Compartilhar via

Criar uma regra para enviar uma declaração do método de autenticação

Use o modelo Enviar Associação de Grupo como Regra de Declarações ou Transformar um modelo de regra de Declaração de Entrada para enviar uma declaração de método de autenticação. A terceira parte confiável pode usar uma declaração de método de autenticação para determinar o mecanismo de logon que o usuário usa para autenticar e obter declarações de AD FS (Serviços de Federação do Active Directory). Você também pode usar o recurso de Garantia do Mecanismo de Autenticação do AD FS (Serviços de Federação do Active Directory) no Windows Server 2012 R2 como entrada para gerar declarações de método de autenticação para situações em que a terceira parte confiável deseja determinar o nível de acesso baseado em logons de cartão inteligente. Por exemplo, um desenvolvedor pode atribuir diferentes níveis de acesso a usuários federados do aplicativo de terceira parte confiável. Os níveis de acesso são baseados em se os usuários fazem logon com suas credenciais de nome de usuário e senha, em vez de seus cartões inteligentes.

Dependendo dos requisitos da sua organização, use um dos procedimentos a seguir:

  • Crie essa regra usando o modelo de regra Enviar Associação de Grupo como Declarações, é possível usar esse modelo de regra quando quiser que o grupo especificado neste modelo determine, em última análise, qual declaração de método de autenticação emitir.

  • Crie essa regra usando modelo de regra Transformar uma Declaração de Entrada, é possível usar esse modelo de regra quando quiser alterar o método de autenticação existente para um novo método de autenticação que funciona com um produto que não reconhece declarações de método de autenticação padrão do AD FS.

Para criar usando o modelo de regra Enviar Associação de Grupo como Declarações em uma Relação de Confiança de Terceira Parte Confiável no Windows Server 2016

  1. No Gerenciador do Servidor, clique em Ferramentas e depois selecione Gerenciamento do AD FS.

  2. Na árvore do console, em AD FS, clique em Objetos de Confiança de Terceira Parte Confiável. Screenshot that shows where to select Relying Party Trusts in the console tree when you create a rule by using the Send Group Membership as Claims rule template.

  3. Clique com o botão direito do mouse no objeto de confiança selecionado e, em seguida, clique em Editar Política de Emissão de Declaração. Screenshot that shows where to select the Edit Claim Issuance Policy menu option when you create a rule by using the Send Group Membership as Claims rule template.

  4. Na caixa de diálogo Editar Política de Emissão de Declaração, em Regras de Transformação de Emissão, clique em Adicionar Regra para iniciar o assistente de regra. Screenshot that shows how to add a rule when you create a rule by using the Send Group Membership as Claims rule template.

  5. Na página Selecionar Modelo de Regra, em Modelo de regra de declaração, selecione Enviar Associação de grupo como Declaração na lista e clique em Avançar. Screenshot that shows where to select the Send Group Membership as Claim template.

  6. Na página Configurar regra, digite um nome de regra de declaração.

  7. Clique em Procurar, selecione o grupo cujos membros devem receber essa declaração de método de autenticação e clique em OK.

  8. Em Tipo de declaração de saída, selecione Método de autenticação na lista.

  9. Em Valor de declaração de saída, digite um dos valores de URI (Uniform Resource Identifier) padrão na tabela a seguir, dependendo do método de autenticação preferencial, clique em Concluir e clique em OK para salvar a regra.

Método de Autenticação real URI correspondente
Autenticação por nome de usuário e senha https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Autenticação do Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Autenticação mútua TLS (protocolo TLS) que usa certificados X.509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Autenticação baseada em X.509 que não usa o TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Screenshot that shows where to select Finish when you create a rule by using the Send Group Membership as Claims rule template in Windows Server 2016.

Para criar usando o modelo de regra Enviar Associação de Grupo como Declarações em uma Relação de Confiança de Provedor de Declarações no Windows Server 2016

  1. No Gerenciador do Servidor, clique em Ferramentas e depois selecione Gerenciamento do AD FS.

  2. Na árvore do console, em AD FS, clique em Objetos de Confiança de Provedor de Declarações. Screenshot that shows where to select Claims Provider Trusts when you create a rule by using the Send Group Membership as Claims rule template in Windows Server 2016.

  3. Clique com o botão direito do mouse no objeto de confiança selecionado e, em seguida, clique em Editar Regras de Declaração. Screenshot that shows where to select Edit Claim Rules when you create a rule by using the Send Group Membership as Claims rule template in Windows Server 2016.

  4. Na caixa de diálogo Editar Regras de Declaração, em Regras de Transformação de Aceitação, clique em Adicionar Regra para iniciar o assistente de regra. Screenshot that shows where to select the Add Rule button when you create a rule by using the Send Group Membership as Claims rule template in Windows Server 2016.

  5. Na página Selecionar Modelo de Regra, em Modelo de regra de declaração, selecione Enviar Associação de grupo como Declaração na lista e clique em Avançar. Screenshot that shows where to select the Send Group Membership as Claim template when you create a rule in Windows Server 2016.

  6. Na página Configurar regra, digite um nome de regra de declaração.

  7. Clique em Procurar, selecione o grupo cujos membros devem receber essa declaração de método de autenticação e clique em OK.

  8. Em Tipo de declaração de saída, selecione Método de autenticação na lista.

  9. Em Valor de declaração de saída, digite um dos valores de URI (Uniform Resource Identifier) padrão na tabela a seguir, dependendo do método de autenticação preferencial, clique em Concluir e clique em OK para salvar a regra.

Método de Autenticação real URI correspondente
Autenticação por nome de usuário e senha https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Autenticação do Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Autenticação mútua TLS (protocolo TLS) que usa certificados X.509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Autenticação baseada em X.509 que não usa o TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Screenshot that shows where to select Finish when you create a rule by using the Send Group Membership as Claims rule template in Windows Server 2016.

Para criar essa regra usando a transformação de um modelo de regra de declaração de entrada em um Objeto de Confiança de Terceira Parte Confiável no Windows Server 2016

  1. No Gerenciador do Servidor, clique em Ferramentas e depois selecione Gerenciamento do AD FS.

  2. Na árvore do console, em AD FS, clique em Objetos de Confiança de Terceira Parte Confiável. Screenshot that shows where to select Relying Party Trusts in the console tree when you create a rule by using the transform an incoming claim rule template.

  3. Clique com o botão direito do mouse no objeto de confiança selecionado e, em seguida, clique em Editar Política de Emissão de Declaração. Screenshot that shows where to select Edit Claim Issuance Policy when you create a rule by using the transform an incoming claim rule template.

  4. Na caixa de diálogo Editar Política de Emissão de Declaração, em Regras de Transformação de Emissão, clique em Adicionar Regra para iniciar o assistente de regra. Screenshot that shows where to select Add Rule when you create a rule by using the transform an incoming claim rule template.

  5. Na página Selecionar Modelo de Regra, em Modelo de regra de declaração, selecione Transformar uma Declaração de Entrada na lista e, em seguida, clique em Avançar. Screenshot that shows where to select the Transform an Incoming Claim template when you create a rule.

  6. Na página Configurar regra, digite um nome de regra de declaração.

  7. Em Tipo de declaração de entrada, selecione Método de autenticação na lista.

  8. Em Tipo de declaração de saída, selecione Método de autenticação na lista.

  9. Selecione Substituir um valor de declaração de entrada por um valor de declaração de saída diferente e faça o seguinte:

    1. No valor de declaração de entrada, digite um dos seguintes valores de URI baseados no URI do método de autenticação real que foi usado originalmente, clique em Concluir e clique em OK para salvar a regra.

    2. Em Valor de declaração de saída, digite um dos valores de URI padrão na tabela a seguir, que depende de sua nova opção de método de autenticação preferencial, clique em Concluir e clique em OK para salvar a regra.

Método de autenticação real URI correspondente
Autenticação por nome de usuário e senha https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Autenticação do Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Autenticação mútua TLS que usa certificados X.509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Autenticação baseada em X.509 que não usa o TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Screenshot that shows where to select Finish when you create a rule by using the transform an incoming claim rule template.

Observação

Outros valores de URI podem ser usados além dos valores na tabela. Os valores de URI mostrados na tabela anterior refletem os URIs que a terceira parte confiável aceita por padrão.

Para criar essa regra usando o modelo de regra transformar uma declaração de entrada em um Objeto de Confiança de Terceira Parte Confiável no Windows Server 2016

  1. No Gerenciador do Servidor, clique em Ferramentas e depois selecione Gerenciamento do AD FS.

  2. Na árvore do console, em AD FS, clique em Objetos de Confiança de Provedor de Declarações. Screenshot that shows where to select Claims Provider Trusts in the console tree when you create a rule by using the transform an incoming claim rule template in Windows Server 2016.

  3. Clique com o botão direito do mouse no objeto de confiança selecionado e, em seguida, clique em Editar Regras de Declaração. Screenshot that shows where to select Edit Claim Rules when you create a rule by using the transform an incoming claim rule template in Windows Server 2016.

  4. Na caixa de diálogo Editar Regras de Declaração, em Regras de Transformação de Aceitação, clique em Adicionar Regra para iniciar o assistente de regra. Screenshot that shows where to select Add Rule when you create a rule by using the transform an incoming claim rule template in Windows Server 2016.

  5. Na página Selecionar Modelo de Regra, em Modelo de regra de declaração, selecione Transformar uma Declaração de Entrada na lista e, em seguida, clique em Avançar. Screenshot that shows where to select the Transform an Incoming Claim template when you create a rule in Windows Server 2016.

  6. Na página Configurar regra, digite um nome de regra de declaração.

  7. Em Tipo de declaração de entrada, selecione Método de autenticação na lista.

  8. Em Tipo de declaração de saída, selecione Método de autenticação na lista.

  9. Selecione Substituir um valor de declaração de entrada por um valor de declaração de saída diferente e faça o seguinte:

    1. No valor de declaração de entrada, digite um dos seguintes valores de URI baseados no URI do método de autenticação real que foi usado originalmente, clique em Concluir e clique em OK para salvar a regra.

    2. Em Valor de declaração de saída, digite um dos valores de URI padrão na tabela a seguir, que depende de sua nova opção de método de autenticação preferencial, clique em Concluir e clique em OK para salvar a regra.

Método de autenticação real URI correspondente
Autenticação por nome de usuário e senha https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Autenticação do Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Autenticação mútua TLS que usa certificados X.509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Autenticação baseada em X.509 que não usa o TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Screenshot that shows where to select Finish when you create a rule by using the transform an incoming claim rule template in Windows Server 2016.

Para criar essa regra usando o modelo de regra Enviar Associação de Grupo como Declarações no Windows Server 2012 R2

  1. No Gerenciador do Servidor, clique em Ferramentas e depois selecione Gerenciamento do AD FS.

  2. Na árvore do console, em AD FS\Relações de Confiança, clique em Objetos de Confiança do Provedor de Declarações ou Objetos de Confiança de Terceira Parte Confiável e clique em um objeto de confiança específico na lista em que deseja criar essa regra.

  3. Clique com o botão direito do mouse no objeto de confiança selecionado e, em seguida, clique em Editar Regras de Declaração. Screenshot that shows where to select Edit Claim Rules when you create a rule by using the Send Group Membership as Claims rule template.

  4. Na caixa de diálogo Editar Regras de Declaração, selecione uma das seguintes guias, dependendo da relação de confiança que está editando e em qual conjunto de regras deseja criar essa regra e escolha Adicionar Regra para iniciar o assistente de regra associado a esse conjunto de regras:

    • Regras de Transformação de Aceitação

    • Regras de Transformação de Emissão

    • Regras de Autorização de Emissão

    • Regras de Autorização de DelegaçãoScreenshot that shows where to select Add Rule when you create a rule by using the Send Group Membership as Claims rule template.

  5. Na página Selecionar modelo de regra, em Modelo de regra de declaração, selecione Enviar associação de grupo como uma declaração na lista e clique em Avançar. Screenshot that shows where to select the Send Group Membership as a Claim template when you create a rule.

  6. Na página Configurar regra, digite um nome de regra de declaração.

  7. Clique em Procurar, selecione o grupo cujos membros devem receber essa declaração de método de autenticação e clique em OK.

  8. Em Tipo de declaração de saída, selecione Método de autenticação na lista.

  9. Em Valor de declaração de saída, digite um dos valores de URI (Uniform Resource Identifier) padrão na tabela a seguir, dependendo do método de autenticação preferencial, clique em Concluir e clique em OK para salvar a regra.

Método de Autenticação Real URI correspondente
Autenticação por nome de usuário e senha https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Autenticação do Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Autenticação mútua TLS (protocolo TLS) que usa certificados X.509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Autenticação baseada em X.509 que não usa o TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

Screenshot that shows where to select Finish when you create a rule by using the Send Group Membership as Claims rule template.

Observação

Outros valores de URI podem ser usados além dos valores na tabela. Os valores de URI mostrados na tabela anterior refletem os URIs que a terceira parte confiável aceita por padrão.

Para criar esta regra usando o modelo de regra Transformar uma Declaração de Entrada no Windows Server 2012 R2

  1. No Gerenciador do Servidor, clique em Ferramentas e, em seguida, clique em Gerenciamento do AD FS.

  2. Na árvore do console, em AD FS\Relações de Confiança, clique em Objetos de Confiança do Provedor de Declarações ou Objetos de Confiança de Terceira Parte Confiável e clique em um objeto de confiança específico na lista em que deseja criar essa regra.

  3. Clique com o botão direito do mouse no objeto de confiança selecionado e, em seguida, clique em Editar Regras de Declaração. Screenshot that shows where to select Edit Claim Rules when you create a rule by using the Transform an Incoming Claim rule template in Windows Server 2012 R2.

  4. Na caixa de diálogo Editar Regras de Declaração, selecione uma das guias a seguir, que dependerá do objeto de confiança que você está editando e em qual conjunto de regras você quer criar essa regra e, em seguida, clique em Adicionar regra para iniciar o assistente de regra associado a esse conjunto de regras:

    • Regras de Transformação de Aceitação

    • Regras de Transformação de Emissão

    • Regras de Autorização de Emissão

    • Regras de Autorização de DelegaçãoScreenshot that shows where to select Add Rule when you create a rule by using the Transform an Incoming Claim rule template in Windows Server 2012 R2.

  5. Na página Selecionar Modelo de Regra, em Modelo de regra de declaração, selecione Transformar uma Declaração de Entrada na lista e, em seguida, clique em Avançar. Screenshot that shows where to select the Transform an Incoming Claim template when you create a rule in Windows Server 2012 R2.

  6. Na página Configurar regra, digite um nome de regra de declaração.

  7. Em Tipo de declaração de entrada, selecione Método de autenticação na lista.

  8. Em Tipo de declaração de saída, selecione Método de autenticação na lista.

  9. Selecione Substituir um valor de declaração de entrada por um valor de declaração de saída diferente e faça o seguinte:

    1. No valor de declaração de entrada, digite um dos seguintes valores de URI baseados no URI do método de autenticação real que foi usado originalmente, clique em Concluir e clique em OK para salvar a regra.

    2. Em Valor de declaração de saída, digite um dos valores de URI padrão na tabela a seguir, que depende de sua nova opção de método de autenticação preferencial, clique em Concluir e clique em OK para salvar a regra.

Método de autenticação real URI correspondente
Autenticação por nome de usuário e senha https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
Autenticação do Windows https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
Autenticação mútua TLS que usa certificados X.509 https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/tlsclient
Autenticação baseada em X.509 que não usa o TLS https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/x509

create rule

Observação

Outros valores de URI podem ser usados além dos valores na tabela. Os valores de URI mostrados na tabela anterior refletem os URIs que a terceira parte confiável aceita por padrão.

Referências adicionais

Configurar regras de declaração

Lista de verificação: Como criar regras de declaração para um objeto de confiança de terceira parte confiável

Lista de verificação: Como criar regras de declaração para uma relação de confiança do provedor de declarações

Quando usar uma regra de declaração de autorização

A função das declarações

A função das regras de declaração