Quando usar uma associação de grupo de envio como uma regra para reivindicações
Você pode usar essa regra nos Serviços de Federação do Ative Directory (AD FS) quando quiser emitir um novo valor de declaração de saída apenas para os usuários que são membros de um grupo de segurança especificado do Ative Directory. Ao usar essa regra, você emite uma única declaração apenas para o grupo especificado e que corresponde à lógica da regra, conforme descrito na tabela a seguir.
| Opção de regra | Lógica da regra |
|---|---|
| Valor de reclamação a pagar | Se a associação de grupo de um utilizador for igual ao grupo especificado e o tipo de declaração de saída for igual ao tipo de declaração especificado , substitua o valor do nome do grupo existente pelo valor da declaração de saída especificado e emita a declaração. |
As seções a seguir fornecem uma introdução básica às regras de reivindicação. Eles também fornecem detalhes sobre quando se deve usar a regra Enviar associação de grupo como uma reclamação.
Sobre as regras de reclamação
Uma regra de declaração representa uma instância da lógica de negócios que aceitará uma declaração de entrada, aplicará uma condição a ela (se x então y) e produzirá uma declaração de saída com base nos parâmetros da condição. A lista a seguir descreve dicas importantes que você deve saber sobre as regras de sinistro antes de ler mais neste tópico:
No snap-in de Gestão do AD FS, as regras de declaração só podem ser criadas utilizando modelos de regras de declaração
As regras de declaração processam as declarações de entrada, quer diretamente de um fornecedor de declarações (como o Active Directory ou outro Serviço de Federação), quer a partir da saída das regras de transformação de aceitação numa relação de confiança do fornecedor de declarações.
As regras de declaração são processadas pelo mecanismo de emissão de declarações em ordem cronológica dentro de um determinado conjunto de regras. Ao definir a precedência nas regras, você pode refinar ou filtrar ainda mais as declarações geradas por regras anteriores dentro de um determinado conjunto de regras.
Os modelos de regra de declaração sempre exigirão que você especifique um tipo de declaração de entrada. No entanto, você pode processar vários valores de declaração com o mesmo tipo de declaração usando uma única regra.
Para obter informações mais detalhadas sobre regras de reivindicação e conjuntos de regras de reivindicação, consulte The Role of Claim Rules. Para obter mais informações sobre como as regras são processadas, consulte A função do mecanismo de declarações. Para obter mais informações sobre como os conjuntos de regras de declaração são processados, consulte The Role of the Claims Pipeline.
Valor da reclamação de saída
Usando o modelo de regra de Enviar Associação de Grupo como uma Declaração, pode-se emitir uma declaração que é dependente de o utilizador ser membro de um grupo que especifique.
Em outras palavras, esse modelo de regra emite uma declaração somente quando o usuário tem a ID de segurança de grupo (SID) que corresponde ao grupo do Ative Directory especificado pelo administrador. Todos os utilizadores que se autenticarem contra os Serviços de Domínio Active Directory (AD DS) terão declarações de SID de grupo recebidas para cada grupo ao qual pertencem. Por padrão, as regras de transformação de aceitação na Confiança do Provedor de Declarações do Ative Directory passam por essas declarações SID de grupo. Usar esses SIDs de grupo como base para emitir declarações é muito mais rápido do que procurar os grupos de usuários no AD DS.
Quando você usa essa regra, apenas uma única declaração é enviada, com base no grupo do Ative Directory selecionado. Por exemplo, você pode usar esse modelo de regra para criar uma regra que enviará uma declaração de grupo com o valor "Admin" se o usuário for membro do grupo de segurança Administradores do Domínio.
Configurando esta regra em uma relação de confiança do provedor de declarações
Os administradores devem usar esse tipo de regra nas regras de transformação de aceitação de uma relação de confiança do provedor de declarações somente quando SIDs de grupo estão sendo recebidos do provedor de declarações, o que é muito incomum para qualquer provedor de declarações, exceto Ative Directory ou AD DS.
Como criar esta regra
Você cria essa regra usando o idioma da regra de declaração ou usando o modelo de regra Enviar Associação ao Grupo LDAP como uma Reivindicação no snap-in Gerenciamento do AD FS. Este modelo de regra fornece as seguintes opções de configuração:
Especificar um nome de regra de declaração
Selecionar um grupo de usuários usando o seletor de objetos
Selecione um tipo de reivindicação de saída
Selecione um formato de ID de nome de saída (que está disponível somente quando o ID de nome é escolhido no campo de tipo de declaração de saída)
Especificar um valor de declaração de saída
Para obter mais informações sobre como criar essa regra, consulte Criar uma regra para enviar associação de grupo como uma declaração.
Usando a linguagem de regras de reivindicação
Se você quiser emitir declarações com base em um SID de entrada diferente de um SID de grupo, use o modelo de regra Transformar uma declaração de entrada. Se o administrador quiser recuperar os nomes de todos os grupos dos quais o usuário é membro, use o modelo de regra Enviar atributos LDAP como declarações em vez do atributo tokenGroups.
Exemplo: Como emitir declarações de grupo com base na afiliação ao grupo do utilizador
A regra a seguir atribui declarações de grupo a um utilizador com base em um SID de grupo de entrada.
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == "S-1-5-21-397933417-626991126-188441444-512", Issuer == "AD AUTHORITY"]
=> issue(Type = "http://schemas.xmlsoap.org/claims/Group", Value = "administrators", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, ValueType = c.ValueType);