Exportar (0) Imprimir
Expandir Tudo

Declarações

Declarações são afirmações (por exemplo, nome, identidade, chave, grupo, privilégio ou capacidade) feitas sobre os usuários — e entendidas pelos parceiros em uma federação no ADFS (Serviço de Federação do Active Directory) — usadas para fins de autorização em um aplicativo.

Os agentes do Serviço de Federação confiam entre muitas entidades diferentes. Ele foi desenvolvido para permitir a troca confiável de declarações arbitrárias contendo valores arbitrários. Essas declarações são usadas pelo destinatário para a tomada de decisões de autorização.

Há três maneiras pelas quais as declarações fluem pelo Serviço de Federação:

  • Do armazenamento de conta para o Serviço de Federação de conta para o parceiro de recurso
  • Do parceiro de conta para o Serviço de Federação de recurso para o recurso do aplicativo
  • Do armazenamento de conta para um Serviço de Federação para o recurso de aplicativo

O Serviço de Federação pode ser configurado para atuar em todos os três tipos de funções. Assim, um único Serviço de Federação pode facilitar todos os três fluxos de comunicação.

Há três tipos de declarações com suporte no Serviço de Federação: declarações de identidade, declarações de grupo e declarações personalizadas. A tabela a seguir descreve cada um desses tipos de declarações com mais detalhes.

 

Tipo de declaração Descrição

Identidade

UPN, email e nome comum no ADFS são referenciados como tipos de declaração de identidade.

  • UPN — Indica um UPN no estilo Kerberos, por exemplo: usuário@território. Somente uma declaração pode ser do tipo UPN. Mesmo que diversos valores UPN devam ser comunicados, somente um pode ser do tipo UPN. Os outros UPNs podem ser configurados como tipos de declarações personalizados.
  • Email — Indica nomes de email no estilo RFC 2822 da forma usuário@domínio. Somente uma declaração pode ser do tipo email. Mesmo que seja necessário comunicar diversos valores de email, somente um poderá ser do tipo email. Os outros emails podem ser configurados como tipos de declarações personalizados.
  • Nome comum — Indica uma seqüência de caracteres arbitrária usada para personalização. Exemplos: John Smith ou Tailspin Toys Employee. Somente uma declaração pode ter o tipo de nome comum. É importante observar que não existe um mecanismo para garantir a exclusividade de uma declaração de nome comum. Assim, tenha cuidado ao usar esse tipo de declaração para decisões de autorização.

Grupo

Indica a participação em um grupo ou função. Os administradores definem declarações individuais com o tipo de grupo “Declarações de grupo”. Por exemplo, você pode definir o seguinte conjunto de declarações de grupo: [Desenvolvedor, Testador, Gerente de Programa]. Cada declaração de grupo é uma unidade separada de administração para o preenchimento e o mapeamento de declaração. Útil para pensar no valor de uma declaração de grupo como Booleano, indicando participação.

Personalizada

Indica uma declaração que contém informações personalizadas sobre um usuário, por exemplo, um número de identificação de funcionário.

Se houver mais de um desses três tipos de declaração presentes em um token, as declarações de identidade serão priorizadas na seguinte ordem:

  1. UPN
  2. Email
  3. Nome comum

Pelo menos um desses tipos de declaração de identidade deverá estar presente para que um token seja emitido.

Auditando declarações

Algumas declarações de grupo e personalizadas podem ser designadas como auditáveis. Quando a auditoria está habilitada, ela permite que o nome da declaração seja exposto no log de eventos de segurança, mas o valor da declaração é omitido. Um exemplo de declaração auditável é o Número da Previdência Social. O Número da Previdência Social do nome da declaração é exposto, mas o valor numérico real armazenado na declaração não é exposto. O valor da declaração não é auditado quando ela é produzida ou mapeada.

noteObservação
Os tipos de declaração de identidade sempre são auditáveis.

Produtores e consumidores de declaração

O modo como as declarações são usadas depende de seu produtor ou consumidor. As declarações são de entrada ou de saída. O ADFS oferece suporte aos seguintes produtores e consumidores de declaração:

  • Armazenamentos de contas do Active Directory
  • Armazenamentos de contas do ADAM
  • Parceiros de conta
  • Parceiros de recurso
  • Aplicativos de reconhecimento de declaração
  • Aplicativos baseados no token do Windows NT

Armazenamento de contas do Active Directory

O armazenamento de contas do Active Directory é um produtor de declaração que representa a autenticação para o Serviço de Federação. Especificamente, o Serviço de Federação pode fazer logon de usuários deste domínio, de domínios com confiança direta por seu domínio, de domínios na mesma floresta que seu domínio e de domínios nas florestas que têm confianças de floresta com a floresta do domínio.

O armazenamento de contas do Active Directory somente estará disponível se o Serviço de Federação ingressar em um domínio.

Armazenamento de contas do ADAM

O armazenamento de contas do ADAM é um produtor de declaração que representa a autenticação para o Serviço de Federação.

  • Declaração UPN: Quando configura o armazenamento de contas do ADAM, você pode especificar o atributo de usuário LDAP, se houver, que contém o UPN do usuário.
  • Declaração de email: Quando configura o armazenamento de contas do ADAM, você pode especificar o atributo de usuário LDAP, se houver, que contém o endereço de email do usuário.
  • Declaração de nome comum: Quando configura o armazenamento de contas do ADAM, você pode especificar o atributo de usuário LDAP, se houver, que contém o nome comum do usuário.

É necessário atribuir pelo menos um tipo de declaração de identidade ao armazenamento de contas do ADAM para que o Serviço de Federação permita a habilitação do armazenamento.

  • Declarações de grupo: Quando configura o armazenamento de contas do ADAM, você pode especificar o atributo LDAP de usuário que contém os grupos do usuário ou qualquer outro atributo que possa funcionar como grupo, como Título (se os grupos estiverem baseados na função de trabalho) e depois atribuir cada grupo de LDAP possível a uma organização de grupo.
  • Declarações personalizadas: Quando configura o armazenamento de contas do ADAM, você pode especificar os atributos de usuário LDAP que contêm valores de declaração. Depois, designe um nome de atributo para cada declaração personalizada da organização.
Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

Mostrar:
© 2014 Microsoft