Directivas de control de acceso en Windows Server 2016 AD FS
Plantillas de directiva de control de acceso en AD FS
Los Servicios de federación de Active Directory ahora admiten el uso de plantillas de directiva de control de acceso. Mediante el uso de plantillas de directiva de control de acceso, un administrador puede aplicar la configuración de directiva asignando la plantilla de directiva a un grupo de usuarios de confianza (CSP). El administrador también puede realizar actualizaciones en la plantilla de directiva y los cambios se aplicarán automáticamente a los usuarios de confianza si no se necesita ninguna interacción del usuario.
¿Qué son las plantillas de directiva de control de acceso?
La canalización principal de AD FS para el procesamiento de directivas tiene tres fases: autenticación, autorización y emisión de notificaciones. Actualmente, los administradores de AD FS tienen que configurar una directiva para cada una de estas fases por separado. Esto también implica comprender las implicaciones de estas directivas y si estas tienen dependencias. Además, los administradores deben comprender el lenguaje de reglas de notificación y crear reglas personalizadas para habilitar algunas directivas simples o comunes (por ejemplo, bloquear el acceso externo).
Lo que hacen las plantillas de directiva de control de acceso es reemplazar este modelo antiguo en el que los administradores tienen que configurar reglas de autorización de emisión mediante el lenguaje de afirmaciones. Se siguen aplicando los antiguos cmdlets de PowerShell de las reglas de autorización de emisión, pero es mutuamente excluyente del nuevo modelo. Los administradores pueden elegir usar el nuevo modelo o el modelo anterior. El nuevo modelo permite a los administradores controlar cuándo conceder acceso, incluida la aplicación de la autenticación multifactor.
Las plantillas de directiva de control de acceso usan un modelo de permiso. Esto significa que, de forma predeterminada, nadie tiene acceso y ese acceso debe concederse explícitamente. Sin embargo, esto no es solo un permiso de todo o nada. Los administradores pueden agregar excepciones a la regla de permiso. Por ejemplo, un administrador puede querer conceder acceso basado en una red específica seleccionando esta opción y especificando el intervalo de direcciones IP. Pero el administrador puede agregar una excepción, por ejemplo, el administrador puede agregar una excepción desde una red específica y especificar un intervalo de direcciones IP.
Plantillas de directiva de control de acceso integradas frente a plantillas de directivas de control de acceso personalizadas
AD FS incluye varias plantillas de directiva de control de acceso integradas. Estos tienen como destino algunos escenarios comunes que tienen el mismo conjunto de requisitos de directiva, por ejemplo, la directiva de acceso de cliente para Office 365. Estas plantillas no se pueden modificar.
Para proporcionar mayor flexibilidad para satisfacer sus necesidades empresariales, los administradores pueden crear sus propias plantillas de directiva de acceso. Estos se pueden modificar después de la creación y los cambios en la plantilla de política personalizada se aplicarán a todos los RPs controlados por esas plantillas de política. Para agregar una plantilla de directiva personalizada, simplemente haga clic en Agregar directiva de control de acceso desde la administración de AD FS.
Para crear una plantilla de directiva, un administrador debe especificar primero en qué condiciones se autorizará una solicitud para la emisión o delegación de tokens. Las opciones de condición y acción se muestran en la tabla siguiente. El administrador puede configurar aún más las condiciones en negrita con valores diferentes o nuevos. El administrador también puede especificar excepciones si hay alguna. Cuando se cumple una condición, no se desencadenará una acción de permiso si se especifica una excepción y la solicitud entrante coincide con la condición especificada en la excepción.
| Permitir usuarios | Except |
|---|---|
| Desde una red específica | Desde una red específica Desde grupos específicos Desde dispositivos con niveles de confianza específicos Con notificaciones específicas en la solicitud |
| Desde grupos específicos | Desde una red específica Desde grupos específicos Desde dispositivos con niveles de confianza específicos Con notificaciones específicas en la solicitud |
| Desde dispositivos con niveles de confianza específicos | Desde una red específica Desde grupos específicos Desde dispositivos con niveles de confianza específicos Con notificaciones específicas en la solicitud |
| Con notificaciones específicas en la solicitud | Desde una red específica Desde grupos específicos Desde dispositivos con niveles de confianza específicos Con notificaciones específicas en la solicitud |
| Y requieren autenticación multifactor | Desde una red específica Desde grupos específicos Desde dispositivos con niveles de confianza específicos Con notificaciones específicas en la solicitud |
Si un administrador selecciona varias condiciones, son de relación AND. Las acciones son mutuamente excluyentes y para una regla de directiva solo puede elegir una acción. Si el administrador selecciona varias excepciones, son de una relación de O. A continuación se muestran un par de ejemplos de reglas de directiva:
| Policy | Reglas de política |
|---|---|
| El acceso a la extranet requiere autenticación multifactor. Todos los usuarios están permitidos |
regla n.º 1 desde extranet y con MFA Permiso de Regla 2 desde intranet Permiso de |
| No se permite el acceso externo, excepto para aquellos que no sean empleados a tiempo completo. Se permite el acceso a la intranet para empleados a tiempo completo en el dispositivo conectado al lugar de trabajo. |
regla n.º 1 Desde extranet y del grupo que no es de FTE Permiso de regla n.º 2 desde intranet y desde el dispositivo unido al área de trabajo y del grupo FTE Permiso de |
| El acceso a la extranet requiere MFA, excepto para "administrador de servicios". Todos los usuarios tienen permiso para acceder |
regla n.º 1 desde extranet y con MFA Permiso de Excepto el grupo de administración de servicios regla n.º 2 Siempre Permiso de |
| El acceso a dispositivos unidos a un lugar que no sea de trabajo desde extranet requiere MFA Permitir la infraestructura de AD para el acceso a la intranet y la extranet |
regla n.º 1 desde intranet Y desde el grupo de AD Fabric Permiso de regla n.º 2 desde extranet y desde un dispositivo no unido al área de trabajo y desde el grupo de Tejido de AD y con MFA Permiso regla n.º 3 desde extranet y desde el dispositivo unido al área de trabajo y desde el grupo de Tejido de AD Permiso |
Plantilla de directiva con parámetros frente a plantilla de directiva no parametrizada
Una plantilla de directiva parametrizada es una plantilla de directiva que tiene parámetros. Un administrador debe especificar el valor de esos parámetros al asignar esta plantilla a los CSP. Un administrador no puede realizar cambios en la plantilla de directiva parametrizada después de crearla. Un ejemplo de una directiva parametrizada es la directiva predefinida, "Permitir grupo específico". Cada vez que esta directiva se aplica a un RP, este parámetro debe especificarse.
Una plantilla de directiva no parametrizada es una plantilla de directiva que no tiene parámetros. Un administrador puede asignar esta plantilla a los CSP sin necesidad de entrada y puede realizar cambios en una plantilla de directiva no parametrizada después de crearla. Un ejemplo de esto es la directiva integrada Permitir a todos y requerir MFA.
Creación de una directiva de control de acceso sin parámetros
Para crear una directiva de control de acceso no parametrizada, use el procedimiento siguiente:
Para crear una directiva de control de acceso no parametrizada
En Administración de AD FS, a la izquierda, seleccione Directiva de control de acceso y, a la derecha, haga clic en Agregar directiva de control de acceso.
Escriba un nombre y una descripción. Por ejemplo: Permitir a los usuarios con dispositivos autenticados.
En Permitir el acceso si se cumple alguna de las siguientes reglas, haga clic en Agregar.
En permiso, coloque una marca de verificación en la casilla situada junto a desde dispositivos con un nivel de confianza específico
En la parte inferior, seleccione el elemento específico subrayado
En la ventana emergente, seleccione autenticado en la lista desplegable. Haga clic en Aceptar.
Haga clic en Aceptar. Haga clic en Aceptar.
Creación de una directiva de control de acceso con parámetros
Para crear una directiva de control de acceso con parámetros, use el procedimiento siguiente
Para crear una directiva de control de acceso con parámetros
En Administración de AD FS, a la izquierda, seleccione Directivas de control de acceso y, a la derecha, haga clic en Agregar directiva de control de acceso.
Escriba un nombre y una descripción. Por ejemplo: Permitir a los usuarios con una notificación específica.
En Permitir el acceso si se cumple alguna de las siguientes reglas, haga clic en Agregar.
En permiso, coloque una marca de verificación en la casilla junto a con reclamaciones específicas en la solicitud
En la parte inferior, seleccione el elemento específico subrayado
En la ventana que aparece, seleccione Parámetro especificado cuando se asigne la directiva de control de acceso. Haga clic en Aceptar.
Haga clic en Aceptar. Haga clic en Aceptar.
Creación de una directiva de control de acceso personalizada con una excepción
Para crear una directiva de control de acceso con una excepción, use el procedimiento siguiente.
Para crear una directiva de control de acceso personalizada con una excepción
En Administración de AD FS a la izquierda, seleccione Directivas de control de acceso y, a la derecha, haga clic en Agregar directiva de control de acceso.
Escriba un nombre y una descripción. Por ejemplo: permitir usuarios con dispositivos autenticados, pero no administrados.
En Permitir el acceso si se cumple alguna de las siguientes reglas, haga clic en Agregar.
En permiso, coloque una marca de verificación en la casilla situada junto a desde dispositivos con un nivel de confianza específico
En la parte inferior, seleccione el elemento específico subrayado
En la ventana emergente, seleccione autenticado en la lista desplegable. Haga clic en Aceptar.
En la sección de excepciones, marque la casilla situada junto a para dispositivos con un nivel de confianza específico
En la parte inferior, debajo de excepto, seleccione el elemento específico subrayado
En la ventana emergente, seleccione autenticado en la lista desplegable. Haga clic en Aceptar.
Haga clic en Aceptar. Haga clic en Aceptar.
Creación de una directiva de control de acceso personalizada con varias condiciones de permiso
Para crear una directiva de control de acceso con varias condiciones de permiso, use el procedimiento siguiente:
Para crear una directiva de control de acceso con parámetros
En Administración de AD FS en el panel izquierdo, seleccione Directivas de control de acceso y en el panel derecho, haga clic en Agregar directiva de control de acceso.
Escriba un nombre y una descripción. Por ejemplo: permita a los usuarios con una notificación específica y desde un grupo específico.
En Permitir el acceso si se cumple alguna de las siguientes reglas, haga clic en Agregar.
En permiso, coloque una marca de verificación en la casilla junto a de un grupo específico y con notificaciones específicas en la solicitud
En la parte inferior, seleccione el elemento específico subrayado para la primera condición, junto a grupos
En la ventana emergente, seleccione Parámetro especificado cuando se asigne la directiva. Haga clic en Aceptar.
En la parte inferior, seleccione el elemento específico subrayado para la segunda condición, junto a notificaciones
En la ventana que aparece, seleccione Parámetro especificado cuando se asigne la directiva de control de acceso. Haga clic en Aceptar.
Haga clic en Aceptar. Haga clic en Aceptar.
Asignación de una directiva de control de acceso a una nueva aplicación
La asignación de una directiva de control de acceso a una nueva aplicación es bastante sencilla y ahora se ha integrado en el asistente para agregar un RP. En el Asistente de relación confianza para usuario autenticado, puede seleccionar la directiva de control de acceso que desea asignar. Este es un requisito al crear una nueva relación de confianza para usuario autenticado.
Asignación de una directiva de control de acceso a una aplicación existente
Para asignar una directiva de control de acceso a una aplicación existente, simplemente seleccione la aplicación en Confianzas de terceros confiables y haga clic con el botón derecho en Editar directiva de control de acceso.
Desde aquí puede seleccionar la directiva de control de acceso y aplicarla a la aplicación.
