No Gestor de Autorizações, os destinatários da política de autorização são representados pelos diferentes tipos de grupos que se seguem:

  • Grupos e utilizadores do Windows. Estes grupos incluem utilizadores, computadores e grupos incorporados para principais de segurança. Os grupos e utilizadores do Windows são utilizados em todo o Windows, não apenas no Gestor de Autorizações.

  • Grupos de aplicações. Estes grupos incluem grupos básicos de aplicações e grupos de consultas do protocolo LDAP (Lightweight Directory Access Protocol). Os grupos de aplicações são específicos da administração baseada em funções do Gestor de Autorizações.

Importante

Um grupo de aplicações é um grupo de utilizadores, computadores ou outros principais de segurança. Um grupo Aplicação não é um grupo de aplicações.

  • Grupos de consultas LDAP. A associação a estes grupos é calculada dinamicamente conforme necessário com base em consultas LDAP. Um grupo de consultas LDAP é um tipo de grupo de aplicações.

  • Grupos básicos de aplicações. Estes grupos são definidos em termos de grupos de consulta LDAP, grupos e utilizadores do Windows e outros grupos de aplicações básicos. Um grupo básico de aplicações é um tipo de grupo de aplicações.

  • Grupo de aplicações de regras de negócio. Estes grupos são definidos por um script escrito em VBScript ou Jscript e resultam na determinação dinâmica da associação a grupos em tempo de execução, de acordo com os critérios definidos.

Grupos e utilizadores do Windows

Para mais informações sobre grupos nos Serviços de Domínio do Active Directory (AD DS), consulte Controlo de Acesso Baseado em Funções para Aplicações de Múltiplas Camadas Utilizando o Gestor de Autorizações (pode estar em inglês) (https://go.microsoft.com/fwlink/?LinkId=64287). Para mais informações sobre principais de segurança que não estão armazenados no AD DS, consulte a Referência Técnica de Principais de Segurança (pode estar em inglês) (https://go.microsoft.com/fwlink/?LinkId=129213).

Grupos de aplicações

Ao criar um novo grupo de aplicações, é necessário determinar se pretende que seja um grupo de consulta LDAP ou um grupo básico de aplicações. Para aplicações baseadas em funções do Gestor de Autorizações, qualquer autorização que possa fazer com os grupos e utilizadores do Windows pode também fazer com os grupos de aplicações.

As definições de membro circular não são permitidas e resultam na mensagem de erro "Não é possível adicionar <Nome do grupo>. Ocorreu o seguinte problema: Foi detectado um ciclo."

Grupos de consultas LDAP

No Gestor de Autorizações, pode utilizar consultas LDAP para localizar objectos no AD DS, Serviços LDS do Active Directory (AD LDS) e noutros directórios compatíveis com LDAP.

Pode utilizar uma consulta LDAP para especificar um grupo de consultas LDAP, escrevendo a consulta LDAP pretendida no espaço fornecido no separador Consulta da caixa de diálogo Propriedades do grupo de aplicações.

O Gestor de Autorizações suporta dois tipos de consulta LDAP que podem ser utilizados para definir um grupo de consultas LDAP: Consultas de URL LDAP e consultas de versão 1 do Gestor de Autorizações.

  • Consultas LDAP de versão 1 do Gestor de Autorizações

    As consultas LDAP de versão 1 fornecem suporte limitado para a sintaxe de consulta de URL LDAP descrita no RFC 2255. Estas consultas estão limitadas à lista de atributos do objecto de utilizador especificada no contexto de cliente actual.

    Por exemplo, a seguinte consulta localiza todos menos o Pedro:

    (&(objectCategory=person)(objectClass=user)(!cn=andy)).

    Esta consulta avalia se o cliente é um membro do alias RelatóriosEstado em distribuidoresadamastor.com:

    (memberOf=CN=StatusReports,OU=Distribution Lists,DC=nwtraders,DC=com)

    O Gestor de Autorizações continua a suportar as consultas com a versão 1 de modo a que as soluções desenvolvidas utilizando versões anteriores do Gestor de Autorizações possam ser actualizadas com menor esforço.

  • Consultas de URL LDAP

    Para poder remover limitações de objectos e atributos que podem ser procurados, o Gestor de Autorizações suporta uma sintaxe de consulta de URL LDAP baseada no RFC 2255. Deste modo, pode criar grupos de consultas LDAP que utilizam outros objectos de directório para além do objecto de utilizador actual como a raiz da pesquisa.

    Um URL LDAP é iniciado pelo prefixo de protocolo "ldap" e segue este formato:

Nota

Nome único também é conhecido por DN.

ldap://<server:port>/<baseObjectDN>?<attributes>?<queryScope>?<Filter>

Especificamente, é suportada a seguinte gramática:

       ldapurl    = scheme "://" [hostport] ["/"
                    [dn ["?" [attributes] ["?" [scope]
                    ["?" [filter]]]]]]
       scheme     = "ldap"
       attributes = attrdesc *("," attrdesc)
       scope      = "base" / "one" / "sub"
       dn         = distinguishedName 
       hostport   = hostport 
       attrdesc   = AttributeDescription 
       filter     = filter

Por exemplo, a consulta seguinte devolve utilizadores cujos atributos empresariais estão definidos como "FabCo", a partir do servidor LDAP em execução na porta 389 num anfitrião chamado "servidorfab":

ldap://fabserver:389/OU=Customers,DC=FABCO-PN,DC=com?*?sub?(&(company=FabCo)(objectClass=user)(objectCategory=user))

Quando utilizar uma consulta de URL LDAP, pode utilizar o valor de marcador de posição especial %AZ_CLIENT_DN%. Este marcador de posição é substituído pelo nome único (DN) do cliente que está a efectuar a verificação de acesso. Isto permite construir consultas que devolvem objectos do directório baseados na relação deles com o nome único do cliente responsável pelo pedido.

Neste exemplo, a consulta LDAP testa se o utilizador é um membro da OU "Clientes":

ldap://server:<port>/OU=Customers,DC=FABCO-PN,DC=com?(objectclass=*)?sub?(& (objectClass=user)(objectCategory=user) (distinguishedName= %AZ_CLIENT_DN% ))

Neste exemplo, a consulta LDAP testa se o utilizador é um colaborador directo de um gestor denominado "AlgumGestor" e o "searchattribute" de AlgumGestor é igual ao valor específico "searchvalue":

ldap://server:port/Cn=SomeManager,OU=Users,DC=FABCO-PN,DC=com?(objectclass=*)?base?(&(searchattribute= searchvalue) (directreports = %AZ_CLIENT_DN%))

Para mais informações sobre a sintaxe de uma consulta de URL LDAP, consulte o texto do RFC 2255 (pode estar em inglês) (https://go.microsoft.com/fwlink/?linkid=65973).

Importante

Se a consulta LDAP for iniciada por "ldap", é tratada como uma consulta de URL LDAP. Se for iniciada por outro prefixo, é tratada como uma consulta de versão 1.

Grupos básicos de aplicações

Os grupos básicos de aplicações são específicos do Gestor de Autorizações.

Para definir membros do grupo básico de aplicações, necessita de:

  1. Definir quem é membro.

  2. Definir quem não é membro.

Ambos os passos são executados da mesma forma:

  • Primeiro, especifique zero ou mais grupos e utilizadores do Windows, grupos básicos de aplicações definidos previamente ou grupos de consultas LDAP.

  • Em segundo lugar, é necessário calcular os membros do grupo básico de aplicações removendo não membros do grupo. O Gestor de Autorizações concretiza esta função automaticamente no tempo de execução.

Importante

Um não membro de um grupo básico de aplicações tem precedência sobre um membro.

Grupo de aplicações de regras de negócio.

Os grupos de aplicações de regras empresariais são específicos do Gestor de Autorizações.

Para definir membros do grupo de aplicações de regras de negócio, tem de escrever um script em VBScript ou JScript. O código fonte do script é carregado a partir de um ficheiro de texto na página Propriedades do grupo de aplicações de regras empresariais.

Sumário