Konfigurieren von Claim-Regeln für externe Claim-Provider - Security Center 5.10

Security Center – Administratorhandbuch 5.10

series
Security Center 5.10
revised_modified
2021-03-19

Claim-Regeln legen fest, welche Claims zur Verwendung durch lokale Anwendungen an Ihren ADFS-Server weitergeleitet werden müssen.

Bevor Sie beginnen

Eine Claim-Provider-Vertrauensstellung für den externen ADFS-Server wurde zu Ihrem ADFS-Server hinzugefügt.
BEMERKUNG: Das Hinzufügen einer Claim-Provider-Vertrauensstellung gehört nicht zum Themenbereich dieses Dokuments. Weitere Informationen zum Arbeiten mit ADFS finden Sie in der Dokumentation zu Ihrer Version der Produktsoftware.

Was Sie noch wissen sollten

Diese Aufgabe ist Teil des Bereitstellungsprozesses für die Authentifizierung über ADFS, basierend auf einem einfachen Szenario. Die Anweisungen und Screenshots basieren auf Windows Server 2016. Wenn Sie eine andere Version verwenden, kann Ihr Verfahren anders sein.
BEMERKUNG: Security Center erfordert spezifische Attribute als Claims: Gruppe und UPN (User Principal Name).

Prozedur

  1. Klicken Sie im ADFS-Fenster auf Vertrauensstellungen > Claim-Provider-Vertrauensstellung, wählen Sie den Claim-Provider aus, der dem externen ADFS entspricht und klicken Sie dann im Bereich Aktionen auf Claim-Regeln bearbeiten.
    Das Fenster Claim-Regeln bearbeiten öffnet sich.
  2. Falls für UPN noch keine Claim-Regel existiert, fügen Sie eine entsprechende Regel hinzu.
    1. Klicken Sie auf Regel hinzufügen.
    2. Wählen Sie in der Dropdownliste Claim-Regel-Vorlage Eingehenden Claim durchleiten oder filtern und klicken Sie auf Weiter.
    3. Konfigurieren Sie die Regel und klicken Sie auf Fertig stellen.
      Name der Claim-Regel
      Geben Sie einen einprägsamen Namen für die Regel ein.
      Eingehender Claim-Typ
      Wählen Sie UPN.
      Nur Claim-Werte durchleiten, die einem bestimmten E-Mail-Suffixwert entsprechen
      Wählen Sie diese Option und geben Sie einen Suffixwert für die E-Mail ein. Zum Beispiel: FirmaXYZ.com.
      BEST-PRACTICE: Es empfiehlt sich, als Sicherheitsmaßnahme alle Claims zu filtern, die von einem externen Claim-Provider eintreffen, damit dieser keine unerwarteten Werte senden kann. So kann zum Beispiel verhindert werden, dass Firma XYZ vorgeben kann, dass deren Benutzer Ihrem Unternehmen angehören und somit erhöhte Rechte erhalten. Alle Claim-Werte durchleiten sollte vermieden werden, wenn Sie externe Claim-Anbieter nutzen.
  3. Falls für Gruppe noch keine Claim-Regel existiert, fügen Sie eine entsprechende Regel hinzu.
    1. Klicken Sie auf Regel hinzufügen.
    2. Wählen Sie in der Dropdownliste Claim-Regel-Vorlage Eingehenden Claim durchleiten oder filtern und klicken Sie auf Weiter.
    3. Konfigurieren Sie die Regel und klicken Sie auf Fertig stellen.
      Name der Claim-Regel
      Geben Sie einen einprägsamen Namen für die Regel ein.
      Eingehender Claim-Typ
      Wählen Sie Gruppe.
      Nur Claim-Werte durchleiten, die mit einem bestimmten Wert beginnen
      Wählen Sie diese Option und geben Sie einen Anfangswert ein. Zum Beispiel: FirmaXYZ\ oder FirmaXYZ.com\. Fragen Sie bei Ihrer IT-Abteilung nach, welche Form verwendet werden soll.
  4. Klicken Sie auf Anwenden.