使用 Active Directory 联合身份验证服务 (AD FS) 中的“以声明方式发送组成员身份”规则模板,你可以创建一个规则,以便选择一个 Active Directory 安全组作为声明发送。 此规则只会根据你选择的组发出一个声明。 例如,你可以使用此规则模板创建一个规则,该规则会在用户是“域管理员”安全组的成员时发送值为“Admin”的组声明。 此规则应仅用于本地 Active Directory 域中的用户。
可以使用以下过程通过 AD FS 管理单元创建声明规则。
在本地计算机上, 管理员或等效成员身份是完成此过程所需的最低要求。 查看有关在本地和域默认组中使用合适帐户和组成员身份的详细信息。
在 Windows Server 2016 中创建规则以将组成员身份作为对信赖方信任的声明发送
在服务器管理器中,单击 “工具”,然后选择 “AD FS 管理”。
在控制台树的 AD FS 下,单击“ 信赖方信任”。
右键单击所选信任,然后单击“编辑声明颁发策略”。
在“编辑声明颁发策略”对话框中的“颁发转换规则”下,单击“添加规则”以启动规则向导。
在“选择规则模板”页上的“声明规则模板”下,从列表中选择“将组成员身份作为声明发送”,然后单击“下一步”。
在声明规则名称下的“配置规则”页上,键入此规则的显示名称,在“用户”组中,单击“浏览”并选择组,在“传出声明类型”下选择所需的声明类型,然后在“传出声明类型”下键入一个值。
单击“ 完成 ”按钮。
在“编辑声明规则”对话框中,单击“确定”以保存规则。
在 Windows Server 2016 中创建规则以将组成员身份作为对声明提供程序信任的声明发送
在服务器管理器中,单击 “工具”,然后选择 “AD FS 管理”。
在控制台树的 AD FS 下,单击 “声明提供程序信任”。
右键单击所选信任,然后单击“编辑声明规则”。
在“编辑声明规则”对话框中的“接受转换规则”下,单击“添加规则”以启动规则向导。
在“选择规则模板”页上的“声明规则模板”下,从列表中选择“将组成员身份作为声明发送”,然后单击“下一步”。
在声明规则名称下的“配置规则”页上,键入此规则的显示名称,在“用户”组中,单击“浏览”并选择组,在“传出声明类型”下选择所需的声明类型,然后在“传出声明类型”下键入一个值。
单击“ 完成 ”按钮。
在“编辑声明规则”对话框中,单击“确定”以保存规则。
在 Windows Server 2012 R2 中创建规则以将组成员身份作为声明发送
在服务器管理器中,单击 “工具”,然后选择 “AD FS 管理”。
在控制台树中的“AD FS\信任关系”下,单击“声明提供方信任”或“信赖方信任”,然后在列表中单击要在其中创建此规则的特定信任。
右键单击所选信任,然后单击“编辑声明规则”。
在“编辑声明规则”对话框中,选择以下选项卡之一(具体取决于要编辑的信任以及要在其中创建此规则的规则集),然后单击“添加规则”以启动与该规则集关联的规则向导:
接受转换规则
颁发转换规则
颁发授权规则
委托授权规则
在“选择规则模板”页上的“声明规则模板”下,从列表中选择“将组成员身份作为声明发送”,然后单击“下一步”。
在声明规则名称下的“配置规则”页上,键入此规则的显示名称,在“用户”组中,单击“浏览”并选择组,在“传出声明类型”下选择所需的声明类型,然后在“传出声明类型”下键入一个值。
单击“完成”。
在“编辑声明规则”对话框中,单击“确定”以保存规则。