Criar uma regra para enviar atributos LDAP como declarações

Usando o modelo de regra Enviar Atributos LDAP como Declarações no AD FS (Serviços de Federação do Active Directory), você pode criar uma regra que selecionará atributos de um repositório de atributos do protocolo LDAP, como o Active Directory, para enviá-los como declarações para a terceira parte confiável. Por exemplo, você pode usar esse modelo de regra para criar uma regra Enviar Atributos LDAP como Declarações que extrairá os valores de atributo para os usuários autenticados dos atributos displayName e telephoneNumber do Active Directory e enviará esses valores como duas declarações de saída diferentes.

Use também essa regra para enviar todas as associações a um grupo do usuário. Se você desejar enviar apenas as associações de grupo individuais, use o modelo de regra Enviar Associação de Grupo como uma Declaração. Use o procedimento a seguir para criar uma regra de declaração com o snap-in Gerenciamento do AD FS.

A associação em Administradores, ou equivalente, no computador local é o mínimo necessário para concluir este procedimento. Revise os detalhes sobre como usar as contas e as associações a um grupo apropriadas em Grupos Locais e de Domínios Padrão.

Para criar uma regra para enviar atributos LDAP como declarações para um objeto de confiança de terceira parte confiável no Windows Server 2016

  1. No Gerenciador do Servidor, clique em Ferramentas e depois selecione Gerenciamento do AD FS.

  2. Na árvore do console, em AD FS, clique em Objetos de Confiança de Terceira Parte Confiável. Screenshot that shows where to select Relying Party Trusts when you create a rule to send LDAP attributes as claims for a Relying Party Trust in Windows Server 2016.

  3. Clique com o botão direito do mouse no objeto de confiança selecionado e, em seguida, clique em Editar Política de Emissão de Declaração. Screenshot that shows where to select Edit Claim Issuance Policy when you create a rule to send LDAP attributes as claims for a Relying Party Trust in Windows Server 2016.

  4. Na caixa de diálogo Editar Política de Emissão de Declaração, em Regras de Transformação de Emissão, clique em Adicionar Regra para iniciar o assistente de regra. Screenshot that shows where to select Add Rule when you create a rule to send LDAP attributes as claims for a Relying Party Trust in Windows Server 2016.

  5. Na página Selecionar Modelo de Regra, em Modelo de regra de declaração, selecione Enviar Atributos LDAP como Declarações na lista e clique em Avançar. Screenshot that shows where to select the Send LDAP Attributes as Claims template when you create a rule to send LDAP attributes as claims for a Relying Party Trust in Windows Server 2016.

  6. Na página Configurar Regra, em Nome da regra de declaração, digite o nome de exibição da regra, selecione o Repositório de Atributos, escolha o atributo LDAP e mapeie-o para o tipo de declaração de saída. Screenshot that shows where to type the claim rule name when you create a rule to send LDAP attributes as claims for a Relying Party Trust in Windows Server 2016.

  7. Clique no botão Concluir.

  8. Na caixa de diálogo Editar Regras de Declaração, clique em OK para salvar a regra.

Para criar uma regra para enviar atributos LDAP como declarações para uma relação de confiança do provedor de declarações no Windows Server 2016

  1. No Gerenciador do Servidor, clique em Ferramentas e depois selecione Gerenciamento do AD FS.

  2. Na árvore do console, em AD FS, clique em Objetos de Confiança de Provedor de Declarações. Screenshot that shows where to select Claims Provider Trusts when you create a rule to send LDAP attributes as claims for a Claims Provider Trust in Windows Server 2016.

  3. Clique com o botão direito do mouse no objeto de confiança selecionado e, em seguida, clique em Editar Regras de Declaração. Screenshot that shows where to select Edit Claim Rules when you create a rule to send LDAP attributes as claims for a Claims Provider Trust in Windows Server 2016.

  4. Na caixa de diálogo Editar Regras de Declaração, em Regras de Transformação de Aceitação, clique em Adicionar Regra para iniciar o assistente de regra. Screenshot that shows where to select Add Rule when you create a rule to send LDAP attributes as claims for a Claims Provider Trust in Windows Server 2016.

  5. Na página Selecionar Modelo de Regra, em Modelo de regra de declaração, selecione Enviar Atributos LDAP como Declarações na lista e clique em Avançar. Screenshot that shows where to select Send LDAP Attributes as Claims when you create a rule in Windows Server 2016.

  6. Na página Configurar Regra, em Nome da regra de declaração, digite o nome de exibição da regra, selecione o Repositório de Atributos, escolha o atributo LDAP e mapeie-o para o tipo de declaração de saída. Screenshot that shows where to type the claim rule name when you create a rule to send LDAP attributes as claims for a Claims Provider Trust in Windows Server 2016.

  7. Clique no botão Concluir.

  8. Na caixa de diálogo Editar Regras de Declaração, clique em OK para salvar a regra.

Para criar uma regra para enviar atributos LDAP como declarações para o Windows Server 2012 R2

  1. No Gerenciador do Servidor, clique em Ferramentas e depois selecione Gerenciamento do AD FS.

  2. Na árvore do console, em AD FSAD FS\Relações de Confiança, clique em Objetos de Confiança do Provedor de Declarações ou Objetos de Confiança de Terceira Parte Confiável e clique em um objeto de confiança específico na lista em que deseja criar essa regra.

  3. Clique com o botão direito do mouse na relação de confiança selecionada e clique em Editar Regras de Declaração. Screenshot that shows where to select Edit Claim Rules when you create a rule to send LDAP attributes as claims for Windows Server 2012 R2.

  4. Na caixa de diálogo Editar Regras de Declaração, selecione uma das seguintes guias, dependendo da relação de confiança que está editando e em qual conjunto de regras deseja criar essa regra e escolha Adicionar Regra para iniciar o assistente de regra associado a esse conjunto de regras:

    • Regras de Transformação de Aceitação

    • Regras de Transformação de Emissão

    • Regras de Autorização de Emissão

    • Regras de Autorização de DelegaçãoScreenshot that shows where to select Add Rule create a rule to send LDAP attributes as claims for Windows Server 2012 R2.

  5. Na página Selecionar Modelo de Regra, em Modelo de regra de declaração, selecione Enviar Atributos LDAP como Declarações na lista e clique em Avançar. Screenshot that shows where to select Send LDAP Attributes as Claims create a rule for Windows Server 2012 R2.

  6. Na página Configurar Regra em Nome da regra de declaração, digite o nome de exibição dessa regra, em Repositório de atributos, selecione Active Directory e, em Mapeamento de atributos LDAP para tipos de declaração de saída, selecione o Atributo LDAP desejado e os tipos de Tipo de Declaração de Saída correspondentes nas listas suspensas.

    Você precisa selecionar um novo atributo LDAP e um par de tipos de declaração de saída em uma linha diferente para cada atributo do Active Directory para o qual deseja emitir uma declaração como parte dessa regra. create rule

  7. Clique no botão Concluir.

  8. Na caixa de diálogo Editar Regras de Declaração, clique em OK para salvar a regra.

Referências adicionais

Configurar regras de declaração

Lista de verificação: Como criar regras de declaração para um objeto de confiança de terceira parte confiável

Lista de verificação: Como criar regras de declaração para uma relação de confiança do provedor de declarações

Quando usar uma regra de declaração de autorização

A função das declarações

A função das regras de declaração