No AD FS (Serviços de Federação do Active Directory), uma conta de recurso é uma conta de usuário armazenada em uma floresta do Active Directory (a floresta do parceiro de recurso) com o único objetivo de representar uma conta de usuário utilizada ativamente, por exemplo, por um funcionário e armazenada em outra floresta do Active Directory (a floresta do parceiro de conta).

É necessário criar contas de recurso na floresta do parceiro de recurso para que o funcionário, cuja conta de usuário localiza-se na floresta do parceiro de conta, possa acessar aplicativos baseados na Web e em token do Windows NT por meio do AD FS. Contas de recurso e grupos de recurso também são necessários para aplicativos de reconhecimento de declarações.

O recurso da Web no recurso é protegido com ACLs (listas de controle de acesso) de contas de usuário ou grupos na floresta do parceiro de recurso. O administrador tem que criar as contas de recurso e adicionar ACLs para todas as contas no recurso.

Para reduzir a sobrecarga administrativa, o administrador do recurso pode configurar um ou mais grupos de segurança, criados nos Serviços de Domínio Active Directory (AD DS), que serão usados para mapear para declarações de grupo de entrada de outros parceiros de conta. Um grupo de segurança mapeado para uma declaração de grupo de entrada usada por um AD FS é denominado grupo de recurso.

Use este procedimento para configurar grupos de recursos.

Para configurar um grupo de recursos

  1. No snap-in Usuários e Computadores do Active Directory em um controlador de domínio na floresta do parceiro de recurso, crie um novo grupo de segurança.

  2. Atribua o acesso apropriado a esse grupo de segurança do recurso da Web protegido pelo AD FS.

  3. No snap-in Serviços de Federação do Active Directory, crie uma nova declaração de grupo e, na página de propriedades da declaração de grupo recém-criada, clique na guia Grupo de Recursos. Clique no botão para mapear o novo grupo de segurança no AD DS para a nova declaração de grupo. Nesse ponto, o novo grupo de segurança será conhecido como "grupo de recursos".

  4. Em Serviço de Federação\Diretiva de Confiança\Organizações de Parceiros\Parceiros de Conta\<nome_do_parceiro_de_conta>\, crie um novo mapeamento de declaração de grupo de entrada para mapear a nova declaração de grupo de entrada e seu grupo de recursos associado para qualquer declaração e grupo de entrada proveniente da floresta de parceiro de conta.

Quando você mapeia uma declaração de grupo de entrada para um grupo de recursos, não é mais necessário que um administrador na floresta do parceiro de recurso crie uma conta de recurso para cada usuário na floresta do parceiro de conta que precisar de acesso ao aplicativo baseado em token do Windows NT protegido pelo AD FS.

Por padrão, o AD FS configura as propriedades do parceiro de conta para que um administrador de parceiro de recurso possa mapear declarações de grupo de entrada para um ou mais grupos de recursos. No entanto, você pode alterar esse comportamento padrão selecionando uma das seguintes opções de conta de recurso:

  • Há contas de recurso para todos os usuários — Especifica que uma conta de recurso é configurada para cada usuário do parceiro de conta que necessita de acesso ao recurso. Nesse caso, as declarações de grupo de entrada não são mapeadas para os grupos de recursos, mesmo que esses grupos estejam configurados.

  • Há contas de recurso p/ usuários (conta de recurso) — Especifica se os grupos de recursos devem ser usados para algumas contas de usuário. Isso significa que alguns usuários poderão ter contas de recurso individuais criadas, enquanto outros foram configurados para usar grupos de recursos. Quando essa opção é selecionada, primeiro o AD FS procura contas de recurso que correspondam à declaração de UPN/de Email especificada no token de entrada. O AD FS usará essas contas de recurso se as encontrar. Caso contrário, se o token tiver uma declaração de grupo mapeada para um grupo de recursos, ele usará o grupo de recursos.

  • Há contas de recurso p/ usuários (grupos em token) — Esta é a configuração padrão. Especifica que o AD FS pode usar sua lógica para determinar se cada token de entrada deverá ser mapeado para um grupo de recursos ou se deverá procurar uma conta de recurso. Quando essa opção está selecionada, o AD FS primeiro procura no token declarações de grupo de entrada que possam ser mapeadas para um grupo de recursos. Caso as encontre, o AD FS usará o grupo de recursos. Se não houver nenhuma declaração de grupo de entrada, o AD FS procurará uma conta de recurso a ser usada.

  • Não há contas de recurso para este parceiro de conta — Especifica se um ou mais grupos de recursos serão usados para todos os usuários neste parceiro de conta. Isso significa que todos os tokens emitidos deste parceiro de conta deverão conter uma ou mais declarações de grupo mapeadas para um ou mais grupos de recursos na floresta do parceiro de recurso.

Sumário