Criar uma regra para enviar associação a um grupo como uma declaração

Usando o modelo Enviar associação de grupo como uma Regra de declaração no AD FS (Serviços de Federação do Active Directory), você pode criar uma regra que permitirá que você selecione um grupo de segurança do Active Directory para enviar como uma declaração. Apenas uma única declaração será emitida com essa regra, com base no grupo selecionado. Por exemplo, você pode usar esse modelo de regra para criar uma regra que enviará uma declaração de grupo com um valor de Admin se o usuário for um membro do grupo de segurança Admins. do Domínio. Essa regra deve ser usada apenas para usuários no domínio local do Active Directory.

Use o procedimento a seguir para criar uma regra de declaração com o snap-in Gerenciamento do AD FS.

A associação em Administradores, ou equivalente, no computador local é o mínimo necessário para concluir este procedimento. Revise os detalhes sobre como usar as contas e as associações de grupo apropriadas em Grupos padrão de domínio e locais.

Para criar uma regra para enviar a associação de grupo como uma declaração de objeto de confiança de terceira parte confiável no Windows Server 2016

  1. No Gerenciador do Servidor, clique em Ferramentas e depois selecione Gerenciamento do AD FS.

  2. Na árvore do console, em AD FS, clique em Objetos de Confiança de Terceira Parte Confiável. Screenshot that shows where to select Relying Party Trusts when you create a rule to send group membership as a claim on a Relying Party Trust in Windows Server 2016.

  3. Clique com o botão direito do mouse no objeto de confiança selecionado e, em seguida, clique em Editar Política de Emissão de Declaração. Screenshot that shows where to select Edit Claim Issuance Policy when you create a rule to send group membership as a claim on a Relying Party Trust in Windows Server 2016.

  4. Na caixa de diálogo Editar Política de Emissão de Declaração, em Regras de Transformação de Emissão, clique em Adicionar Regra para iniciar o assistente de regra. Screenshot that shows where to select Add Rule when you create a rule to send group membership as a claim on a Relying Party Trust in Windows Server 2016.

  5. Na página Selecionar Modelo de Regra, em Modelo de regra de declaração, selecione Enviar Associação de grupo como Declaração na lista e clique em Avançar. Screenshot that shows where to select the Send Group Membership as Claim template when you create a rule to send group membership as a claim on a Relying Party Trust in Windows Server 2016.

  6. Na página Configurar Regra em Nome da regra de declaração, digite o nome de exibição dessa regra. Em Grupo do usuário, clique em Procurar e selecione um grupo. Em Tipo de declaração de saída, selecione o tipo de declaração desejado e, em Tipo de declaração de saída, digite um valor. Screenshot that shows where to type the claim rule name when you create a rule to send group membership as a claim on a Relying Party Trust in Windows Server 2016.

  7. Clique no botão Concluir.

  8. Na caixa de diálogo Editar Regras de Declaração, clique em OK para salvar a regra.

Para criar uma regra para enviar a associação de grupo como uma declaração emuma Relação de confiança do provedor de declarações no Windows Server 2016

  1. No Gerenciador do Servidor, clique em Ferramentas e depois selecione Gerenciamento do AD FS.

  2. Na árvore do console, em AD FS, clique em Objetos de Confiança de Provedor de Declarações. Screenshot that shows where to select Claims Provider Trusts when you create a rule to send group membership as a claim on a Claims Provider Trust in Windows Server 2016.

  3. Clique com o botão direito do mouse no objeto de confiança selecionado e, em seguida, clique em Editar Regras de Declaração. Screenshot that shows where to select Edit Claim Rules when you create a rule to send group membership as a claim on a Claims Provider Trust in Windows Server 2016.

  4. Na caixa de diálogo Editar Regras de Declaração, em Regras de Transformação de Aceitação, clique em Adicionar Regra para iniciar o assistente de regra. Screenshot that shows where to select Add Rule when you create a rule to send group membership as a claim on a Claims Provider Trust in Windows Server 2016.

  5. Na página Selecionar Modelo de Regra, em Modelo de regra de declaração, selecione Enviar Associação de grupo como Declaração na lista e clique em Avançar. Screenshot that shows where to select the Send Group Membership as Claim template when you create a rule to send group membership as a claim on a Claims Provider Trust in Windows Server 2016.

  6. Na página Configurar Regra em Nome da regra de declaração, digite o nome de exibição dessa regra. Em Grupo do usuário, clique em Procurar e selecione um grupo. Em Tipo de declaração de saída, selecione o tipo de declaração desejado e, em Tipo de declaração de saída, digite um valor. Screenshot that shows where to type the claim rule name when you create a rule to send group membership as a claim on a Claims Provider Trust in Windows Server 2016.

  7. Clique no botão Concluir.

  8. Na caixa de diálogo Editar Regras de Declaração, clique em OK para salvar a regra.

Para criar uma regra para enviar a associação de grupo como uma declaração no Windows Server 2012 R2

  1. No Gerenciador do Servidor, clique em Ferramentas e depois selecione Gerenciamento do AD FS.

  2. Na árvore do console, em AD FS\Relações de Confiança, clique em Objetos de Confiança do Provedor de Declarações ou Objetos de Confiança de Terceira Parte Confiável e clique em um objeto de confiança específico na lista em que deseja criar essa regra.

  3. Clique com o botão direito do mouse no objeto de confiança selecionado e, em seguida, clique em Editar Regras de Declaração. Screenshot that shows where to select Edit Claim Rules when you create a rule to send group membership as a claim in Windows Server 2012 R2.

  4. Na caixa de diálogo Editar Regras de Declaração, selecione uma das seguintes guias, dependendo da relação de confiança que está editando e em qual conjunto de regras deseja criar essa regra e escolha Adicionar Regra para iniciar o assistente de regra associado a esse conjunto de regras:

    • Regras de Transformação de Aceitação

    • Regras de Transformação de Emissão

    • Regras de Autorização de Emissão

    • Regras de Autorização de Delegaçãocreate rule

  5. Na página Selecionar modelo de regra, em Modelo de regra de declaração, selecione Enviar associação de grupo como uma declaração na lista e clique em Avançar. Screenshot that shows where to select the Send Group Membership as a Claim template when you create a rule to send group membership as a claim in Windows Server 2012 R2.

  6. Na página Configurar Regra em Nome da regra de declaração, digite o nome de exibição dessa regra. Em Grupo do usuário, clique em Procurar e selecione um grupo. Em Tipo de declaração de saída, selecione o tipo de declaração desejado e, em Tipo de declaração de saída, digite um valor. Screenshot that shows where to type the claim rule name when you create a rule to send group membership as a claim in Windows Server 2012 R2.

  7. Clique em Concluir.

  8. Na caixa de diálogo Editar Regras de Declaração, clique em OK para salvar a regra.

Referências adicionais

Configurar regras de declaração

Lista de verificação: Como criar regras de declaração para um objeto de confiança de terceira parte confiável

Lista de verificação: Como criar regras de declaração para uma relação de confiança do provedor de declarações

Quando usar uma regra de declaração de autorização

A função das declarações

A função das regras de declaração