AD FS-felsökning: Syntax för anspråksregler

2025-08-15
Gäller för: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Ett anspråk är ett påstående som ett ämne gör om sig självt eller ett annat ämne. En förlitande part utfärdar anspråken. De får ett eller flera värden och paketeras sedan i säkerhetstoken som AD FS-servern (Active Directory Federation Services) utfärdar. Den här artikeln behandlar anspråkssyntaxen och skapandet. Information om utfärdande av anspråk finns i Felsöka AD FS.

Så här bearbetas anspråksregler

Anspråksregler bearbetas via anspråkspipelinen med hjälp av anspråksmotorn. Anspråksmotorn är en logisk komponent i AD FS som undersöker uppsättningen inkommande anspråk som presenteras av en användare. Beroende på logiken i varje regel genererar den en utdatauppsättning med anspråk.

Skapa en anspråksregel

Anspråksregler skapas separat för varje federerad förtroenderelation i AD FS. De delas inte mellan flera stiftelser. Du kan:

Skapa en regel från en anspråksregelmall.
Börja från början genom att redigera regeln med hjälp av anspråksregelspråket.
Använd Windows PowerShell för att anpassa en regel.

Komponenter i anspråksregelspråket

Anspråksregelspråket består av följande komponenter, avgränsade med operatorn " =>" :

Ett villkor används för att kontrollera indataanspråk och avgöra om utfärdandeuttrycket för regeln ska köras. Det representerar ett logiskt uttryck som måste utvärderas till sant för att köra regeltextdelen.
Ett utfärdandeuttalande.

Här är ett exempel:

c:[type == "Name", value == "domain user"] => issue(type = "Role", value = "employee");

Det här anspråket har:

Villkor: c:[type == "Name", value == "domain user"] utvärderar indataanspråket för om Windows-kontonamnet är en domänanvändare.
Utfärdande: issue(type = "Role", value = "employee") lägger till ett nytt anspråk i indataanspråket med rollen anställd, om villkoret är sant.

Mer information om anspråk och syntax finns i Rollen för anspråksregelspråket.

Anspråksregelredigerare

Anspråksregelredigeraren utför syntaxkontroll när du har slutfört anspråket och väljer OK. Om du har fel syntax informerar redigeraren dig.

Skärmbild som visar dialogrutan A D F S Management med ett meddelande om att syntaxen för den anpassade anspråksregeln inte är giltig.

Händelseloggar

När du försöker felsöka ett anspråk med hjälp av loggarna är den bästa metoden att söka efter anspråksutdata. Leta efter 1 000 och 1 001 händelser i händelseloggen.

Skärmbild som visar dialogrutan Händelseegenskaper med resultatet av 1000 händelse-ID:n.

Skapa ett exempelprogram

Du kan också skapa ett exempelprogram som ekar dina anspråk. Du kan till exempel använda ett exempel på en applikation och skapa en förlitande part med samma krav som du försöker felsöka och se om appen har några problem med det kravet.

Skärmbild som visar exempelprogrammet i en webbläsare.

Det finns en bra exempelwebbapp. Appen återspeglar de anspråk som den tar emot från den förlitande parten. Om du vill använda den redigerar du appen web.config:

Ändra https://app1.contoso.com/sampapp till den URL som används för att vara värd för exempelappen.
Ändra alla instanser av sts.contoso.com så att de pekar på AD FS-servern.
Ersätt det nuvarande tumavtrycket med ditt eget tumavtryck.
decryptionKey Ersätt värdena och validationKey med värden som är lämpliga för ditt scenario.

Skärmbild som visar webbkonfigurationsfilen i Visual Studio.

Den här bloggartikeln har utmärkta, djupgående instruktioner för att konfigurera appen.

AD FS-felsökning

Feedback

Var den här sidan till hjälp?