Active Directory フェデレーション サービス (AD FS) の要求として LDAP 属性を送信ルール テンプレートを使用すると、Active Directory などのライトウェイト ディレクトリ アクセス プロトコル (LDAP) 属性ストアから属性を選択して証明書利用者に要求として送信する規則を作成できます。 たとえば、このルール テンプレートを使用して、 displayName 属性と telephoneNumber Active Directory 属性から認証済みユーザーの属性値を抽出し、それらの値を 2 つの異なる送信要求として送信する要求として LDAP 属性を送信ルールを作成できます。
このルールを使用して、すべてのユーザーのグループ メンバーシップを送信することもできます。 個々のグループ メンバーシップのみを送信する場合は、グループ メンバーシップの送信を要求規則テンプレートとして使用します。 次の手順を使用して、AD FS 管理スナップインを使用して要求規則を作成できます。
この手順を完了するには、ローカル コンピューター上の Administrators または同等のメンバーシップが最低限必要です。 ローカルおよびドメインの既定のグループで、適切なアカウントおよびグループメンバーシップの使用方法に関する詳細を確認します。
Windows Server 2016 で証明書利用者信頼の要求として LDAP 属性を送信する規則を作成するには
サーバー マネージャーで、 [ツール] をクリックし、次に [AD FS の管理] を選択します。
コンソール ツリーの [AD FS] で、[証明書利用者信頼]をクリックします。
選んだ信頼を右クリックし、[要求発行ポリシーの編集] をクリックします。
![Windows Server 2016 で証明書利用者信頼の要求として LDAP 属性を送信する規則を作成するときに、[要求発行ポリシーの編集] を選択する場所を示すスクリーンショット。](media/create-a-rule-to-pass-through-or-filter-an-incoming-claim/claimrule10.png)
[要求発行ポリシーの編集] ダイアログ ボックスの [発行変換規則] で、[規則の追加] をクリックして規則ウィザードを開始します。
![Windows Server 2016 で証明書利用者信頼の要求として LDAP 属性を送信する規則を作成するときに [規則の追加] を選択する場所を示すスクリーンショット。](media/create-a-rule-to-pass-through-or-filter-an-incoming-claim/claimrule11.png)
[ 規則テンプレートの選択 ] ページの [ 要求規則テンプレート] で、一覧から [LDAP 属性を要求として送信 ] を選択し、[ 次へ] をクリックします。
![Windows Server 2016 で証明書利用者信頼の要求として LDAP 属性を送信するルールを作成するときに、[LDAP 属性を要求として送信] テンプレートを選択する場所を示すスクリーンショット。](media/create-a-rule-to-send-ldap-attributes-as-claims/ldap1.png)
[ 規則の構成 ] ページの [ 要求規則名 ] で、この規則の表示名を入力し、 属性ストアを選択し、LDAP 属性を選択して、送信要求の種類にマップします。
[完了] をクリックします。
[要求規則の編集] ダイアログ ボックスで [OK] をクリックして規則を保存します。
Windows Server 2016 でクレーム プロバイダー信頼の要求として LDAP 属性を送信する規則を作成するには
サーバー マネージャーで、 [ツール] をクリックし、次に [AD FS の管理] を選択します。
コンソール ツリーの [AD FS] で、[要求プロバイダー信頼] をクリックします。
選択した信頼を右クリックし、[要求規則の編集] をクリックします。
![Windows Server 2016 でクレーム プロバイダー信頼の要求として LDAP 属性を送信する規則を作成するときに、[要求規則の編集] を選択する場所を示すスクリーンショット。](media/create-a-rule-to-pass-through-or-filter-an-incoming-claim/claimrule2.png)
[要求規則の編集] ダイアログ ボックスで、[受け付け変換規則] の [規則の追加] をクリックして、規則ウィザードを開始します。
![Windows Server 2016 のクレーム プロバイダー信頼の要求として LDAP 属性を送信するルールを作成するときに [規則の追加] を選択する場所を示すスクリーンショット。](media/create-a-rule-to-pass-through-or-filter-an-incoming-claim/claimrule3.png)
[ 規則テンプレートの選択 ] ページの [ 要求規則テンプレート] で、一覧から [LDAP 属性を要求として送信 ] を選択し、[ 次へ] をクリックします。
[ 規則の構成 ] ページの [ 要求規則名 ] で、この規則の表示名を入力し、 属性ストアを選択し、LDAP 属性を選択して、送信要求の種類にマップします。
[完了] をクリックします。
[要求規則の編集] ダイアログ ボックスで [OK] をクリックして規則を保存します。
Windows Server 2012 R2 の要求として LDAP 属性を送信する規則を作成するには
サーバー マネージャーで、 [ツール] をクリックし、次に [AD FS の管理] を選択します。
コンソール ツリーの [AD FSAD FS\信頼関係] で、[要求プロバイダー信頼] または [証明書利用者信頼] のいずれかをクリックし、この規則を作成する一覧内の特定の信頼をクリックします。
選択した信頼を右クリックし、[要求規則の編集] をクリックします。
![Windows Server 2012 R2 の要求として LDAP 属性を送信する規則を作成するときに、[要求規則の編集] を選択する場所を示すスクリーンショット。](media/create-a-rule-to-pass-through-or-filter-an-incoming-claim/claimrule6.png)
[ 要求規則の編集 ] ダイアログ ボックスで、編集する信頼と、この規則を作成する規則セットに応じて、次のいずれかのタブを選択し、[ 規則の追加 ] をクリックして、その規則セットに関連付けられている規則ウィザードを開始します。
受け入れ変換規則
発行変換規則
発行承認規則
[規則
![の追加] を選択する場所を示す委任承認規則のスクリーンショット。Windows Server 2012 R2 の要求として LDAP 属性を送信する規則を作成します。](media/create-a-rule-to-permit-all-users/permitall5.png)
[ 規則テンプレートの選択 ] ページの [ 要求規則テンプレート] で、一覧から [LDAP 属性を要求として送信 ] を選択し、[ 次へ] をクリックします。
![[要求として LDAP 属性を送信] を選択して Windows Server 2012 R2 のルールを作成する場所を示すスクリーンショット。](media/create-a-rule-to-send-ldap-attributes-as-claims/ldap3.png)
[ 規則の構成 ] ページの [ 要求規則名 ] で、この規則の表示名を入力し、[ 属性ストア ] で [Active Directory] を選択し、[ LDAP 属性と送信要求の種類のマッピング ] で、目的の LDAP 属性 と対応する 送信要求の種類 をドロップダウン リストから選択します。
この規則の一部として要求を発行する Active Directory 属性ごとに、異なる行で新しい LDAP 属性と送信要求の種類のペアを選択する必要があります。
[完了] をクリックします。
[要求規則の編集] ダイアログ ボックスで [OK] をクリックして規則を保存します。