Directivas de control de acceso en AD FS para Windows Server 2016
Plantillas de directiva de control de acceso en AD FS
Los servicios de federación de Active Directory (AD FS) ahora admiten el uso de plantillas de directiva de control de acceso. Mediante el uso de plantillas de directiva de control de acceso, un administrador puede aplicar la configuración de directiva mediante la asignación de la plantilla de directiva a un grupo de usuarios de confianza (RP). El administrador también puede realizar actualizaciones en la plantilla de directiva y los cambios se aplicarán automáticamente a los usuarios de confianza si no se necesita ninguna interacción del usuario.
¿Qué son las plantillas de directiva de control de acceso?
La canalización principal de AD FS para el procesamiento de directivas tiene tres fases: autenticación, autorización y emisión de notificaciones. Actualmente, los administradores de AD FS tienen que configurar una directiva para cada una de estas fases por separado. Esto también implica comprender las implicaciones de estas directivas y si tienen interdependencia. Además, los administradores deben comprender el lenguaje de reglas de notificación y crear reglas personalizadas para habilitar alguna directiva simple o común (por ejemplo, bloquear el acceso externo).
Lo que hacen las plantillas de directiva de control de acceso es reemplazar este modelo antiguo en el que los administradores tienen que configurar reglas de autorización de emisión mediante el lenguaje de notificaciones. Se siguen aplicando los antiguos cmdlets de PowerShell de las reglas de autorización de emisión, pero es mutuamente excluyente del nuevo modelo. Los administradores pueden elegir usar el nuevo modelo o el anterior. El nuevo modelo le permite a los administradores controlar cuándo conceder acceso, incluida la aplicación de la autenticación multifactor.
Las plantillas de directiva de control de acceso usan un modelo de permiso. Esto significa que, de forma predeterminada, nadie tiene acceso y ese acceso debe concederse explícitamente. Sin embargo, esto no es solo un permiso todo o nada. Los administradores pueden agregar excepciones a la regla de permiso. Por ejemplo, un administrador puede querer conceder acceso basado en una red específica seleccionando esta opción y especificando el intervalo de direcciones IP. Pero el administrador puede agregar y excepciones, por ejemplo, el administrador puede agregar una excepción de una red específica y especificar ese intervalo de direcciones IP.
Plantillas de directiva de control de acceso integradas frente a plantillas de directiva de control de acceso personalizadas
AD FS incluye varias plantillas de directivas de control de acceso integradas. Estos tienen como destino algunos escenarios comunes que tienen el mismo conjunto de requisitos de directiva, por ejemplo, la directiva de acceso de cliente para Office 365. Las plantillas no se pueden modificar.
Para proporcionar mayor flexibilidad para satisfacer sus necesidades empresariales, los administradores pueden crear sus propias plantillas de directiva de acceso. Estos se pueden modificar después de la creación y los cambios en la plantilla de directiva personalizada se aplicarán a todas las RP controladas por esas plantillas de directiva. Para agregar una plantilla de directiva personalizada, simplemente haga clic en Agregar directiva de control de acceso desde la administración de AD FS.
Para crear una plantilla de directiva, un administrador debe especificar primero en qué condiciones se autorizará una solicitud para la emisión o delegación de tokens. Las opciones de condición y acción se muestran en la siguiente tabla. El administrador puede configurar aún más las condiciones en negrita con valores diferentes o nuevos. El administrador también puede especificar excepciones si hay alguna. Cuando se cumple una condición, no se desencadenará una acción de permiso si se especifica una excepción y la solicitud entrante coincide con la condición especificada en la excepción.
| Permitir usuarios | Except |
|---|---|
| Desde una red específica | Desde una red específica Desde grupos específicos Desde dispositivos con niveles de confianza específicos Con notificaciones específicas en la solicitud |
| Desde grupos específicos | Desde una red específica Desde grupos específicos Desde dispositivos con niveles de confianza específicos Con notificaciones específicas en la solicitud |
| Desde dispositivos con niveles de confianza específicos | Desde una red específica Desde grupos específicos Desde dispositivos con niveles de confianza específicos Con notificaciones específicas en la solicitud |
| Con notificaciones específicas en la solicitud | Desde una red específica Desde grupos específicos Desde dispositivos con niveles de confianza específicos Con notificaciones específicas en la solicitud |
| Y requieren autenticación multifactor | Desde una red específica Desde grupos específicos Desde dispositivos con niveles de confianza específicos Con notificaciones específicas en la solicitud |
Si un administrador selecciona varias condiciones, son de relación AND. Las acciones son mutuamente excluyentes y para una regla de directiva solo puede elegir una acción. Si el administrador selecciona varias excepciones, son de una relación OR. A continuación se muestran un par de ejemplos de reglas de directiva:
| Directiva | Reglas de directiva |
|---|---|
| El acceso de extranet requiere MFA Se permiten todos los usuarios |
Regla #1 desde extranet y con MFA Permitir Regla#2 desde intranet Permitir |
| No se permite el acceso externo, excepto si no es FTE Se permite el acceso a la intranet para FTE en el dispositivo unido al área de trabajo |
Regla #1 Desde extranet y del grupo que no es de FTE Permitir Regla #2 desde intranet y desde el dispositivo unido al área de trabajo y del grupo FTE Permitir |
| El acceso de extranet requiere MFA excepto "administrador de servicios" Todos los usuarios pueden acceder |
Regla #1 desde extranet y con MFA Permitir Excepto el grupo de administración de servicios Regla #2 Siempre Permitir |
| El acceso a dispositivos unidos a un lugar que no sea de trabajo desde extranet requiere MFA Permitir el tejido de AD para el acceso de intranet y extranet |
Regla #1 desde intranet Y desde el grupo de AD Fabric Permitir Regla #2 desde extranet y desde un dispositivo no unido al área de trabajo y desde el grupo de Tejido de AD y con MFA Permitir Regla #3 desde extranet y desde el dispositivo unido al área de trabajo y desde el grupo de Tejido de AD Permitir |
Plantilla de directiva con parámetros frente a una plantilla de directiva sin parámetros
Una plantilla de directiva parametrizada es una plantilla de directiva que tiene parámetros. Un administrador debe especificar el valor de esos parámetros al asignar esta plantilla a los RP. Un administrador no puede realizar cambios en la plantilla de directiva parametrizada después de crearla. Un ejemplo de una directiva parametrizada es la directiva integrada Permitir grupo específico. Cada vez que se aplica esta directiva a un RP, es necesario especificar este parámetro.
Una plantilla de directiva no parametrizada es una plantilla de directiva que no tiene parámetros. Un administrador puede asignar esta plantilla a los RP sin necesidad de entrada y puede realizar cambios en una plantilla de directiva no parametrizada después de crearla. Un ejemplo de esto es la directiva integrada Permitir a todos y requerir MFA.
Creación de una directiva de control de acceso sin parámetros
Para crear una directiva de control de acceso sin parámetros, use el siguiente procedimiento
Para crear una directiva de control de acceso sin parámetros
En Administración de AD FS, a la izquierda, seleccione Directivas de control de acceso y, en el botón derecho, haga clic con el botón derecho en Agregar directiva de control de acceso.
Escriba un nombre y una descripción. Por ejemplo: Permitir a los usuarios con dispositivos autenticados.
En Permitir el acceso si se cumple alguna de las siguientes reglas, haga clic en Agregar.
En permiso, coloque una marca de verificación en la casilla situada junto a desde dispositivos con un nivel de confianza específico
En la parte inferior, seleccione el elemento específico subrayado
En la ventana emergente, seleccione autenticado en la lista desplegable. Haga clic en Aceptar.
Haga clic en Aceptar. Haga clic en Aceptar.
Creación de una directiva de control de acceso con parámetros
Para crear una directiva de control de acceso con parámetros, use el siguiente procedimiento
Para crear una directiva de control de acceso con parámetros
En Administración de AD FS, a la izquierda, seleccione directivas de control de acceso y, en el botón derecho, haga clic con el botón derecho en Agregar directiva de control de acceso.
Escriba un nombre y una descripción. Por ejemplo: Permitir a los usuarios con una notificación específica.
En Permitir el acceso si se cumple alguna de las siguientes reglas, haga clic en Agregar.
En permiso, coloque una marca de verificación en la casilla junto a con reclamaciones específicas en la solicitud
En la parte inferior, seleccione el elemento específico subrayado
En la ventana emergente, seleccione Parámetro especificado cuando se asigne la directiva de control de acceso. Haga clic en Aceptar.
Haga clic en Aceptar. Haga clic en Aceptar.
Creación de una directiva de control de acceso personalizada con una excepción
Para crear una directiva de control de acceso con una excepción, use el siguiente procedimiento.
Para crear una directiva de control de acceso personalizada con una excepción
En Administración de AD FS, a la izquierda, seleccione directivas de control de acceso y, en el botón derecho, haga clic con el botón derecho en Agregar directiva de control de acceso.
Escriba un nombre y una descripción. Por ejemplo: permitir usuarios con dispositivos autenticados, pero no administrados.
En Permitir el acceso si se cumple alguna de las siguientes reglas, haga clic en Agregar.
En permiso, coloque una marca de verificación en la casilla situada junto a desde dispositivos con un nivel de confianza específico
En la parte inferior, seleccione el elemento específico subrayado
En la ventana emergente, seleccione autenticado en la lista desplegable. Haga clic en Aceptar.
En permiso, coloque una marca de verificación en la casilla situada junto a desde dispositivos con un nivel de confianza específico
En la parte inferior, debajo de excepto, seleccione el elemento específico subrayado
En la ventana emergente, seleccione autenticado en la lista desplegable. Haga clic en Aceptar.
Haga clic en Aceptar. Haga clic en Aceptar.
Creación de una directiva de control de acceso personalizada con varias condiciones de permiso
Para crear una directiva de control de acceso con varias condiciones de permiso, use el siguiente procedimiento
Para crear una directiva de control de acceso con parámetros
En Administración de AD FS, a la izquierda, seleccione directivas de control de acceso y, en el botón derecho, haga clic con el botón derecho en Agregar directiva de control de acceso.
Escriba un nombre y una descripción. Por ejemplo: permita a los usuarios con una notificación específica y desde un grupo específico.
En Permitir el acceso si se cumple alguna de las siguientes reglas, haga clic en Agregar.
En permiso, coloque una marca de verificación en la casilla junto a de un grupo específico y con notificaciones específicas en la solicitud
En la parte inferior, seleccione el elemento específico subrayado para la primera condición, junto a grupos
En la ventana emergente, seleccione Parámetro especificado cuando se asigne la directiva. Haga clic en Aceptar.
En la parte inferior, seleccione el elemento específico subrayado para la segunda condición, junto a notificaciones
En la ventana emergente, seleccione Parámetro especificado cuando se asigne la directiva de control de acceso. Haga clic en Aceptar.
Haga clic en Aceptar. Haga clic en Aceptar.
Asignación de una directiva de control de acceso a una nueva aplicación
La asignación de una directiva de control de acceso a una nueva aplicación es bastante sencilla y ahora se ha integrado en el asistente para agregar un RP. En el Asistente de relación confianza para usuario autenticado, puede seleccionar la directiva de control de acceso que desea asignar. Este es un requisito al crear una nueva relación de confianza para usuario autenticado.
Asignación de una directiva de control de acceso a una aplicación existente
Para asignar una directiva de control de acceso a una aplicación existente, simplemente seleccione la aplicación en Confianzas de usuario autenticado y, en el botón derecho, haga clic con el botón derecho en Editar directivas de control de acceso.
Desde aquí puede seleccionar la directiva de control de acceso y aplicarla a la aplicación.
