Criar uma regra para enviar uma declaração compatível com AD FS 1.x
Em situações em que você está usando Serviços de Federação do Active Directory (AD FS) para emitir declarações que serão recebidas por servidores de federação que executam o AD FS 1.0 (Windows Server 2003 R2) ou o AD FS 1.1 (Windows Server 2008 ou Windows Server 2008 R2), você deve fazer o seguinte:
Crie uma regra que enviará um tipo de declaração de ID de nome com um formato UPN, Email ou Nome Comum.
Todas as outras declarações enviadas devem ter um dos seguintes tipos de declaração:
Endereço de email do AD FS 1.x
UPN do AD FS 1.x
Nome comum
Agrupar
Qualquer outro tipo de declaração que comece com
https://schemas.xmlsoap.org/claims/
, comohttps://schemas.xmlsoap.org/claims/EmployeeID
Dependendo das necessidades da sua organização, use um dos procedimentos a seguir para criar uma declaração NameID compatível com o AD FS 1.x :
Criar essa regra para emitir uma declaração de ID de nome do AD FS 1.x usando o modelo de regra Passar ou filtrar uma declaração de entrada
Crie essa regra para emitir uma declaração de ID de nome do AD FS 1.x usando o modelo de regra Transformar uma declaração de entrada. Você pode usar esse modelo de regra quando desejar alterar o tipo de declaração existente para um novo tipo de declaração que funcionará com o AD FS 1. Declarações x.
Observação
Para que essa regra funcione conforme o esperado, verifique se o objeto de confiança de terceira parte confiável ou a relação de confiança do provedor de declarações em que você está criando essa regra foi configurada para usar o perfil do AD FS 1.0 e 1.1.
Para criar uma regra para emitir uma declaração de ID de nome do AD FS 1.x usando o modelo de regra Passar ou filtrar uma declaração de entrada em um objeto de confiança de terceira parte confiável no Windows Server 2016
No Gerenciador do Servidor, clique em Ferramentas e depois selecione Gerenciamento do AD FS.
Na árvore do console, em AD FS, clique em Objetos de Confiança de Terceira Parte Confiável.
Clique com o botão direito do mouse no objeto de confiança selecionado e, em seguida, clique em Editar Política de Emissão de Declaração.
Na caixa de diálogo Editar Política de Emissão de Declaração, em Regras de Transformação de Emissão, clique em Adicionar Regra para iniciar o assistente de regra.
Na página Selecionar Modelo de Regra, em Modelo de regra de declaração, escolha Passar ou Filtrar uma Declaração de Entrada na lista e clique em Avançar.
Na página Configurar regra, digite um nome de regra de declaração.
Em Tipo de declaração de entrada, selecione ID de nome na lista.
Em Formato de ID de nome de entrada, selecione um dos formatos de declaração compatíveis com o AD FS 1.x da lista a seguir:
UPN
Email
Nome comum
Selecione uma das seguintes opções, dependendo das necessidades da sua organização:
Passar todos os valores da declaração
Passar apenas um valor de declaração específica
Passar apenas valores de declaração que correspondam a um valor de sufixo de email específico
Passe apenas os valores de declaração que começam com um valor específico
Clique em Concluir e em OK para salvar a regra.
Para criar uma regra para emitir uma declaração de ID de nome do AD FS 1.x usando o modelo de regra Passar ou filtrar uma declaração de entrada em uma relação de confiança do provedor de declarações no Windows Server 2016
No Gerenciador do Servidor, clique em Ferramentas e depois selecione Gerenciamento do AD FS.
Na árvore do console, em AD FS, clique em Objetos de Confiança de Provedor de Declarações.
Clique com o botão direito do mouse no objeto de confiança selecionado e, em seguida, clique em Editar Regras de Declaração.
Na caixa de diálogo Editar Regras de Declaração, em Regras de Transformação de Aceitação, clique em Adicionar Regra para iniciar o assistente de regra.
Na página Selecionar Modelo de Regra, em Modelo de regra de declaração, escolha Passar ou Filtrar uma Declaração de Entrada na lista e clique em Avançar.
Na página Configurar regra, digite um nome de regra de declaração.
Em Tipo de declaração de entrada, selecione ID de nome na lista.
Em Formato de ID de nome de entrada, selecione um dos formatos de declaração compatíveis com o AD FS 1.x da lista a seguir:
UPN
Email
Nome comum
Selecione uma das seguintes opções, dependendo das necessidades da sua organização:
Passar todos os valores da declaração
Passar apenas um valor de declaração específica
Passar apenas valores de declaração que correspondam a um valor de sufixo de email específico
Passe apenas os valores de declaração que começam com um valor específico
Clique em Concluir e em OK para salvar a regra.
Para criar uma regra para transformar uma declaração de entrada em uma declaração de objeto de confiança de terceira parte confiável no Windows Server 2016
No Gerenciador do Servidor, clique em Ferramentas e depois selecione Gerenciamento do AD FS.
Na árvore do console, em AD FS, clique em Objetos de Confiança de Terceira Parte Confiável.
Clique com o botão direito do mouse no objeto de confiança selecionado e, em seguida, clique em Editar Política de Emissão de Declaração.
Na caixa de diálogo Editar Política de Emissão de Declaração, em Regras de Transformação de Emissão, clique em Adicionar Regra para iniciar o assistente de regra.
Na página Selecionar Modelo de Regra, em Modelo de regra de declaração, selecione Transformar uma Declaração de Entrada na lista e, em seguida, clique em Avançar.
Na página Configurar regra, digite um nome de regra de declaração.
Em Tipo de declaração de entrada, selecione o tipo de declaração de entrada que você deseja transformar na lista.
Em Tipo de declaração de saída, selecione ID de nome na lista.
Em Formato de ID de nome de saída, selecione um dos formatos de declaração compatíveis com o AD FS 1.x da lista a seguir:
UPN
Email
Nome comum
Selecione uma das seguintes opções, dependendo das necessidades da sua organização:
Passar todos os valores da declaração
Substituir um valor de declaração de entrada por um valor diferente de declaração de saída
Substituir as declarações de sufixo de email de entrada por um novo sufixo de email
Clique em Concluir e em OK para salvar a regra.
Para criar uma regra para transformar uma declaração de entrada em uma relação de confiança do provedor de declarações no Windows Server 2016
No Gerenciador do Servidor, clique em Ferramentas e depois selecione Gerenciamento do AD FS.
Na árvore do console, em AD FS, clique em Objetos de Confiança de Provedor de Declarações.
Clique com o botão direito do mouse no objeto de confiança selecionado e, em seguida, clique em Editar Regras de Declaração.
Na caixa de diálogo Editar Regras de Declaração, em Regras de Transformação de Aceitação, clique em Adicionar Regra para iniciar o assistente de regra.
Na página Selecionar Modelo de Regra, em Modelo de regra de declaração, selecione Transformar uma Declaração de Entrada na lista e, em seguida, clique em Avançar.
Na página Configurar regra, digite um nome de regra de declaração.
Em Tipo de declaração de entrada, selecione o tipo de declaração de entrada que você deseja transformar na lista.
Em Tipo de declaração de saída, selecione ID de nome na lista.
Em Formato de ID de nome de saída, selecione um dos formatos de declaração compatíveis com o AD FS 1.x da lista a seguir:
UPN
Email
Nome comum
Selecione uma das seguintes opções, dependendo das necessidades da sua organização:
Passar todos os valores da declaração
Substituir um valor de declaração de entrada por um valor diferente de declaração de saída
Substituir as declarações de sufixo de email de entrada por um novo sufixo de email
Clique em Concluir e em OK para salvar a regra.
Para criar uma regra para emitir uma declaração de ID de nome do AD FS 1.x usando o modelo de regra Passar ou filtrar uma declaração de entrada no Windows Server 2012 R2
No Gerenciador do Servidor, clique em Ferramentas e depois selecione Gerenciamento do AD FS.
Na árvore do console, em AD FS\Relações de Confiança, clique em Objetos de Confiança do Provedor de Declarações ou Objetos de Confiança de Terceira Parte Confiável e clique em um objeto de confiança específico na lista em que deseja criar essa regra.
Clique com o botão direito do mouse no objeto de confiança selecionado e, em seguida, clique em Editar Regras de Declaração.
Na caixa de diálogo Editar regras de declaração, selecione uma das seguintes guias, dependendo da confiança que você está editando e em qual conjunto de regras você deseja criar essa regra. e clique em Adicionar regra para iniciar o assistente de regra associado a esse conjunto de regras:
Regras de Transformação de Aceitação
Regras de Transformação de Emissão
Regras de Autorização de Emissão
Regras de Autorização de Delegação
Na página Selecionar Modelo de Regra, em Modelo de regra de declaração, escolha Passar ou Filtrar uma Declaração de Entrada na lista e clique em Avançar.
Na página Configurar regra, digite um nome de regra de declaração.
Em Tipo de declaração de entrada, selecione ID de nome na lista.
Em Formato de ID de nome de entrada, selecione um dos formatos de declaração compatíveis com o AD FS 1.x da lista a seguir:
UPN
Email
Nome comum
Selecione uma das seguintes opções, dependendo das necessidades da sua organização:
Passar todos os valores da declaração
Passar apenas um valor de declaração específica
Passar apenas valores de declaração que correspondam a um valor de sufixo de email específico
Passe apenas os valores de declaração que começam com um valor específico
Clique em Concluir e em OK para salvar a regra.
Para criar uma regra para emitir uma declaração de ID de nome do AD FS 1.x usando o modelo de regra Transformar uma declaração de entrada no Windows Server 2012 R2
No Gerenciador do Servidor, clique em Ferramentas e depois selecione Gerenciamento do AD FS.
Na árvore do console, em AD FS\Relações de Confiança, clique em Objetos de Confiança do Provedor de Declarações ou Objetos de Confiança de Terceira Parte Confiável e clique em um objeto de confiança específico na lista em que deseja criar essa regra.
Clique com o botão direito do mouse no objeto de confiança selecionado e, em seguida, clique em Editar Regras de Declaração.
Na caixa de diálogo Editar Regras de Declaração, selecione uma das guias a seguir, que dependerá do objeto de confiança que você está editando e em qual conjunto de regras você quer criar essa regra e, em seguida, clique em Adicionar regra para iniciar o assistente de regra associado a esse conjunto de regras:
Regras de Transformação de Aceitação
Regras de Transformação de Emissão
Regras de Autorização de Emissão
Regras de Autorização de Delegação
Na página Selecionar Modelo de Regra, em Modelo de regra de declaração, selecione Transformar uma Declaração de Entrada na lista e, em seguida, clique em Avançar.
Na página Configurar regra, digite um nome de regra de declaração.
Em Tipo de declaração de entrada, selecione o tipo de declaração de entrada que você deseja transformar na lista.
Em Tipo de declaração de saída, selecione ID de nome na lista.
Em Formato de ID de nome de saída, selecione um dos formatos de declaração compatíveis com o AD FS 1.x da lista a seguir:
UPN
Email
Nome comum
Selecione uma das seguintes opções, dependendo das necessidades da sua organização:
Passar todos os valores da declaração
Substituir um valor de declaração de entrada por um valor diferente de declaração de saída
Substituir as declarações de sufixo de email de entrada por um novo sufixo de email
Clique em Concluir e em OK para salvar a regra.
Referências adicionais
Configurar regras de declaração