A função dos repositórios de atributos

  • Artigo

Em AD FS (Serviços de Federação do Active Directory (AD FS)), o termo repositórios de atributos refere-se a diretórios ou bancos de dados que uma organização usa para armazenar suas contas de usuário e seus valores de atributo. Depois de configurado em uma organização de provedor de identidade, o AD FS recupera esses valores de atributo do repositório. Ele cria declarações com base nessas informações, para que um aplicativo Web ou serviço que é hospedado em uma organização da uma terceira parte confiável possa tomar as decisões de autorização adequadas quando um usuário federado (um usuário cuja conta é armazenada na organização do provedor de identidade) tenta acessar o aplicativo ou serviço.

Para obter mais informações sobre como as declarações são geradas, consulte A função das declarações.

Como os repositórios de atributos se ajustam às suas metas de implantação do AD FS

O local do repositório de atributos de usuário e o local do qual os usuários se autenticam determinam como você projeta o AD FS para dar suporte às identidades de usuário. Dependendo de onde se encontra o repositório de atributos e onde os usuários acessarão o aplicativo (em uma intranet ou na internet), é possível ter um destes objetivos de implantação:

  • Conceda aos usuários do Active Directory acesso aos aplicativos e serviços com reconhecimento de declarações. Nesse cenário, os usuários em sua organização acessam um aplicativo ou serviço protegido pelo AD FS quando os usuários são conectados ao Active Directory na intranet corporativa. O aplicativo ou serviço pode ser seu ou de um parceiro.

  • Conceda aos usuários do Active Directory acesso aos aplicativos e serviços de outras organizações. Nesse cenário, os usuários em sua organização acessam um aplicativo ou serviço protegido pelo AD FS quando os usuários são conectados a um repositório de atributos na intranet corporativa e quando eles se conectam remotamente pela internet. O aplicativo ou serviço pode ser seu ou de um parceiro.

  • Conceda aos usuários de outra organização acesso aos aplicativos e serviços com reconhecimento de declarações. Nesse cenário, as contas de usuário em outra organização que estão localizadas em um repositório de atributos na intranet corporativa da organização devem acessar um aplicativo protegido pelo AD FS na organização. Esse cenário também funciona ao precisar conceder às contas de usuário com base no consumidor que estão localizadas em um repositório de atributos na rede de perímetro da organização acesso a um aplicativo protegido pelo AD FS na organização.

Dependendo do posicionamento do repositório de atributos e de outros requisitos de sua organização, você pode combinar várias dessas metas de implantação para concluir o design da sua implantação do AD FS.

Repositórios de atributos com suporte do AD FS

O AD FS dá suporte a uma ampla gama de repositórios de diretórios e bancos de dados. É possível usá-los para extrair valores de atributo definidos pelo administrador e preencher declarações com esses valores. O AD FS dá suporte a qualquer um desses diretórios ou bancos de dados como repositórios de atributos:

  • O Microsoft Entra Domain Services no Windows Server 2012 e 2012 R2 e no Windows Server 2016 e posterior

  • Todas as edições do SQL Server 2012, SQL Server 2014 e SQL Server 2016 e posteriores

  • Repositórios de atributos personalizados