Průvodce návodem: Řízení rizik pomocí podmíněného řízení přístupu

• Platí pro:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

O této příručce

Tento názorný postup obsahuje pokyny ke správě rizik pomocí jednoho z faktorů (uživatelských dat) dostupných prostřednictvím mechanismu podmíněného řízení přístupu ve službě Active Directory Federation Services (AD FS) ve Windows Serveru 2012 R2. Další informace o mechanismech podmíněného řízení přístupu a autorizace ve službě AD FS ve Windows Serveru 2012 R2 najdete v tématu Správa rizik pomocí podmíněného řízení přístupu.

Tento názorný postup se skládá z následujících částí:

• krok 1: Nastavení testovacího prostředí

• Krok 2: Ověření výchozího mechanismu řízení přístupu služby AD FS

• Krok 3: Konfigurace zásad řízení podmíněného přístupu na základě uživatelských dat

• Krok 4: Ověření mechanismu řízení podmíněného přístupu

Krok 1: Nastavení testovacího prostředí

K dokončení tohoto názorného postupu potřebujete prostředí, které se skládá z následujících komponent:

• Doména služby Active Directory s testovacími účty uživatelů a skupin, která běží na Windows Serveru 2008, Windows Serveru 2008 R2 nebo Windows Serveru 2012 s upgradovaným schématem na Windows Server 2012 R2 nebo v doméně služby Active Directory běžící na Windows Serveru 2012 R2

• Federační server běžící na Windows Serveru 2012 R2

• Webový server, který hostuje vaši ukázkovou aplikaci

• Klientský počítač, ze kterého máte přístup k ukázkové aplikaci

Varování

Důrazně se doporučuje (v produkčním nebo testovacím prostředí), že nepoužíváte stejný počítač jako federační server a webový server.

V tomto prostředí federační server vydává požadované deklarace identity, aby uživatelé mohli přistupovat k ukázkové aplikaci. Webový server hostuje ukázkovou aplikaci, která bude důvěřovat uživatelům, kteří prezentují deklarace identity, které federační server vydává.

Pokyny k nastavení tohoto prostředí najdete v tématu Nastavení testovacího prostředí pro službu AD FS ve Windows Serveru 2012 R2.

Krok 2: Ověření výchozího mechanismu řízení přístupu služby AD FS

V tomto kroku ověříte výchozí mechanismus řízení přístupu služby AD FS, kde se uživatel přesměruje na přihlašovací stránku služby AD FS, poskytne platné přihlašovací údaje a udělí přístup k aplikaci. Můžete použít účet Robert Hatley AD a ukázkovou aplikaci claimapp, kterou jste nakonfigurovali v Nastavení testovacího prostředí pro službu AD FS ve Windows Serveru 2012 R2.

Ověření výchozího mechanismu řízení přístupu služby AD FS

1. Na klientském počítači otevřete okno prohlížeče a přejděte do ukázkové aplikace: https://webserv1.contoso.com/claimapp.

   Tato akce automaticky přesměruje požadavek na federační server a zobrazí se výzva k přihlášení pomocí uživatelského jména a hesla.

2. Zadejte přihlašovací údaje účtu Robert Hatley AD, který jste vytvořili v Nastavení testovacího prostředí pro službu AD FS ve Windows Serveru 2012 R2.

   Budete mít udělený přístup k aplikaci.

Krok 3: Konfigurace zásad řízení podmíněného přístupu na základě uživatelských dat

V tomto kroku nastavíte zásadu řízení přístupu na základě dat členství ve skupině uživatelů. Jinými slovy, nakonfigurujete na federačním serveru pravidlo ověřování vydání pro důvěru strany spoléhající, která představuje vaši ukázkovou aplikaci – aplikace deklarací identity claimapp. Podle logiky tohoto pravidla bude Robertu Hatleymu, uživateli AD, vydáno deklarace, které jsou potřeba pro přístup k této aplikaci, jelikož je členem skupiny Finance. Přidali jste účet Robert Hatley do skupiny Finance v Nastavení testovacího prostředí pro službu AD FS ve Windows Serveru 2012 R2.

Tuto úlohu můžete dokončit pomocí konzoly pro správu služby AD FS nebo přes Windows PowerShell.

Konfigurace zásad řízení podmíněného přístupu na základě uživatelských dat prostřednictvím konzoly pro správu služby AD FS

1. V konzoli AD FS přejděte na Vztahy důvěryhodnostia poté Důvěryhodnosti spoléhajících se stran.

2. Vyberte důvěřující stranu, která reprezentuje vaši ukázkovou aplikaci (claimapp), a poté v podokně Akce nebo kliknutím pravým tlačítkem myši na tuto důvěřující stranu vyberte Upravit pravidla prohlášení.

3. V okně Upravit pravidla nároku pro aplikaci claimapp vyberte kartu Pravidla pro autorizaci vydání a klikněte na Přidat pravidlo.

4. V Průvodce přidáním pravidla autorizace vystavovánína stránce Vybrat šablonu pravidlavyberte Povolit nebo Odepřít uživatele na základě šablony pravidla příchozí deklarace identity a potom klikněte na tlačítko Další.

5. Na stránce Konfigurovat pravidlo proveďte všechny následující kroky a potom klikněte na Dokončit:

   1. Zadejte název pravidla nároku, například TestRule.

   2. Vyberte SID skupiny jako typ příchozí deklarace.

   3. Klikněte na Procházet, zadejte Finance jako název vaší testovací skupiny AD a potvrďte ho pro pole Příchozí hodnota nároku.

   4. Vyberte možnost Odepřít přístup uživatelům s touto příchozí deklarací identity.

6. V okně Upravit pravidla deklarací pro aplikaci zkontrolujte, že odstraníte pravidlo Povolit přístup všem uživatelům, které bylo vytvořeno ve výchozím nastavení při založení této důvěřující strany.

Konfigurace zásad řízení podmíněného přístupu na základě uživatelských dat přes Windows PowerShell

1. Na federačním serveru otevřete příkazové okno Windows PowerShellu a spusťte následující příkaz:

$rp = Get-AdfsRelyingPartyTrust -Name claimapp

2. Ve stejném příkazovém okně Windows PowerShellu spusťte následující příkaz:

$GroupAuthzRule = '@RuleTemplate = "Authorization" @RuleName = "Foo" c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value =~ "^(?i)<group_SID>$"] =>issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = "DenyUsersWithClaim");'
Set-AdfsRelyingPartyTrust -TargetRelyingParty $rp -IssuanceAuthorizationRules $GroupAuthzRule

Poznámka:

Nezapomeňte nahradit <group_SID> hodnotou SID vaší skupiny AD Finance.

Krok 4: Ověření mechanismu řízení podmíněného přístupu

V tomto kroku ověříte zásady řízení podmíněného přístupu, které jste nastavili v předchozím kroku. Pomocí následujícího postupu můžete ověřit, že Robert Hatley uživatel AD má přístup k vaší ukázkové aplikaci, protože patří do skupiny Finance a uživatelé AD, kteří nepatří do skupiny Finance, nemají přístup k ukázkové aplikaci.

1. Na klientském počítači otevřete okno prohlížeče a přejděte do ukázkové aplikace: https://webserv1.contoso.com/claimapp

   Tato akce automaticky přesměruje požadavek na federační server a zobrazí se výzva k přihlášení pomocí uživatelského jména a hesla.

2. Zadejte přihlašovací údaje účtu Robert Hatley AD, který jste vytvořili v Nastavení testovacího prostředí pro službu AD FS ve Windows Serveru 2012 R2.

   Budete mít udělený přístup k aplikaci.

3. Zadejte přihlašovací údaje jiného uživatele AD, který nepatří do skupiny Finance. (Další informace o vytváření uživatelských účtů v AD najdete v tématu https://technet.microsoft.com/library/cc7833232.aspx.

   V tuto chvíli se kvůli zásadám řízení přístupu, které jste nastavili v předchozím kroku, zobrazí zpráva o odepření přístupu pro tohoto uživatele AD, který nepatří do skupiny Finance. Výchozí text zprávy je Nemáte oprávnění k přístupu k tomuto webu. Kliknutím sem se odhlásíte a znovu se přihlásíte nebo se obraťte na správce s žádostí o oprávnění. Tento text je však plně přizpůsobitelný. Další informace o tom, jak přizpůsobit přihlašovací prostředí, najdete v tématu Přizpůsobení přihlašovacích stránek služby AD FS.

Viz také

Řízení rizik pomocí podmíněného řízení přístupuNastavení testovacího prostředí pro službu AD FS ve Windows Serveru 2012 R2