Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Você pode usar o modelo de regra Enviar Associação de Grupo como Declarações ou o modelo de regra Transformar uma Declaração de Entrada para enviar uma declaração de método de autenticação. A parte confiável pode usar uma declaração de método de autenticação para determinar o mecanismo de logon que o utilizador usa para autenticar e obter declarações dos Serviços de Federação do Active Directory (AD FS). Você também pode usar o recurso Garantia do Mecanismo de Autenticação dos Serviços de Federação do Active Directory (AD FS) no Windows Server 2012 R2 como entrada para gerar declarações de método de autenticação para situações nas quais a parte confiável deseja determinar o nível de acesso com base em logins com cartão inteligente. Por exemplo, um desenvolvedor pode atribuir diferentes níveis de acesso a usuários federados do aplicativo de terceira parte confiável. Os níveis de acesso são baseados em se os usuários fazem logon com suas credenciais de nome de usuário e senha, em vez de seus cartões inteligentes.
Dependendo dos requisitos da sua organização, use um dos seguintes procedimentos:
Crie esta regra usando o modelo de regra Enviar Associação de Grupo como Declarações - Pode utilizar este modelo de regra quando desejar que o grupo especificado determine qual declaração de método de autenticação deve ser emitida.
Crie esta regra usando o modelo de regra Transformar uma Declaração de Entrada - Você pode usar esse modelo de regra quando quiser alterar o método de autenticação existente para um novo método de autenticação que funcione com um produto que não reconheça declarações de método de autenticação padrão do AD FS.
Para criar usando o modelo de regra Enviar Associação de Grupo como Declarações em uma Confiança de Terceira Parte no Windows Server 2016
No Gerenciador do Servidor, clique em Ferramentas e selecione Gerenciamento do AD FS.
Na árvore de console, em AD FS, clique em Confianças de Terceira Parte Confiável.
Clique com o botão direito na relação de confiança selecionada e, em seguida, clique Editar Política de Emissão de Declarações.
Na caixa de diálogo Editar Política de Emissão de Reivindicações, em Regras de Emissão e Transformação, clique em Adicionar Regra para iniciar o assistente de criação de regras.
Na página Selecionar Modelo de Regra, em Modelo de Regra de Declaração, selecione Enviar Associação de Grupo como Declaração na lista e depois clique em Avançar.
Na página Configurar Regra , digite um nome de regra de declaração.
Clique em Procurar, selecione o grupo cujos membros devem receber essa declaração de método de autenticação e clique em OK.
Em Tipo de declaração de saída, selecione Método de autenticação na lista.
Em Valor da declaração de saída, digite um dos valores de URI (identificador uniforme de recurso) padrão na tabela a seguir, dependendo do seu método de autenticação preferido, clique em Concluir e, em seguida, clique em OK para salvar a regra.
| Método de autenticação real | URI correspondente |
|---|---|
| Autenticação de nome de utilizador e palavra-passe | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows authentication | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| Transport Layer Security (TLS) Autenticação mútua que usa certificados X.509 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| Autenticação baseada em X.509 que não usa TLS | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
Para criar usando o modelo de regra Enviar Associação de Grupo como Declarações em uma Confiança do Provedor de Declarações no Windows Server 2016
No Gerenciador do Servidor, clique em Ferramentas e selecione Gerenciamento do AD FS.
Na árvore de console, em AD FS, clique em Relações de Confiança do Provedor de Declarações.
Clique com o botão direito do rato na relação de confiança selecionada e, em seguida, clique em Editar Regras de Reivindicação.
Na caixa de diálogo Editar Regras de Declaração, clique em Adicionar Regra em Regras de Transformação de Aceitação para iniciar o assistente de regras.
Na página Selecionar Modelo de Regra, em Modelo de Regra de Declaração, selecione Enviar Associação de Grupo como Declaração na lista e depois clique em Avançar.
Na página Configurar Regra , digite um nome de regra de declaração.
Clique em Procurar, selecione o grupo cujos membros devem receber essa declaração de método de autenticação e clique em OK.
Em Tipo de declaração de saída, selecione Método de autenticação na lista.
Em Valor da declaração de saída, digite um dos valores de URI (identificador uniforme de recurso) padrão na tabela a seguir, dependendo do seu método de autenticação preferido, clique em Concluir e, em seguida, clique em OK para salvar a regra.
| Método de autenticação real | URI correspondente |
|---|---|
| Autenticação de nome de utilizador e palavra-passe | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows authentication | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| Transport Layer Security (TLS) Autenticação mútua que usa certificados X.509 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| Autenticação baseada em X.509 que não usa TLS | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
Para criar esta regra utilizando o modelo de regra de transformação de declaração de entrada em uma confiança de terceira parte no Windows Server 2016
No Gerenciador do Servidor, clique em Ferramentas e selecione Gerenciamento do AD FS.
Na árvore de console, em AD FS, clique em Confianças de Terceira Parte Confiável.
Clique com o botão direito na relação de confiança selecionada e, em seguida, clique Editar Política de Emissão de Declarações.
Na caixa de diálogo Editar Política de Emissão de Reivindicações, em Regras de Emissão e Transformação, clique em Adicionar Regra para iniciar o assistente de criação de regras.
Na página Selecionar Modelo de Regra, em modelo de regra de declaração, selecione Transformar uma Declaração de Entrada na lista e clique em Avançar.
Na página Configurar Regra , digite um nome de regra de declaração.
Em Tipo de declaração de entrada, selecione Método de autenticação na lista.
Em Tipo de declaração de saída, selecione Método de autenticação na lista.
Selecione Substituir um valor de declaração de entrada por um valor de declaração de saída diferente e faça o seguinte:
Em Valor da declaração de entrada, digite um dos seguintes valores de URI baseados no URI do método de autenticação real usado originalmente, clique em Concluir e, em seguida, clique em OK para salvar a regra.
Em Valor da declaração de saída, digite um dos valores de URI padrão na tabela a seguir, que depende da sua nova opção de método de autenticação preferencial, clique em Concluir e, em seguida, clique em OK para salvar a regra.
| Método de autenticação real | URI correspondente |
|---|---|
| Autenticação de nome de utilizador e palavra-passe | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows authentication | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| Autenticação mútua TLS que usa certificados X.509 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| Autenticação baseada em X.509 que não usa TLS | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
Note
Outros valores de URI podem ser usados além dos valores na tabela. Os valores de URI mostrados na tabela anterior refletem os URIs que a parte confiável aceita por padrão.
Para criar esta regra utilizando o modelo de regra para transformar uma declaração de entrada em uma Confiança de Provedor de Declarações no Windows Server 2016
No Gerenciador do Servidor, clique em Ferramentas e selecione Gerenciamento do AD FS.
Na árvore de console, em AD FS, clique em Relações de Confiança do Provedor de Declarações.
Clique com o botão direito do rato na relação de confiança selecionada e, em seguida, clique em Editar Regras de Reivindicação.
Na caixa de diálogo Editar Regras de Declaração, clique em Adicionar Regra em Regras de Transformação de Aceitação para iniciar o assistente de regras.
Na página Selecionar Modelo de Regra, em modelo de regra de declaração, selecione Transformar uma Declaração de Entrada na lista e clique em Avançar.
Na página Configurar Regra , digite um nome de regra de declaração.
Em Tipo de declaração de entrada, selecione Método de autenticação na lista.
Em Tipo de declaração de saída, selecione Método de autenticação na lista.
Selecione Substituir um valor de declaração de entrada por um valor de declaração de saída diferente e faça o seguinte:
Em Valor da declaração de entrada, digite um dos seguintes valores de URI baseados no URI do método de autenticação real usado originalmente, clique em Concluir e, em seguida, clique em OK para salvar a regra.
Em Valor da declaração de saída, digite um dos valores de URI padrão na tabela a seguir, que depende da sua nova opção de método de autenticação preferencial, clique em Concluir e, em seguida, clique em OK para salvar a regra.
| Método de autenticação real | URI correspondente |
|---|---|
| Autenticação de nome de utilizador e palavra-passe | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows authentication | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| Autenticação mútua TLS que usa certificados X.509 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| Autenticação baseada em X.509 que não usa TLS | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
Para criar esta regra utilizando o modelo de regra "Enviar Filiação de Grupo como Declarações" no Windows Server 2012 R2
No Gerenciador do Servidor, clique em Ferramentas e selecione Gerenciamento do AD FS.
Na árvore da consola, em AD FS\Relações de Confiança, clique em Relações de Confiança de Fornecedores de Declarações ou Relações de Confiança de Partes Confiadase, em seguida, clique numa confiança específica na lista onde pretende criar esta regra.
Clique com o botão direito do rato na relação de confiança selecionada e, em seguida, clique em Editar Regras de Reivindicação.
Na caixa de diálogo Edita Regras de Declaração, seleciona um dos seguintes separadores, dependendo da relação de confiança que estás a editar e em qual conjunto de regras desejas criar essa regra e, em seguida, clica em Adicionar Regra para iniciar o assistente de regras associado a esse conjunto de regras:
Regras de Aceitação de Transformação
Regras de Transformação de Emissão
Regras de Autorização de Emissão
Regras de Autorização de Delegação
Na página Selecionar Modelo de Regra, em Modelo de Regra de Declaração, selecione Enviar Associação de Grupo como uma Reivindicação na lista e clique em Avançar.
Na página Configurar Regra , digite um nome de regra de declaração.
Clique em Procurar, selecione o grupo cujos membros devem receber essa declaração de método de autenticação e clique em OK.
Em Tipo de declaração de saída, selecione Método de autenticação na lista.
Em Valor da declaração de saída, digite um dos valores de URI (identificador uniforme de recurso) padrão na tabela a seguir, dependendo do seu método de autenticação preferido, clique em Concluir e, em seguida, clique em OK para salvar a regra.
| Método de autenticação real | URI correspondente |
|---|---|
| Autenticação de nome de utilizador e palavra-passe | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows authentication | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| Transport Layer Security (TLS) Autenticação mútua que usa certificados X.509 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| Autenticação baseada em X.509 que não usa TLS | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
Note
Outros valores de URI podem ser usados além dos valores na tabela. Os valores de URI mostrados na tabela anterior refletem os URIs que a parte confiável aceita por padrão.
Para criar esta regra usando o modelo de regra Transformar uma Declaração de Entrada no Windows Server 2012 R2
No Gestor de Servidor, clique em Ferramentas e, em seguida, clique em Gestão do AD FS.
Na árvore da consola, em AD FS\Relações de Confiança, clique em Relações de Confiança de Fornecedores de Declarações ou Relações de Confiança de Partes Confiadase, em seguida, clique numa confiança específica na lista onde pretende criar esta regra.
Clique com o botão direito do rato na relação de confiança selecionada e, em seguida, clique em Editar Regras de Reivindicação.
Na caixa de diálogo Editar Regras de Declaração, selecione um dos seguintes separadores, dependendo da entidade de confiança que está a editar e em qual conjunto de regras deseja criar esta regra. Em seguida, clique em Adicionar Regra para iniciar o assistente de regras associado a esse conjunto de regras.
Regras de Aceitação de Transformação
Regras de Transformação de Emissão
Regras de Autorização de Emissão
Regras de Autorização de Delegação
Na página Selecionar Modelo de Regra, em modelo de regra de declaração, selecione Transformar uma Declaração de Entrada na lista e clique em Avançar.
Na página Configurar Regra , digite um nome de regra de declaração.
Em Tipo de declaração de entrada, selecione Método de autenticação na lista.
Em Tipo de declaração de saída, selecione Método de autenticação na lista.
Selecione Substituir um valor de declaração de entrada por um valor de declaração de saída diferente e faça o seguinte:
Em Valor da declaração de entrada, digite um dos seguintes valores de URI baseados no URI do método de autenticação real usado originalmente, clique em Concluir e, em seguida, clique em OK para salvar a regra.
Em Valor da declaração de saída, digite um dos valores de URI padrão na tabela a seguir, que depende da sua nova opção de método de autenticação preferencial, clique em Concluir e, em seguida, clique em OK para salvar a regra.
| Método de autenticação real | URI correspondente |
|---|---|
| Autenticação de nome de utilizador e palavra-passe | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password |
| Windows authentication | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows |
| Autenticação mútua TLS que usa certificados X.509 | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient |
| Autenticação baseada em X.509 que não usa TLS | https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509 |
Note
Outros valores de URI podem ser usados além dos valores na tabela. Os valores de URI mostrados na tabela anterior refletem os URIs que a parte confiável aceita por padrão.
Referências adicionais
Configurar regras de reclamação
Lista de verificação: Criando regras de declaração para uma relação de confiança de terceira parte
Lista de verificação: Criação de regras de declaração para um provedor de confiança de declarações