müssen mit übereinstimmen Name-ID-Richtlinie Sie definieren während der SAML 2,0-Konfiguration.
    14. Wählen Sie Aus Übergeben Sie alle Anspruchswerte .
      E-Mail-Empfänger-Name-ID.

      Diese Anspruchsregel sollte der folgenden Regelsprache ähnlich aussehen.

      c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", 
Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, 
Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] 
= "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress");
    15. Klicken Sie auf Fertigstellen.