可使用“以声明方式发送组成员身份”规则模板或“转换传入声明”规则模板来发送身份验证方法声明。 信赖方可使用身份验证方法声明来确定用户用于从 Active Directory 联合身份验证服务 (AD FS) 进行身份验证和获取声明的登录机制。 还可在 Windows Server 2012 R2 中使用 Active Directory 联合身份验证服务 (AD FS) 的身份验证机制保证功能作为输入,以在信赖方希望确定基于智能卡登录的访问级别的情况下生成身份验证方法声明。 例如,开发人员可为信赖方应用程序的联合用户分配不同的访问级别。 访问级别取决于用户是否使用其用户名和密码凭据(而不是智能卡)登录。
根据组织的需求,使用以下过程之一:
使用“以声明方式发送组成员身份”规则模板创建此规则。如果希望在此模板中指定的组最终确定要颁发的身份验证方法声明,可使用此规则模板。
使用“转换传入声明”规则模板创建此规则。如果希望将现有身份验证方法更改为新身份验证方法,并且该方法适用于不识别标准 AD FS 身份验证方法声明的产品,可使用此规则模板。
在 Windows Server 2016 中的“信赖方信任”上使用“以声明方式发送组成员身份”规则模板进行创建
在服务器管理器中,单击“工具”,选择“AD FS 管理”。
在控制台树中的“AD FS”下,单击“信赖方信任”。
右键单击所选信任,然后单击“编辑声明颁发策略”。
在“编辑声明颁发策略”对话框中的“颁发转换规则”下,单击“添加规则”以启动规则向导。
在“选择规则模板”页上的“声明规则模板”下,从列表中选择“将组成员身份作为声明发送”,然后单击“下一步”。
在“配置规则”页上,键入声明规则名称。
单击“浏览”,选择其成员应接收此身份验证方法声明的组,然后单击“确定”。
在“传出声明类型”中,在列表中选择“身份验证方法”。
在“传出声明值”中,键入下表中默认统一资源标识符 (URI) 值之一(具体取决于首选身份验证方法),单击“完成”,然后单击“确定”保存规则。
| 实际身份验证方法 | 对应 URI |
|---|---|
| 用户名和密码身份验证 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows 身份验证 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| 使用 X.509 证书的传输层安全性 (TLS) 相互身份验证 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| 不使用 TLS 的基于 X.509 的身份验证 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
在 Windows Server 2016 中的“声明提供方信任”上使用“以声明方式发送组成员身份”规则模板进行创建
在服务器管理器中,单击“工具”,选择“AD FS 管理”。
在控制台树中的“AD FS”下,单击“声明提供方信任”。
右键单击所选信任,然后单击“编辑声明规则”。
在“编辑声明规则”对话框中的“接受转换规则”下,单击“添加规则”以启动规则向导。
在“选择规则模板”页上的“声明规则模板”下,从列表中选择“将组成员身份作为声明发送”,然后单击“下一步”。
在“配置规则”页上,键入声明规则名称。
单击“浏览”,选择其成员应接收此身份验证方法声明的组,然后单击“确定”。
在“传出声明类型”中,在列表中选择“身份验证方法”。
在“传出声明值”中,键入下表中默认统一资源标识符 (URI) 值之一(具体取决于首选身份验证方法),单击“完成”,然后单击“确定”保存规则。
| 实际身份验证方法 | 对应 URI |
|---|---|
| 用户名和密码身份验证 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows 身份验证 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| 使用 X.509 证书的传输层安全性 (TLS) 相互身份验证 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| 不使用 TLS 的基于 X.509 的身份验证 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
在 Windows Server 2016 中的“信赖方信任”上使用“转换传入声明”规则模板创建此规则
在服务器管理器中,单击“工具”,选择“AD FS 管理”。
在控制台树中的“AD FS”下,单击“信赖方信任”。
右键单击所选信任,然后单击“编辑声明颁发策略”。
在“编辑声明颁发策略”对话框中的“颁发转换规则”下,单击“添加规则”以启动规则向导。
在“选择规则模板”页上的“声明规则模板”下,从列表中选择“转换传入声明”,然后单击“下一步”。
在“配置规则”页上,键入声明规则名称。
在“传入声明类型”中,在列表中选择“身份验证方法”。
在“传出声明类型”中,在列表中选择“身份验证方法”。
选择“将传入声明值替换为其他传出声明值”,然后执行以下操作:
在“传入声明值”中,键入基于最初使用的实际身份验证方法 URI 的以下 URI 值之一,单击“完成”,然后单击“确定”保存规则。
在“传出声明值”中,键入下表中默认 URI 值之一(具体取决于新的首选身份验证方法选择),单击“完成”,然后单击“确定”保存规则。
| 实际身份验证方法 | 对应 URI |
|---|---|
| 用户名和密码身份验证 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows 身份验证 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| 使用 X.509 证书的 TLS 相互身份验证 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| 不使用 TLS 的基于 X.509 的身份验证 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
注释
除了表中的值之外,还可使用其他 URI 值。 上表中显示的 URI 值反映了信赖方默认接受的 URI。
在 Windows Server 2016 中的“声明提供方信任”上使用“转换传入声明”规则模板创建此规则
在服务器管理器中,单击“工具”,选择“AD FS 管理”。
在控制台树中的“AD FS”下,单击“声明提供方信任”。
右键单击所选信任,然后单击“编辑声明规则”。
在“编辑声明规则”对话框中的“接受转换规则”下,单击“添加规则”以启动规则向导。
在“选择规则模板”页上的“声明规则模板”下,从列表中选择“转换传入声明”,然后单击“下一步”。
在“配置规则”页上,键入声明规则名称。
在“传入声明类型”中,在列表中选择“身份验证方法”。
在“传出声明类型”中,在列表中选择“身份验证方法”。
选择“将传入声明值替换为其他传出声明值”,然后执行以下操作:
在“传入声明值”中,键入基于最初使用的实际身份验证方法 URI 的以下 URI 值之一,单击“完成”,然后单击“确定”保存规则。
在“传出声明值”中,键入下表中默认 URI 值之一(具体取决于新的首选身份验证方法选择),单击“完成”,然后单击“确定”保存规则。
| 实际身份验证方法 | 对应 URI |
|---|---|
| 用户名和密码身份验证 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows 身份验证 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| 使用 X.509 证书的 TLS 相互身份验证 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| 不使用 TLS 的基于 X.509 的身份验证 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
在 Windows Server 2012 R2 中使用“以声明方式发送组成员身份”规则模板创建此规则
在服务器管理器中,单击“工具”,选择“AD FS 管理”。
在控制台树中的“AD FS\信任关系”下,单击“声明提供方信任”或“信赖方信任”,然后在列表中单击要在其中创建此规则的特定信任。
右键单击所选信任,然后单击“编辑声明规则”。
在“编辑声明规则”对话框中,选择以下选项卡之一(具体取决于要编辑的信任以及要在其中创建此规则的规则集),然后单击“添加规则”以启动与该规则集关联的规则向导:
接受转换规则
颁发转换规则
颁发授权规则
委托授权规则
在“选择规则模板”页上的“声明规则模板”下,从列表中选择“将组成员身份作为声明发送”,然后单击“下一步”。
在“配置规则”页上,键入声明规则名称。
单击“浏览”,选择其成员应接收此身份验证方法声明的组,然后单击“确定”。
在“传出声明类型”中,在列表中选择“身份验证方法”。
在“传出声明值”中,键入下表中默认统一资源标识符 (URI) 值之一(具体取决于首选身份验证方法),单击“完成”,然后单击“确定”保存规则。
| 实际身份验证方法 | 对应 URI |
|---|---|
| 用户名和密码身份验证 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows 身份验证 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| 使用 X.509 证书的传输层安全性 (TLS) 相互身份验证 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| 不使用 TLS 的基于 X.509 的身份验证 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
注释
除了表中的值之外,还可使用其他 URI 值。 上表中显示的 URI 值反映了信赖方默认接受的 URI。
在 Windows Server 2012 R2 中使用“转换传入声明”规则模板创建此规则
在服务器管理器中单击“工具”,然后单击“AD FS 管理”。
在控制台树中的“AD FS\信任关系”下,单击“声明提供方信任”或“信赖方信任”,然后在列表中单击要在其中创建此规则的特定信任。
右键单击所选信任,然后单击“编辑声明规则”。
在“编辑声明规则”对话框中,选择以下选项卡之一,具体取决于要编辑的信任以及要在其中创建此规则的规则集,然后单击“添加规则”以启动与该规则集关联的规则向导:
接受转换规则
颁发转换规则
颁发授权规则
委托授权规则
在“选择规则模板”页上的“声明规则模板”下,从列表中选择“转换传入声明”,然后单击“下一步”。
在“配置规则”页上,键入声明规则名称。
在“传入声明类型”中,在列表中选择“身份验证方法”。
在“传出声明类型”中,在列表中选择“身份验证方法”。
选择“将传入声明值替换为其他传出声明值”,然后执行以下操作:
在“传入声明值”中,键入基于最初使用的实际身份验证方法 URI 的以下 URI 值之一,单击“完成”,然后单击“确定”保存规则。
在“传出声明值”中,键入下表中默认 URI 值之一(具体取决于新的首选身份验证方法选择),单击“完成”,然后单击“确定”保存规则。
| 实际身份验证方法 | 对应 URI |
|---|---|
| 用户名和密码身份验证 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows 身份验证 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| 使用 X.509 证书的 TLS 相互身份验证 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| 不使用 TLS 的基于 X.509 的身份验证 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
注释
除了表中的值之外,还可使用其他 URI 值。 上表中显示的 URI 值反映了信赖方默认接受的 URI。