Criar uma regra para enviar uma declaração compatível com AD FS 1.x

  • Artigo

Em situações em que você está usando Serviços de Federação do Active Directory (AD FS) para emitir declarações que serão recebidas por servidores de federação que executam o AD FS 1.0 (Windows Server 2003 R2) ou o AD FS 1.1 (Windows Server 2008 ou Windows Server 2008 R2), você deve fazer o seguinte:

  • Crie uma regra que enviará um tipo de declaração de ID de nome com um formato UPN, Email ou Nome Comum.

  • Todas as outras declarações enviadas devem ter um dos seguintes tipos de declaração:

    • Endereço de email do AD FS 1.x

    • UPN do AD FS 1.x

    • Nome comum

    • Agrupar

    • Qualquer outro tipo de declaração que comece com https://schemas.xmlsoap.org/claims/, como https://schemas.xmlsoap.org/claims/EmployeeID

Dependendo das necessidades da sua organização, use um dos procedimentos a seguir para criar uma declaração NameID compatível com o AD FS 1.x :

  • Criar essa regra para emitir uma declaração de ID de nome do AD FS 1.x usando o modelo de regra Passar ou filtrar uma declaração de entrada

  • Crie essa regra para emitir uma declaração de ID de nome do AD FS 1.x usando o modelo de regra Transformar uma declaração de entrada. Você pode usar esse modelo de regra quando desejar alterar o tipo de declaração existente para um novo tipo de declaração que funcionará com o AD FS 1. Declarações x.

Observação

Para que essa regra funcione conforme o esperado, verifique se o objeto de confiança de terceira parte confiável ou a relação de confiança do provedor de declarações em que você está criando essa regra foi configurada para usar o perfil do AD FS 1.0 e 1.1.

Para criar uma regra para emitir uma declaração de ID de nome do AD FS 1.x usando o modelo de regra Passar ou filtrar uma declaração de entrada em um objeto de confiança de terceira parte confiável no Windows Server 2016

  1. No Gerenciador do Servidor, clique em Ferramentas e depois selecione Gerenciamento do AD FS.

  2. Na árvore do console, em AD FS, clique em Objetos de Confiança de Terceira Parte Confiável. Screenshot that shows where to select Relying Party Trusts when you create a rule to issue an AD FS 1.x Name ID claim.

  3. Clique com o botão direito do mouse no objeto de confiança selecionado e, em seguida, clique em Editar Política de Emissão de Declaração. Screenshot that shows where to select the Edit Claim Issuance Policy option when you create a rule to issue an AD FS 1.x Name ID claim.

  4. Na caixa de diálogo Editar Política de Emissão de Declaração, em Regras de Transformação de Emissão, clique em Adicionar Regra para iniciar o assistente de regra. Screenshot that shows where to select Add Rule when you create a rule to issue an AD FS 1.x Name ID claim.

  5. Na página Selecionar Modelo de Regra, em Modelo de regra de declaração, escolha Passar ou Filtrar uma Declaração de Entrada na lista e clique em Avançar. Screenshot that shows where to select the Pass Through or Filter an Incoming Claim template when you create a rule to issue an AD FS 1.x Name ID claim.

  6. Na página Configurar regra, digite um nome de regra de declaração.

  7. Em Tipo de declaração de entrada, selecione ID de nome na lista.

  8. Em Formato de ID de nome de entrada, selecione um dos formatos de declaração compatíveis com o AD FS 1.x da lista a seguir:

    • UPN

    • Email

    • Nome comum

  9. Selecione uma das seguintes opções, dependendo das necessidades da sua organização:

    • Passar todos os valores da declaração

    • Passar apenas um valor de declaração específica

    • Passar apenas valores de declaração que correspondam a um valor de sufixo de email específico

    • Passe apenas os valores de declaração que começam com um valor específicoScreenshot that shows the Configure Claim Rule screen.

  10. Clique em Concluir e em OK para salvar a regra.

Para criar uma regra para emitir uma declaração de ID de nome do AD FS 1.x usando o modelo de regra Passar ou filtrar uma declaração de entrada em uma relação de confiança do provedor de declarações no Windows Server 2016

  1. No Gerenciador do Servidor, clique em Ferramentas e depois selecione Gerenciamento do AD FS.

  2. Na árvore do console, em AD FS, clique em Objetos de Confiança de Provedor de Declarações. Screenshot that shows where to select Claims Provider Trusts in the console tree.

  3. Clique com o botão direito do mouse no objeto de confiança selecionado e, em seguida, clique em Editar Regras de Declaração. Screenshot that shows where to select the Edit Claim Rules menu option when you create a rule to issue an AD FS 1.x Name ID claim.

  4. Na caixa de diálogo Editar Regras de Declaração, em Regras de Transformação de Aceitação, clique em Adicionar Regra para iniciar o assistente de regra. Screenshot that shows the Add Rule button on the Acceptance Transform Rules tab.

  5. Na página Selecionar Modelo de Regra, em Modelo de regra de declaração, escolha Passar ou Filtrar uma Declaração de Entrada na lista e clique em Avançar. Screenshot that shows where to select the Pass Through or Filter an Incoming Claim template when you create a rule to issue an AD FS 1.x Name ID claim.

  6. Na página Configurar regra, digite um nome de regra de declaração.

  7. Em Tipo de declaração de entrada, selecione ID de nome na lista.

  8. Em Formato de ID de nome de entrada, selecione um dos formatos de declaração compatíveis com o AD FS 1.x da lista a seguir:

    • UPN

    • Email

    • Nome comum

  9. Selecione uma das seguintes opções, dependendo das necessidades da sua organização:

    • Passar todos os valores da declaração

    • Passar apenas um valor de declaração específica

    • Passar apenas valores de declaração que correspondam a um valor de sufixo de email específico

    • Passe apenas os valores de declaração que começam com um valor específicoScreenshot that shows where to select the options on the Configure Claim Rule screen.

  10. Clique em Concluir e em OK para salvar a regra.

Para criar uma regra para transformar uma declaração de entrada em uma declaração de objeto de confiança de terceira parte confiável no Windows Server 2016

  1. No Gerenciador do Servidor, clique em Ferramentas e depois selecione Gerenciamento do AD FS.

  2. Na árvore do console, em AD FS, clique em Objetos de Confiança de Terceira Parte Confiável. Screenshot that shows where to select Relying Party Trusts when you create a rule to transform an incoming claim.

  3. Clique com o botão direito do mouse no objeto de confiança selecionado e, em seguida, clique em Editar Política de Emissão de Declaração. Screenshot that shows where to select the Edit Claim Issuance Policy menu option when you create a rule to transform an incoming claim.

  4. Na caixa de diálogo Editar Política de Emissão de Declaração, em Regras de Transformação de Emissão, clique em Adicionar Regra para iniciar o assistente de regra. Screenshot that shows where to select the Add Rule button.

  5. Na página Selecionar Modelo de Regra, em Modelo de regra de declaração, selecione Transformar uma Declaração de Entrada na lista e, em seguida, clique em Avançar. Screenshot that shows where to select Transform an Incoming Claim when you create a rule to transform an incoming claim.

  6. Na página Configurar regra, digite um nome de regra de declaração.

  7. Em Tipo de declaração de entrada, selecione o tipo de declaração de entrada que você deseja transformar na lista.

  8. Em Tipo de declaração de saída, selecione ID de nome na lista.

  9. Em Formato de ID de nome de saída, selecione um dos formatos de declaração compatíveis com o AD FS 1.x da lista a seguir:

    • UPN

    • Email

    • Nome comum

  10. Selecione uma das seguintes opções, dependendo das necessidades da sua organização:

    • Passar todos os valores da declaração

    • Substituir um valor de declaração de entrada por um valor diferente de declaração de saída

    • Substituir as declarações de sufixo de email de entrada por um novo sufixo de emailScreenshot that shows the options you can select on the Configure Claim Rule screen when you create a rule to transform an incoming claim.

  11. Clique em Concluir e em OK para salvar a regra.

Para criar uma regra para transformar uma declaração de entrada em uma relação de confiança do provedor de declarações no Windows Server 2016

  1. No Gerenciador do Servidor, clique em Ferramentas e depois selecione Gerenciamento do AD FS.

  2. Na árvore do console, em AD FS, clique em Objetos de Confiança de Provedor de Declarações. Screenshot that shows where to select Claims Provider Trusts in the console tree when you create a rule to transform an incoming claim.

  3. Clique com o botão direito do mouse no objeto de confiança selecionado e, em seguida, clique em Editar Regras de Declaração. Screenshot that shows where to select the Edit Claim Rules menu option when you create a rule to transform an incoming claim.

  4. Na caixa de diálogo Editar Regras de Declaração, em Regras de Transformação de Aceitação, clique em Adicionar Regra para iniciar o assistente de regra. Screenshot that shows where to select the Add Rule button on the Acceptance Transform Rules tab when you create a rule to transform an incoming claim.

  5. Na página Selecionar Modelo de Regra, em Modelo de regra de declaração, selecione Transformar uma Declaração de Entrada na lista e, em seguida, clique em Avançar. Screenshot that shows where to select Transform an Incoming Claim when you create a rule to transform an incoming claim.

  6. Na página Configurar regra, digite um nome de regra de declaração.

  7. Em Tipo de declaração de entrada, selecione o tipo de declaração de entrada que você deseja transformar na lista.

  8. Em Tipo de declaração de saída, selecione ID de nome na lista.

  9. Em Formato de ID de nome de saída, selecione um dos formatos de declaração compatíveis com o AD FS 1.x da lista a seguir:

    • UPN

    • Email

    • Nome comum

  10. Selecione uma das seguintes opções, dependendo das necessidades da sua organização:

    • Passar todos os valores da declaração

    • Substituir um valor de declaração de entrada por um valor diferente de declaração de saída

    • Substituir as declarações de sufixo de email de entrada por um novo sufixo de emailScreenshot that shows where to select the options on the Configure Claim Rule screen when you create a rule to transform an incoming claim.

  11. Clique em Concluir e em OK para salvar a regra.

Para criar uma regra para emitir uma declaração de ID de nome do AD FS 1.x usando o modelo de regra Passar ou filtrar uma declaração de entrada no Windows Server 2012 R2

  1. No Gerenciador do Servidor, clique em Ferramentas e depois selecione Gerenciamento do AD FS.

  2. Na árvore do console, em AD FS\Relações de Confiança, clique em Objetos de Confiança do Provedor de Declarações ou Objetos de Confiança de Terceira Parte Confiável e clique em um objeto de confiança específico na lista em que deseja criar essa regra.

  3. Clique com o botão direito do mouse no objeto de confiança selecionado e, em seguida, clique em Editar Regras de Declaração. Screenshot that shows where to select the Edit Claim Rules menu option when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  4. Na caixa de diálogo Editar regras de declaração, selecione uma das seguintes guias, dependendo da confiança que você está editando e em qual conjunto de regras você deseja criar essa regra. e clique em Adicionar regra para iniciar o assistente de regra associado a esse conjunto de regras:

    • Regras de Transformação de Aceitação

    • Regras de Transformação de Emissão

    • Regras de Autorização de Emissão

    • Regras de Autorização de DelegaçãoScreenshot that shows where to select Add Rule when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  5. Na página Selecionar Modelo de Regra, em Modelo de regra de declaração, escolha Passar ou Filtrar uma Declaração de Entrada na lista e clique em Avançar. Screenshot that shows where to select the Pass Through or Filter an Incoming Claim template when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  6. Na página Configurar regra, digite um nome de regra de declaração.

  7. Em Tipo de declaração de entrada, selecione ID de nome na lista.

  8. Em Formato de ID de nome de entrada, selecione um dos formatos de declaração compatíveis com o AD FS 1.x da lista a seguir:

    • UPN

    • Email

    • Nome comum

  9. Selecione uma das seguintes opções, dependendo das necessidades da sua organização:

    • Passar todos os valores da declaração

    • Passar apenas um valor de declaração específica

    • Passar apenas valores de declaração que correspondam a um valor de sufixo de email específico

    • Passe apenas os valores de declaração que começam com um valor específicoScreenshot that shows where to select the options on the Configure Claim Rule screen when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  10. Clique em Concluir e em OK para salvar a regra.

Para criar uma regra para emitir uma declaração de ID de nome do AD FS 1.x usando o modelo de regra Transformar uma declaração de entrada no Windows Server 2012 R2

  1. No Gerenciador do Servidor, clique em Ferramentas e depois selecione Gerenciamento do AD FS.

  2. Na árvore do console, em AD FS\Relações de Confiança, clique em Objetos de Confiança do Provedor de Declarações ou Objetos de Confiança de Terceira Parte Confiável e clique em um objeto de confiança específico na lista em que deseja criar essa regra.

  3. Clique com o botão direito do mouse no objeto de confiança selecionado e, em seguida, clique em Editar Regras de Declaração. Screenshot that shows where to select Edit Claim Rules when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  4. Na caixa de diálogo Editar Regras de Declaração, selecione uma das guias a seguir, que dependerá do objeto de confiança que você está editando e em qual conjunto de regras você quer criar essa regra e, em seguida, clique em Adicionar regra para iniciar o assistente de regra associado a esse conjunto de regras:

    • Regras de Transformação de Aceitação

    • Regras de Transformação de Emissão

    • Regras de Autorização de Emissão

    • Regras de Autorização de DelegaçãoScreenshot that shows where to add a rule when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  5. Na página Selecionar Modelo de Regra, em Modelo de regra de declaração, selecione Transformar uma Declaração de Entrada na lista e, em seguida, clique em Avançar. Screenshot that shows where to select Transform an Incoming Claim when you create a rule to issue an AD FS 1.x Name ID claim on Windows Server 2012 R2.

  6. Na página Configurar regra, digite um nome de regra de declaração.

  7. Em Tipo de declaração de entrada, selecione o tipo de declaração de entrada que você deseja transformar na lista.

  8. Em Tipo de declaração de saída, selecione ID de nome na lista.

  9. Em Formato de ID de nome de saída, selecione um dos formatos de declaração compatíveis com o AD FS 1.x da lista a seguir:

    • UPN

    • Email

    • Nome comum

  10. Selecione uma das seguintes opções, dependendo das necessidades da sua organização:

    • Passar todos os valores da declaração

    • Substituir um valor de declaração de entrada por um valor diferente de declaração de saída

    • Substituir as declarações de sufixo de email de entrada por um novo sufixo de emailcreate rule

  11. Clique em Concluir e em OK para salvar a regra.

Referências adicionais

Configurar regras de declaração

Lista de verificação: Como criar regras de declaração para um objeto de confiança de terceira parte confiável

Lista de verificação: Como criar regras de declaração para uma relação de confiança do provedor de declarações

Quando usar uma regra de declaração de autorização

A função das declarações

A função das regras de declaração