ADFS 証明書利用者要求ルールの構成

リリースバージョン: Zurich

更新日 2025年07月31日

所要時間：2分

要求ルールを編集して、インスタンスと適切に通信できるようにします。

始める前に

必要なロール：admin

手順

ADFS サーバーにログインして管理コンソールを開きます。
証明書利用者信頼を右クリックして、[要求ルールの編集 (Edit Claim Rules)] を選択します。
[発行変換ルール (Issuance Transform Rules)] タブをクリックします。
[ルールの追加 (Add Rules)] を選択します。
使用する要求ルールのテンプレートとして [LDAP 属性を要求として送信 (Send LDAP Attribute as Claims)] を選択します。
要求に「Get LDAP Attributes」などの名前を付けます。

[属性ストア (Attribute store)] を [Active Directory]、[LDAP 属性] を [E-Mail-Addresses]、[送信要求タイプ (Outgoing Claim Type)] を [E-Mail-Addresses] に設定します。

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]  
=> issue(store = "Active Directory", 
types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"), 
query = ";mail;{0}", param = c.Value);

[完了] を選択します。
[ルールの追加 (Add Rules)] を選択します。
使用する要求ルールテンプレートとして [受信要求を変換 (Transform an Incoming Claim)] を選択します。
要求に、「Email to Name ID」などの名前を付けます。
[受信要求タイプ (Incoming claim type)] を前のルールの [送信要求タイプ (Outgoing Claim Type)] に設定します。
たとえば「E-Mail Address」などとします。
[送信要求タイプ (Outgoing claim type)] を [Name ID] に設定し、[送信名 ID 形式 (Outgoing name ID format)] を [Email] に設定します。

注:
これらの値は、SAML 2.0 の構成時に定義する名前 ID ポリシーと一致する必要があります。

[すべての要求値をパススルー] を選択します。

この要求ルールは、次のルール言語のようになります。

c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", 
Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, 
Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] 
= "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress");

[完了] をクリックします。