[要求としてグループ メンバーシップを送信] 規則テンプレートまたは [受信要求の変換] 規則テンプレートを使用して、認証方法の要求を送信できます。 証明書利用者は、認証方法の要求を使用して、ユーザーが Active Directory フェデレーション サービス (AD FS) からの要求の認証と取得に使用するログオン メカニズムを決定できます。 また、Windows Server 2012 R2 の Active Directory フェデレーション サービス (AD FS) の認証メカニズム 保証機能を入力として使用して、証明書利用者がスマート カード ログオンに基づくアクセス レベルを決定する必要がある場合の認証方法要求を生成することもできます。 たとえば、開発者は、証明書利用者アプリケーションのフェデレーション ユーザーにさまざまなレベルのアクセス権を割り当てることができます。 アクセス レベルは、ユーザーがスマート カードではなく、ユーザー名とパスワードの資格情報でログオンするかどうかに基づいています。
組織の要件に応じて、次のいずれかの手順を使用します。
グループ メンバーシップを要求として送信するルール テンプレートを使ってこのルールを作成する - このルール テンプレートで指定するグループで、発行する認証方法要求を最終的に決定する場合、このルール テンプレートを使用できます。
[ 受信要求 規則の変換] テンプレートを使用してこの規則を作成する - 既存の認証方法を、標準の AD FS 認証方法要求を認識しない製品で動作する新しい認証方法に変更する場合は、この規則テンプレートを使用できます。
Windows Server 2016 の証明書利用者の信頼で、グループ メンバーシップを要求として送信するルール テンプレートを使って作成するには
サーバー マネージャーで、[ ツール] をクリックし、[ AD FS 管理] を選択します。
コンソール ツリーの [AD FS] で、[証明書利用者信頼]をクリックします。
![グループ メンバーシップを要求として送信するルール テンプレートを使ってルールを作成するときに、コンソール ツリーで [証明書利用者の信頼] を選ぶ場所を示すスクリーンショット。](media/create-a-rule-to-pass-through-or-filter-an-incoming-claim/claimrule9.png)
選んだ信頼を右クリックし、[要求発行ポリシーの編集] をクリックします。
![[要求としてグループ メンバーシップを送信] 規則テンプレートを使用してルールを作成するときに、[要求発行ポリシーの編集] メニュー オプションを選択する場所を示すスクリーンショット。](media/create-a-rule-to-pass-through-or-filter-an-incoming-claim/claimrule10.png)
[要求発行ポリシーの編集] ダイアログ ボックスの [発行変換規則] で、[規則の追加] をクリックして規則ウィザードを開始します。
![[グループ メンバーシップを要求として送信] ルール テンプレートを使用してルールを作成するときにルールを追加する方法を示すスクリーンショット。](media/create-a-rule-to-pass-through-or-filter-an-incoming-claim/claimrule11.png)
[ 規則テンプレートの選択 ] ページの [ 要求規則テンプレート] で、一覧から [グループ メンバーシップを要求として送信 ] を選択し、[ 次へ] をクリックします。
![[グループ メンバーシップを要求として送信] テンプレートを選択する場所を示すスクリーンショット。](media/create-a-rule-to-send-group-membership-as-a-claim/group3.png)
[ 規則の構成 ] ページで、要求規則の名前を入力します。
[ 参照] をクリックし、メンバーがこの認証方法要求を受け取るグループを選択し、[ OK] をクリックします。
[ 送信要求の種類] で、一覧から [認証方法 ] を選択します。
[送信要求の値] で、優先する認証方法に応じて、次の表に既定の UNIFORM Resource Identifier (URI) 値のいずれかを入力し、[完了] をクリックし、[OK] をクリックして規則を保存します。
| 実際の認証方法 | 対応する URI |
|---|---|
| ユーザー名とパスワード認証 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows 認証 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| X.509 証明書を使用するトランスポート層セキュリティ (TLS) 相互認証 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| TLS を使用しない X.509 ベースの認証 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
![Windows Server 2016 で [グループ メンバーシップを要求として送信] 規則テンプレートを使用してルールを作成するときに [完了] を選択する場所を示すスクリーンショット。](media/create-a-rule-to-send-an-authentication-method-claim/auth2.png)
Windows Server 2016 のクレーム プロバイダーの信頼で、グループ メンバーシップを要求として送信するルール テンプレートを使って作成するには
サーバー マネージャーで、[ ツール] をクリックし、[ AD FS 管理] を選択します。
コンソール ツリーの [AD FS] で、[要求プロバイダー信頼] をクリックします。
選択した信頼を右クリックし、[要求規則の編集] をクリックします。
![Windows Server 2016 で [グループ メンバーシップを要求として送信] 規則テンプレートを使用してルールを作成するときに、[要求規則の編集] を選択する場所を示すスクリーンショット。](media/create-a-rule-to-pass-through-or-filter-an-incoming-claim/claimrule2.png)
[要求規則の編集] ダイアログ ボックスで、[受け付け変換規則] の [規則の追加] をクリックして、規則ウィザードを開始します。
![Windows Server 2016 で [グループ メンバーシップを要求として送信] 規則テンプレートを使用してルールを作成するときに [規則の追加] ボタンを選択する場所を示すスクリーンショット。](media/create-a-rule-to-pass-through-or-filter-an-incoming-claim/claimrule3.png)
[ 規則テンプレートの選択 ] ページの [ 要求規則テンプレート] で、一覧から [グループ メンバーシップを要求として送信 ] を選択し、[ 次へ] をクリックします。
[ 規則の構成 ] ページで、要求規則の名前を入力します。
[ 参照] をクリックし、メンバーがこの認証方法要求を受け取るグループを選択し、[ OK] をクリックします。
[ 送信要求の種類] で、一覧から [認証方法 ] を選択します。
[送信要求の値] で、優先する認証方法に応じて、次の表に既定の UNIFORM Resource Identifier (URI) 値のいずれかを入力し、[完了] をクリックし、[OK] をクリックして規則を保存します。
| 実際の認証方法 | 対応する URI |
|---|---|
| ユーザー名とパスワード認証 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows 認証 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| X.509 証明書を使用するトランスポート層セキュリティ (TLS) 相互認証 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| TLS を使用しない X.509 ベースの認証 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
Windows Server 2016 の証明書利用者の信頼で、受信要求を変換するルール テンプレートを使ってこのルール作成するには
サーバー マネージャーで、[ ツール] をクリックし、[ AD FS 管理] を選択します。
コンソール ツリーの [AD FS] で、[証明書利用者信頼]をクリックします。
選んだ信頼を右クリックし、[要求発行ポリシーの編集] をクリックします。
[要求発行ポリシーの編集] ダイアログ ボックスの [発行変換規則] で、[規則の追加] をクリックして規則ウィザードを開始します。
[ 規則テンプレートの選択 ] ページの [ 要求規則テンプレート] で、一覧から [受信要求の変換 ] を選択し、[ 次へ] をクリックします。
![ルールの作成時に [受信要求の変換] テンプレートを選択する場所を示すスクリーンショット。](media/create-a-rule-to-transform-an-incoming-claim/transform3.png)
[ 規則の構成 ] ページで、要求規則の名前を入力します。
[ 受信要求の種類] で、一覧から [認証方法 ] を選択します。
[ 送信要求の種類] で、一覧から [認証方法 ] を選択します。
[ 受信要求の値を別の送信要求値に置き換える] を選択し、次の操作を行います。
[受信要求の値] に、最初に使用された実際の認証方法の URI に基づく次のいずれかの URI 値を入力し、[完了] をクリックし、[OK] をクリックして規則を保存します。
[送信要求の値] に、新しい優先認証方法の選択に応じて、次の表のいずれかの既定の URI 値を入力し、[完了] をクリックし、[OK] をクリックして規則を保存します。
| 実際の認証方法 | 対応する URI |
|---|---|
| ユーザー名とパスワード認証 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows 認証 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| X.509 証明書を使用する TLS 相互認証 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| TLS を使用しない X.509 ベースの認証 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
![受信要求規則テンプレートの変換を使用してルールを作成するときに [完了] を選択する場所を示すスクリーンショット。](media/create-a-rule-to-send-an-authentication-method-claim/auth4.png)
注
テーブル内の値に加えて、他の URI 値を使用できます。 前の表に示されている URI 値には、証明書利用者が既定で受け入れる URI が反映されています。
Windows Server 2016 のクレーム プロバイダーの信頼で、受信要求を変換するルール テンプレートを使ってこのルールを作成するには
サーバー マネージャーで、[ ツール] をクリックし、[ AD FS 管理] を選択します。
コンソール ツリーの [AD FS] で、[要求プロバイダー信頼] をクリックします。
選択した信頼を右クリックし、[要求規則の編集] をクリックします。
[要求規則の編集] ダイアログ ボックスで、[受け付け変換規則] の [規則の追加] をクリックして、規則ウィザードを開始します。
[ 規則テンプレートの選択 ] ページの [ 要求規則テンプレート] で、一覧から [受信要求の変換 ] を選択し、[ 次へ] をクリックします。
[ 規則の構成 ] ページで、要求規則の名前を入力します。
[ 受信要求の種類] で、一覧から [認証方法 ] を選択します。
[ 送信要求の種類] で、一覧から [認証方法 ] を選択します。
[ 受信要求の値を別の送信要求値に置き換える] を選択し、次の操作を行います。
[受信要求の値] に、最初に使用された実際の認証方法の URI に基づく次のいずれかの URI 値を入力し、[完了] をクリックし、[OK] をクリックして規則を保存します。
[送信要求の値] に、新しい優先認証方法の選択に応じて、次の表のいずれかの既定の URI 値を入力し、[完了] をクリックし、[OK] をクリックして規則を保存します。
| 実際の認証方法 | 対応する URI |
|---|---|
| ユーザー名とパスワード認証 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows 認証 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| X.509 証明書を使用する TLS 相互認証 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| TLS を使用しない X.509 ベースの認証 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
Windows Server 2012 R2 の要求としてグループ メンバーシップを送信規則テンプレートを使用してこの規則を作成するには
サーバー マネージャーで、[ ツール] をクリックし、[ AD FS 管理] を選択します。
コンソール ツリーの [AD FS\Trust Relationships] で、[ 要求プロバイダーの信頼 ] または [ 証明書利用者信頼] をクリックし、この規則を作成する一覧で特定の信頼をクリックします。
選択した信頼を右クリックし、[要求規則の編集] をクリックします。
![[要求としてグループ メンバーシップを送信] 規則テンプレートを使用してルールを作成するときに [要求規則の編集] を選択する場所を示すスクリーンショット。](media/create-a-rule-to-pass-through-or-filter-an-incoming-claim/claimrule6.png)
[ 要求規則の編集 ] ダイアログ ボックスで、編集する信頼と、この規則を作成する規則セットに応じて、次のいずれかのタブを選択し、[ 規則の追加 ] をクリックして、その規則セットに関連付けられている規則ウィザードを開始します。
受け入れ変換規則
発行変換規則
発行承認規則
委任認可規則
![[要求としてグループ メンバーシップをクレームとして送信] ルールテンプレートを使用してルールを作成するときに、[ルールの追加] を選択する場所を示すスクリーンショット。](media/create-a-rule-to-permit-all-users/permitall5.png)
[ 規則テンプレートの選択 ] ページの [ 要求規則テンプレート] で、一覧から [ グループ メンバーシップを要求として送信 ] を選択し、[ 次へ] をクリックします。
![ルールを作成するときに[グループ メンバーシップを要求として送信]テンプレートを選択する場所を示すスクリーンショット。](media/create-a-rule-to-send-group-membership-as-a-claim/group1.png)
[ 規則の構成 ] ページで、要求規則の名前を入力します。
[ 参照] をクリックし、メンバーがこの認証方法要求を受け取るグループを選択し、[ OK] をクリックします。
[ 送信要求の種類] で、一覧から [認証方法 ] を選択します。
[送信要求の値] で、優先する認証方法に応じて、次の表に既定の UNIFORM Resource Identifier (URI) 値のいずれかを入力し、[完了] をクリックし、[OK] をクリックして規則を保存します。
| 実際の認証方法 | 対応する URI |
|---|---|
| ユーザー名とパスワード認証 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows 認証 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| X.509 証明書を使用するトランスポート層セキュリティ (TLS) 相互認証 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| TLS を使用しない X.509 ベースの認証 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
![[グループ メンバーシップを要求として送信] ルール テンプレートを使用してルールを作成するときに [完了] を選択する場所を示すスクリーンショット。](media/create-a-rule-to-send-an-authentication-method-claim/auth1.png)
注
テーブル内の値に加えて、他の URI 値を使用できます。 前の表に示されている URI 値には、証明書利用者が既定で受け入れる URI が反映されています。
Windows Server 2012 R2 で受信要求規則テンプレートを変換してこの規則を作成するには
サーバー マネージャーで、[ ツール] をクリックし、[ AD FS 管理] をクリックします。
コンソール ツリーの [AD FS\Trust Relationships] で、[ 要求プロバイダーの信頼 ] または [ 証明書利用者信頼] をクリックし、この規則を作成する一覧で特定の信頼をクリックします。
選択した信頼を右クリックし、[要求規則の編集] をクリックします。
[ 要求規則の編集 ] ダイアログ ボックスで、編集する信頼と、この規則を作成する規則セットに依存する次のタブのいずれかを選択し、[ 規則の追加 ] をクリックして、その規則セットに関連付けられている規則ウィザードを開始します。
受け入れ変換規則
発行変換規則
発行承認規則
-
[ 規則テンプレートの選択 ] ページの [ 要求規則テンプレート] で、一覧から [受信要求の変換 ] を選択し、[ 次へ] をクリックします。
[ 規則の構成 ] ページで、要求規則の名前を入力します。
[ 受信要求の種類] で、一覧から [認証方法 ] を選択します。
[ 送信要求の種類] で、一覧から [認証方法 ] を選択します。
[ 受信要求の値を別の送信要求値に置き換える] を選択し、次の操作を行います。
[受信要求の値] に、最初に使用された実際の認証方法の URI に基づく次のいずれかの URI 値を入力し、[完了] をクリックし、[OK] をクリックして規則を保存します。
[送信要求の値] に、新しい優先認証方法の選択に応じて、次の表のいずれかの既定の URI 値を入力し、[完了] をクリックし、[OK] をクリックして規則を保存します。
| 実際の認証方法 | 対応する URI |
|---|---|
| ユーザー名とパスワード認証 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows 認証 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| X.509 証明書を使用する TLS 相互認証 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| TLS を使用しない X.509 ベースの認証 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
注
テーブル内の値に加えて、他の URI 値を使用できます。 前の表に示されている URI 値には、証明書利用者が既定で受け入れる URI が反映されています。