Claim-Regeln legen fest, welche Claims zur Verwendung durch lokale Anwendungen an Ihren ADFS-Server weitergeleitet werden müssen.
Bevor Sie beginnen
Eine Claim-Provider-Vertrauensstellung für den externen ADFS-Server wurde zu Ihrem ADFS-Server hinzugefügt.
BEMERKUNG: Das Hinzufügen einer Claim-Provider-Vertrauensstellung gehört nicht zum Themenbereich dieses Dokuments. Weitere Informationen zum Arbeiten mit ADFS finden Sie in der Dokumentation zu Ihrer Version der Produktsoftware.
Was Sie noch wissen sollten
Diese Aufgabe ist Teil des Bereitstellungsprozesses für die Authentifizierung über ADFS, basierend auf einem einfachen Szenario. Die Anweisungen und Screenshots basieren auf Windows Server 2016. Wenn Sie eine andere Version verwenden, kann Ihr Verfahren anders sein.BEMERKUNG: Security Center erfordert spezifische Attribute als
Claims:
Gruppe und
UPN (User Principal Name).
Prozedur
-
Klicken Sie im ADFS-Fenster auf , wählen Sie den Claim-Provider aus, der dem externen ADFS entspricht und klicken Sie dann im Bereich Aktionen auf Claim-Regeln bearbeiten.
Das Fenster Claim-Regeln bearbeiten öffnet sich.
-
Falls für UPN noch keine Claim-Regel existiert, fügen Sie eine entsprechende Regel hinzu.
-
Klicken Sie auf Regel hinzufügen.
-
Wählen Sie in der Dropdownliste Claim-Regel-Vorlage Eingehenden Claim durchleiten oder filtern und klicken Sie auf Weiter.
-
Konfigurieren Sie die Regel und klicken Sie auf Fertig stellen.
- Name der Claim-Regel
- Geben Sie einen einprägsamen Namen für die Regel ein.
- Eingehender Claim-Typ
- Wählen Sie UPN.
- Nur Claim-Werte durchleiten, die einem bestimmten E-Mail-Suffixwert entsprechen
- Wählen Sie diese Option und geben Sie einen Suffixwert für die E-Mail ein. Zum Beispiel: FirmaXYZ.com.
BEST-PRACTICE: Es empfiehlt sich, als Sicherheitsmaßnahme alle Claims zu filtern, die von einem externen Claim-Provider eintreffen, damit dieser keine unerwarteten Werte senden kann. So kann zum Beispiel verhindert werden, dass Firma XYZ vorgeben kann, dass deren Benutzer Ihrem Unternehmen angehören und somit erhöhte Rechte erhalten. Alle Claim-Werte durchleiten sollte vermieden werden, wenn Sie externe Claim-Anbieter nutzen.
-
Falls für Gruppe noch keine Claim-Regel existiert, fügen Sie eine entsprechende Regel hinzu.
-
Klicken Sie auf Regel hinzufügen.
-
Wählen Sie in der Dropdownliste Claim-Regel-Vorlage Eingehenden Claim durchleiten oder filtern und klicken Sie auf Weiter.
-
Konfigurieren Sie die Regel und klicken Sie auf Fertig stellen.
- Name der Claim-Regel
- Geben Sie einen einprägsamen Namen für die Regel ein.
- Eingehender Claim-Typ
- Wählen Sie Gruppe.
- Nur Claim-Werte durchleiten, die mit einem bestimmten Wert beginnen
- Wählen Sie diese Option und geben Sie einen Anfangswert ein. Zum Beispiel: FirmaXYZ\ oder FirmaXYZ.com\. Fragen Sie bei Ihrer IT-Abteilung nach, welche Form verwendet werden soll.
-
Klicken Sie auf Anwenden.