No AD FS (Active Directory Federation Services), uma conta de recuso é uma conta de utilizador que é armazenada numa floresta do Active Directory (a floresta do parceiro de recursos) com a finalidade única de representar uma conta de utilizador que é utilizada activamente, por exemplo, por um empregado e armazenada noutra floresta do Active Directory (a floresta do parceiro de conta).

As contas de recurso têm de ser criadas na floresta do parceiro de recursos para que o empregado, cuja conta de utilizador está localizada na floresta do parceiro de conta, possa aceder às aplicações baseadas em tokens do Windows NT com base na Web através do AD FS. As contas de recurso e os grupos de recursos também são necessários para aplicações com suporte para afirmações.

O recurso Web no lado do recurso é protegido com listas de controlo de acesso (ACLs) de contas de utilizador ou grupos na floresta do parceiro de recursos. O administrador tem de criar as contas de recurso e adicionar as ACLs para qualquer uma das contas de recurso ao recurso.

Para reduzir a sobrecarga administrativa, o administrador do lado do recurso pode configurar um ou mais grupos de segurança, que são criados no AD DS (Active Directory Domain Services) e que serão utilizados para mapear para afirmações de grupo de entrada dos respectivos parceiros de conta. Um grupo de segurança que é mapeado para uma afirmação de grupo de entrada utilizada pelo AD FS é denominado grupo de recursos.

Poderá utilizar o seguinte procedimento para configurar grupos de recursos.

Para configurar um grupo de recursos

  1. No snap-in Utilizadores e Computadores do Active Directory num controlador de domínio na floresta do parceiro de recursos, crie um novo grupo de segurança.

  2. Atribua o acesso adequado a este grupo de segurança a partir do recurso Web protegido pelo AD FS.

  3. No snap-in Serviços de Federação do Active Directory, crie uma nova afirmação de grupo e, na página de propriedades da afirmação recentemente criada, clique no separador Grupo de Recursos. Clique no botão para mapear o novo grupo de segurança no AD DS para a nova afirmação de grupo. Neste ponto, o novo grupo de segurança é referido como o "grupo de recursos".

  4. Em Serviço de Federação\Política de Fidedignidade\Organizações do Parceiro\Parceiros de Conta\<nomedoparceirodeconta>\, crie um novo mapeamento de afirmações de grupo de entrada para mapear a nova afirmação de grupo e o respectivo grupo de recursos associado para quaisquer afirmações de grupo de entrada com origem na floresta do parceiro de conta.

Quando mapeia uma afirmação de grupo de entrada para um grupo de recursos, deixa de ser necessário para um administrador na floresta do parceiro de recursos criar uma conta de recurso para cada utilizador na floresta do parceiro de conta que precisa de acesso à aplicação baseada em tokens do Windows NT protegida pelo AD FS.

Por predefinição, o AD FS configura as propriedades de parceiro de conta para que um administrador do parceiro de recursos possa mapear afirmações de grupo de entrada para um ou mais grupos de recursos. No entanto, pode alterar este comportamento predefinido seleccionando uma das seguintes opções da conta de recurso:

  • Contas de recurso existem para todos os utilizadores - Especifica que uma conta de recurso é configurada para cada utilizador do parceiro de conta que necessita de acesso ao recurso. Neste caso, as afirmações de grupo de entrada não são mapeadas para grupos de recursos mesmo que os grupos de recursos sejam configurados.

  • Existem contas de recurso para alguns utilizadores (preferir conta de recurso) - Especifica se os grupos de recursos deverão ser utilizados para algumas contas de utilizador. Isto significa que alguns utilizadores poderão ter contas de recurso individuais criadas, enquanto outras poderão ser configuradas para utilizar grupos de recursos. Quando esta opção é seleccionada, o AD FS procura primeiro contas de recurso que correspondam à afirmação de UPN/correio electrónico especificada no token de entrada. O AD FS utiliza essas contas de recurso se estas forem encontradas. Caso contrário, se o token tiver uma afirmação de grupo mapeada para um grupo de recursos, utiliza o grupo de recursos.

  • Existem contas de recurso para alguns utilizadores (preferir grupos no token) - Esta é a predefinição. Especifica que o AD FS pode utilizar a respectiva lógica para determinar se cada token de entrada deverá mapear para um grupo de recursos ou se deverá procurar uma conta de recurso. Quando esta opção é seleccionada, o AD FS procura primeiro no token afirmações de grupo de entrada que possam ser mapeadas para um grupo de recursos. Se forem encontradas, o AD FS utiliza o grupo de recursos. Se não existir nenhuma afirmação de grupo de entrada, o AD FS procura uma conta de recurso a utilizar.

  • Não existem contas de recurso para este parceiro de conta - Especifica que um ou mais grupos de recursos serão utilizados para todos os utilizadores neste parceiro de conta. Isto significa que todos os tokens que sejam emitidos deste parceiro de conta terão de conter uma ou mais afirmações de grupo que fazem o mapeamento para um ou mais grupos de recursos na floresta do parceiro de recursos.

Sumário