Condividi tramite

Creare una regola per inviare attributi LDAP come attestazioni

Tramite l'invio di attributi LDAP come modello di regola attestazioni in Active Directory Federation Services (AD FS), è possibile creare una regola per la selezione degli attributi da un archivio attributi Lightweight Directory Access Protocol (LDAP), ad esempio Active Directory, da inviare come attestazioni alla relying party. Ad esempio, è possibile utilizzare questo modello di regola per creare un inviare attributi LDAP come attestazioni di regole che verranno estratti i valori di attributo per gli utenti autenticati dal displayName e telephoneNumber attributi di Active Directory e quindi inviare questi valori come due diversi attestazioni in uscita.

È anche possibile usare questa regola per inviare tutte le appartenenze a gruppi dell'utente. Se si vuole inviare solo le singole appartenenze ai gruppi, usare il modello di regola Invio dell'appartenenza a un gruppo come attestazione. È possibile utilizzare la procedura seguente per creare una regola attestazioni con lo snap-in di gestione di ADFS.

L'appartenenza al gruppo Administrators, o a un gruppo equivalente, nel computer locale è il requisito minimo per eseguire questa procedura. Informazioni dettagliate sull'utilizzo degli account appropriati e appartenenze dominio gruppi predefiniti locali e.

Per creare una regola per inviare attributi LDAP come attestazioni per un Trust della Relying Party in Windows Server 2016

  1. In Server Manager, fare clic su strumenti, quindi selezionare Gestione ADFS.

  2. Nell'albero della console, in ADFS, fare clic su attendibilità. Screenshot that shows where to select Relying Party Trusts when you create a rule to send LDAP attributes as claims for a Relying Party Trust in Windows Server 2016.

  3. Fare clic con il pulsante destro del mouse sul trust selezionato e quindi fare clic su Modifica criteri di rilascio dell'attestazione. Screenshot that shows where to select Edit Claim Issuance Policy when you create a rule to send LDAP attributes as claims for a Relying Party Trust in Windows Server 2016.

  4. Nel Modifica criteri di rilascio dell'attestazione nella finestra di dialogo regole di trasformazione rilascio fare clic su Aggiungi regola per avviare la creazione guidata regola. Screenshot that shows where to select Add Rule when you create a rule to send LDAP attributes as claims for a Relying Party Trust in Windows Server 2016.

  5. Nel Seleziona modello di regola nella pagina modello di regola attestazione, selezionare inviare attributi LDAP come attestazioni dall'elenco, quindi fare clic su Avanti. Screenshot that shows where to select the Send LDAP Attributes as Claims template when you create a rule to send LDAP attributes as claims for a Relying Party Trust in Windows Server 2016.

  6. Nel configurare la regola pagina Nome regola attestazione digitare il nome visualizzato per questa regola, selezionare il archivio attributi, quindi selezionare l'attributo LDAP ed eseguirne il mapping al tipo di attestazione in uscita. Screenshot that shows where to type the claim rule name when you create a rule to send LDAP attributes as claims for a Relying Party Trust in Windows Server 2016.

  7. Fare clic sui Fine pulsante.

  8. Nel Modifica regole attestazione la finestra di dialogo, fare clic su OK per salvare la regola.

Per creare una regola per inviare attributi LDAP come attestazioni per un Trust di Provider di attestazioni in Windows Server 2016

  1. In Server Manager, fare clic su strumenti, quindi selezionare Gestione ADFS.

  2. Nell'albero della console, in ADFS, fare clic su Provider di attestazioni. Screenshot that shows where to select Claims Provider Trusts when you create a rule to send LDAP attributes as claims for a Claims Provider Trust in Windows Server 2016.

  3. Fare clic con il pulsante destro del mouse sul trust selezionato e quindi fare clic su Modifica regole attestazioni. Screenshot that shows where to select Edit Claim Rules when you create a rule to send LDAP attributes as claims for a Claims Provider Trust in Windows Server 2016.

  4. Nel Modifica regole attestazione nella finestra di dialogo regole di trasformazione accettazione fare clic su Aggiungi regola per avviare la creazione guidata regola. Screenshot that shows where to select Add Rule when you create a rule to send LDAP attributes as claims for a Claims Provider Trust in Windows Server 2016.

  5. Nel Seleziona modello di regola nella pagina modello di regola attestazione, selezionare inviare attributi LDAP come attestazioni dall'elenco, quindi fare clic su Avanti. Screenshot that shows where to select Send LDAP Attributes as Claims when you create a rule in Windows Server 2016.

  6. Nel configurare la regola pagina Nome regola attestazione digitare il nome visualizzato per questa regola, selezionare il archivio attributi, quindi selezionare l'attributo LDAP ed eseguirne il mapping al tipo di attestazione in uscita. Screenshot that shows where to type the claim rule name when you create a rule to send LDAP attributes as claims for a Claims Provider Trust in Windows Server 2016.

  7. Fare clic sui Fine pulsante.

  8. Nel Modifica regole attestazione la finestra di dialogo, fare clic su OK per salvare la regola.

Per creare una regola per inviare attributi LDAP come attestazioni per Windows Server 2012 R2

  1. In Server Manager, fare clic su strumenti, quindi selezionare Gestione ADFS.

  2. Nella struttura della console, in AD FSAD FS\relazioni di Trust, fare clic su Trust provider di attestazioni o Trust relying party, quindi fare clic su una relazione di trust specifica nell'elenco in cui si desidera creare la regola.

  3. Fare clic con il tasto destro del mouse sul trust selezionato, quindi fare clic su Modifica regole attestazioni. Screenshot that shows where to select Edit Claim Rules when you create a rule to send LDAP attributes as claims for Windows Server 2012 R2.

  4. Nel Modifica regole attestazione nella finestra di dialogo selezionare una delle seguenti schede, in base ai trust che si sta modificando e set di regola che si desidera creare questa regola e quindi fare clic su Aggiungi regola per avviare la creazione guidata regola associata a tale set di regole:

    • Regole di trasformazione accettazione

    • Regole di trasformazione rilascio

    • Regole di autorizzazione rilascio

    • Regole di autorizzazione di delegaScreenshot that shows where to select Add Rule create a rule to send LDAP attributes as claims for Windows Server 2012 R2.

  5. Nel Seleziona modello di regola nella pagina modello di regola attestazione, selezionare inviare attributi LDAP come attestazioni dall'elenco, quindi fare clic su Avanti. Screenshot that shows where to select Send LDAP Attributes as Claims create a rule for Windows Server 2012 R2.

  6. Alla pagina Configurare regola, in Nome regola attestazione digitare il nome visualizzato per questa regola, in Archivio attributi selezionare Active Directory e in Mappatura degli attributi LDAP ai tipi di attestazione in uscita, selezionare l'elemento Attributo LDAP e i tipi corrispondenti di Tipo di attestazione in uscitadagli elenchi a discesa.

    È necessario selezionare un nuovo attributo LDAP e una coppia di tipo di attestazione in uscita su una riga diversa per ogni attributo di Active Directory che si desidera rilasciare un'attestazione per come parte di questa regola. create rule

  7. Fare clic sui Fine pulsante.

  8. Nel Modifica regole attestazione la finestra di dialogo, fare clic su OK per salvare la regola.

Altri riferimenti

Configurare le regole delle attestazioni

Elenco di controllo: Creazione di regole attestazione per un trust di relying party

Elenco di controllo: Creazione di regole attestazione per un trust di provider di attestazioni

Quando usare una regola attestazione di autorizzazione

Ruolo delle attestazioni

Ruolo delle regole delle attestazioni