使用 Active Directory 联合身份验证服务(AD FS)中的“发送 LDAP 属性”作为声明规则模板,可以创建一个规则,该规则将从轻型目录访问协议(LDAP)属性存储(如 Active Directory)中选择属性,以作为声明发送到信赖方。 例如,可以使用此规则模板创建一个发送 LDAP 属性作为声明规则,该规则将从 displayName 和 telephoneNumber Active Directory 属性中提取经过身份验证的用户的属性值,然后将这些值作为两个不同的传出声明发送。
还可以使用此规则发送用户的所有组成员身份。 如果只想发送单个组成员身份,请使用“发送组成员身份”作为声明规则模板。 可以使用以下过程通过 AD FS 管理单元创建声明规则。
若要完成此过程,至少需要是本地计算机上的管理员组或等效组中的成员。 查看有关在本地和域默认组中使用适当帐户和组成员身份的详细信息。
在 Windows Server 2016 中创建规则以将 LDAP 属性作为信赖方信任的声明发送
在服务器管理器中,单击 “工具”,然后选择 “AD FS 管理”。
在控制台树中的AD FS下,单击信赖方信任关系。
右键单击所选信任,然后单击“编辑声明颁发策略”。
在 “编辑声明颁发策略 ”对话框中,在“ 颁发转换规则 ”下,单击“ 添加规则 ”以启动规则向导。
在 “选择规则模板 ”页上的 “声明规则模板”下,从列表中选择“ 将 LDAP 属性作为声明发送 ”,然后单击“ 下一步”。
在声明规则名称下的“配置规则”页上,键入此规则的显示名称,选择“属性存储”,然后选择 LDAP 属性并将其映射到传出声明类型。
单击“完成”按钮。
在 “编辑声明规则 ”对话框中,单击“ 确定 ”保存规则。
在 Windows Server 2016 中创建规则以将 LDAP 属性作为声明提供程序信任的声明发送
在服务器管理器中,单击 “工具”,然后选择 “AD FS 管理”。
在控制台树中的“AD FS”下,单击“声明提供方信任”。
右键单击所选信任,然后单击“编辑声明规则”。
在“编辑声明规则”对话框中的“接受转换规则”下,单击“添加规则”以启动规则向导。
在 “选择规则模板 ”页上的 “声明规则模板”下,从列表中选择“ 将 LDAP 属性作为声明发送 ”,然后单击“ 下一步”。
在声明规则名称下的“配置规则”页上,键入此规则的显示名称,选择“属性存储”,然后选择 LDAP 属性并将其映射到传出声明类型。
单击“完成”按钮。
在 “编辑声明规则 ”对话框中,单击“ 确定 ”保存规则。
创建规则,以将 LDAP 属性转化为声明发送至 Windows Server 2012 R2
在服务器管理器中,单击 “工具”,然后选择 “AD FS 管理”。
在控制台树中的“AD FSAD FS\信任关系”下,单击“声明提供程序信任”或“信赖方信任”,然后在列表中单击要在其中创建此规则的特定信任。
右键单击所选信任,然后单击“编辑声明规则”。
在“编辑声明规则”对话框中,选择以下选项卡之一(具体取决于要编辑的信任以及要在其中创建此规则的规则集),然后单击“添加规则”以启动与该规则集关联的规则向导:
接受转换规则
颁发转换规则
颁发授权规则
委派授权规则
在 “选择规则模板 ”页上的 “声明规则模板”下,从列表中选择“ 将 LDAP 属性作为声明发送 ”,然后单击“ 下一步”。
在声明规则名称下的“配置规则”页上,键入此规则的显示名称,在“属性存储”下选择“Active Directory”,在“LDAP 属性到传出声明类型的映射”下,从下拉列表中选择所需的 LDAP 属性和相应的传出声明类型类型。
对于你要为其发出声明(作为此规则的一部分)的每个 Active Directory 属性,你必须在另一行上选择新的 LDAP 属性和传出声明类型对。
单击“完成”按钮。
在 “编辑声明规则 ”对话框中,单击“ 确定 ”保存规则。