Criar uma regra para permitir ou negar usuários com base em uma declaração de entrada

  • Artigo

No Windows Server 2016, é possível usar uma Política de Controle de Acesso para criar uma regra que permitirá ou negará usuários com base em uma declaração de entrada. No Windows Server 2012 R2, usando o modelo de regra Permitir ou Negar Usuários com Base em uma Declaração de Entrada nos Serviços de Federação do Active Directory (AD FS), você poderá criar uma regra de autorização que concederá ou negará o acesso do usuário à terceira parte confiável com base no tipo e no valor de uma declaração de entrada.

Por exemplo, isso poderá ser usado para criar uma regra que permitirá apenas usuários que tenham uma declaração de grupo com um valor de Administradores de domínio para acessar a terceira parte confiável. Se quiser permitir que todos os usuários acessem a terceira parte confiável, use a Política de Controle de Acesso Permitir Todos ou o modelo de regra Permitir Todos os Usuários, dependendo da versão do Windows Server. Usuários com permissão de acesso à terceira parte confiável do Serviço de Federação ainda podem ter o serviço negado pela terceira parte confiável.

É possível usar o procedimento a seguir para criar uma regra de declaração com o snap-in Gerenciamento do AD FS.

A associação em Administradores, ou equivalente, no computador local é o mínimo necessário para concluir este procedimento. Revise os detalhes sobre como usar as contas e associações de grupo apropriadas em Grupos padrão de domínio e local.

Para criar uma regra para permitir usuários com base em uma declaração de entrada no Windows Server 2016

  1. No Gerenciador do Servidor, clique em Ferramentas e depois selecione Gerenciamento do AD FS.

  2. Na árvore de console, em AD FS, clique em Políticas de Controle de Acesso. Screenshot that highlights Access Control Policies in the console tree.

  3. Clique com o botão direito do mouse e selecione Adicionar Política de Controle de Acesso. Screenshot that highlights the Add Access Control Policy menu option.

  4. Na caixa de nome, insira um nome para a política, uma descrição e clique em Adicionar. Screenshot that shows where to add an Access Control Policy when you create a rule to permit users based on an incoming claim on Windows Server 2016.

  5. No Editor de Regras, em usuários, marque a caixa com declarações específicas na solicitação e clique em específicas, sublinhado na parte inferior. Screenshot that highlights where to select the underlined specific.

  6. Na tela Selecionar Declarações, clique no botão de opção Declarações, selecione o Tipo de declaração, o Operador e o Valor da Declaração e, em seguida, clique em OK. Screenshot that shows where to select the Claims option.

  7. No Editor de Regras, clique em OK. Na tela Adicionar Política de Controle de Acesso, clique em OK.

  8. Na árvore de console, em Gerenciamento do AD FS, em AD FS, clique em Objetos de Confiança de Terceira Parte Confiável. Screenshot that shows where to select Relying Party Trusts.

  9. Clique com o botão direito do mouse em Objeto de Confiança de Terceira Parte Confiável que você quer permitir o acesso e selecione Editar Política de Controle de Acesso. Screenshot that shows where to select the Edit Access Control Policy menu option.

  10. Na Política de Controle de Acesso, selecione a política e clique em Aplicar e em OK. Screenshot that shows where to select Apply and OK.

Para criar uma regra para negar usuários com base em uma declaração de entrada no Windows Server 2016

  1. No Gerenciador do Servidor, clique em Ferramentas e depois selecione Gerenciamento do AD FS.

  2. Na árvore de console, em AD FS, clique em Políticas de Controle de Acesso. Screenshot that shows where to select Access Control Policies.

  3. Clique com o botão direito do mouse e selecione Adicionar Política de Controle de Acesso. Screenshot that shows where to add an Access Control Policy.

  4. Na caixa de nome, insira um nome para a política, uma descrição e clique em Adicionar. Screenshot that shows where to enter a name for your policy.

  5. No Editor de Regras, verifique se todos está selecionado e em Exceto marque a caixa com declarações específicas na solicitação e clique em específicas, sublinhado na parte inferior. Screenshot that shows where to make sure that the everyone option is selected.

  6. Na tela Selecionar Declarações, clique no botão de opção Declarações, selecione o Tipo de declaração, o Operador e o Valor da Declaração e, em seguida, clique em OK. Screenshot that shows the Select Claims screen.

  7. No Editor de Regras, clique em OK. Na tela Adicionar Política de Controle de Acesso, clique em OK.

  8. Na árvore de console, em Gerenciamento do AD FS, em AD FS, clique em Objetos de Confiança de Terceira Parte Confiável. create rule

  9. Clique com o botão direito do mouse em Objeto de Confiança de Terceira Parte Confiável que você quer permitir o acesso e selecione Editar Política de Controle de Acesso. Screenshot that shows where to right-click Relying Party Trust to access the Edit Access Control Policy menu option.

  10. Na Política de Controle de Acesso, selecione a política e clique em Aplicar e em OK. Screenshot that shows how go apply the changes to the Access Control Policy.

Para criar uma regra para permitir ou negar usuários com base em uma declaração de entrada no Windows Server 2012 R2

  1. No Gerenciador do Servidor, clique em Ferramentas e depois selecione Gerenciamento do AD FS.

  2. Na árvore de console, em AD FS\Relações de Confiança\Objeto de Confiança de Terceira Parte Confiável, clique em uma relação de confiança específica na lista em que deseja criar essa regra.

  3. Clique com o botão direito do mouse no objeto de confiança selecionado e, em seguida, clique em Editar Regras de Declaração. Screenshot that shows the Edit Claim Rules menu option.

  4. Na caixa de diálogo Editar Regras de Declaração, clique na aba Regras de Autorização de Emissão ou a aba Regras de Autorização de Delegação (com base no tipo de regra de autorização necessária) e clique em Adicionar Regra para iniciar o Assistente para Adicionar Regra de Declaração de Autorização. Screenshot that shows how to start the Add Authorization Claim Rule Wizard.

  5. Na página Selecionar Modelo de Regra, em Modelo de regra de declaração, selecione Permitir ou Negar Usuários com Base em uma Declaração de Entrada na lista e, em seguida, clique em Avançar. Screenshot that shows where to select the Permit or Deny Users Based on an Incoming Claim template.

  6. Na página Configurar Regra em Nome da regra de declaração digite o nome de exibição dessa regra, em Tipo de declaração de entrada selecione um tipo de declaração na lista, em Valor da declaração de entrada digite um valor ou clique em Procurar (se estiver disponível) e selecione um valor e, em seguida, selecione uma das seguintes opções, dependendo das necessidades da organização:

    • Permitir o acesso a usuários com esta declaração de entrada

    • Negar acesso aos usuários com esta declaração de entradaScreenshot that shows where to select the incoming claim type.

  7. Clique em Concluir.

  8. Na caixa de diálogo Editar Regras de Declaração, clique em OK para salvar a regra.

Referências adicionais

Configurar regras de declaração

Lista de verificação: Como criar regras de declaração para um objeto de confiança de terceira parte confiável

Quando usar uma regra de declaração de autorização

A função das declarações

A função das regras de declaração