Quando usar uma associação a um grupo de envio como uma regra de declaração
Você pode usar essa regra no Serviços de Federação do Active Directory (AD FS) quando quiser emitir um novo valor de declaração de saída somente para os usuários que são membros de um grupo de segurança do Active Directory especificado. Quando você usa essa regra, emite uma declaração única para apenas o grupo especificado e que corresponde à lógica da regra, conforme descrito na tabela a seguir.
| Opção de regras | Lógica de regras |
|---|---|
| Valor de declaração de saída | Se a associação a um grupo do usuário for igual ao grupo especificado e o tipo de declaração de saída for igual ao tipo de declaração especificado, substitua o valor de nome de grupo existente pelo valor da declaração de saída especificado e emita a declaração. |
As seções a seguir fornecem uma introdução básica às regras de declaração. Elas também fornecem detalhes sobre quando usar a associação a um grupo de envio como uma regra de declaração.
Sobre as regras de declaração
Uma regra de declaração representa uma instância de lógica de negócios que obterá uma declaração de entrada, aplicará uma condição a ela (se x, então y) e produzirá uma declaração de saída com base nos parâmetros da condição. A lista a seguir descreve dicas importantes que você deve conhecer sobre as regras de declaração antes de ler mais neste tópico:
No snap-in Gerenciamento do AD FS, as regras de declaração só podem ser criadas usando modelos de regra de declaração
Regras de declaração processam declarações de entrada diretamente de um provedor de declarações (como o Active Directory ou outro Serviço de Federação) ou da saída das regras de transformação de aceitação em uma relação de confiança com o provedor de declarações.
As regras de declaração são processadas pelo mecanismo de emissão de declarações em ordem cronológica dentro de um determinado conjunto de regras. Ao definir a precedência em regras, você pode refinar ou filtrar mais as declarações geradas pelas regras anteriores dentro de um determinado conjunto de regras.
Os modelos de regra de declaração sempre exigirão que você especifique um tipo de declaração de entrada. No entanto, você pode processar vários valores de declaração com o mesmo tipo de declaração usando uma única regra.
Para obter informações mais detalhadas sobre as regras de declaração e os conjuntos de regras de declaração, confira A função das regras de declaração. Para obter mais informações sobre como as regras são processadas, confira A função do mecanismo de declarações. Para obter mais informações sobre como os conjuntos de regras de declaração são processados, confira A função do pipeline de declarações.
Valor de declaração de saída
Usando o modelo de regras Enviar Associação a um Grupo como uma Declaração, você pode emitir uma declaração que é condicionada a se um usuário é um membro de um grupo especificado.
Em outras palavras, esse modelo de regra emite uma declaração somente quando o usuário tiver a SID (ID de segurança) do grupo que corresponde ao grupo do Active Directory que o administrador especifica. Todos os usuários autenticados no AD DS (Serviços de Domínio do Active Directory) terão declarações de SID do grupo de entrada para cada grupo ao qual eles pertencem. Por padrão, as regras de transformação de aceitação na relação de confiança do provedor de declarações do Active Directory passam por essas declarações da SID do grupo. Usar essas SIDs do grupo como uma base para emitir declarações é muito mais rápido do que procurar grupos do usuário no AD DS.
Quando você usa essa regra, somente uma única declaração é enviada, com base no grupo do Active Directory selecionado. Por exemplo, você pode usar esse modelo de regra para criar uma regra que enviará uma declaração de grupo com um valor de "Admin" se o usuário for um membro do grupo de segurança Admins. do Domínio.
Configurando essa regra em uma relação de confiança do provedor de declarações
Os administradores devem usar este tipo de regra nas regras de transformação de aceitação de uma relação de confiança do provedor de declarações somente quando as SIDs do grupo estão sendo recebidas do provedor de declarações, o que é muito raro que qualquer provedor de declarações exceto o AD DS ou o Active Directory.
Como criar essa regra
Você cria essa regra usando a linguagem de regra de declaração ou o modelo de regra Enviar Associação a um Grupo LDAP como uma Declaração no snap-in Gerenciamento do AD FS. Essa regra fornece as seguintes opções de configuração:
Especificar um nome de regra de declaração
Selecionar um grupo de usuário utilizando o seletor de objetos
Selecionar um tipo de saída
Selecionar um formato de ID de nome de saída (que está disponível apenas quando a ID do nome é selecionada do campo de tipo de declaração de saída)
Especificar um valor de declaração de saída
Para saber mais sobre como criar essa regra, confira Criar uma regra para enviar associação de grupo como uma declaração.
Usando linguagem de regra de declaração
Se você quiser emitir declarações com base em uma SID de entrada que não uma SID de grupo, use o modelo de regra Transformar uma Declaração de Entrada. Se o administrador deseja recuperar os nomes de todos os grupos dos quais o usuário é membro, use o modelo de regras Enviar Atributos LDAP como Declarações em vez disso com o atributo tokenGroups.
Exemplo: como emitir declarações de grupo com base na associação a um grupo do usuário
A regra a seguir emite declarações de grupo para um usuário com base em uma SID de grupo de entrada:
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == "S-1-5-21-397933417-626991126-188441444-512", Issuer == "AD AUTHORITY"]
=> issue(Type = "http://schemas.xmlsoap.org/claims/Group", Value = "administrators", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, ValueType = c.ValueType);