Compartir a través de


Administración de riesgos con control de acceso condicional

Conceptos clave: control de acceso condicional en AD FS

La función general de AD FS es emitir un token de acceso que incluya un conjunto de notificaciones. La decisión con respecto a las notificaciones que AD FS acepta y luego emite se rige por reglas de notificación.

El control de acceso en AD FS se implementa con reglas de notificación de autorización de emisión que se usan para emitir una notificación de permiso o denegación que determinará si se permitirá a un usuario o un grupo de usuarios obtener acceso a los recursos protegidos mediante AD FS. Las reglas de autorización solo se pueden establecer en relaciones de confianza para usuario autenticado.

Opción de regla Lógica de regla
Permitir a todos los usuarios Si el tipo de notificación entrante es igual a cualquier tipo de notificación y el valor es igual a cualquier valor, emitir una notificación con un valor igual a Permitir
Permitir acceso a los usuarios con esta notificación entrante Si el tipo de notificación entrante es igual a tipo de notificación especificado y el valor es igual a valor de notificación especificado, emitir una notificación con un valor igual a Permitir
Denegar acceso a los usuarios con esta notificación entrante Si el tipo de notificación entrante es igual a tipo de notificación especificado y el valor es igual a valor de notificación especificado, emitir una notificación con un valor igual a Denegar

Para obtener más información acerca de estas opciones y lógica de reglas, vea Cuándo usar una regla de notificación de autorización.

En AD FS en Windows Server 2012 R2, el control de acceso mejora con varios factores, incluidos los datos de usuario, dispositivo, ubicación y autenticación. Esto es posible porque hay una gran variedad de tipos de notificación disponibles para las reglas de notificación de autorización. Dicho de otro modo, en AD FS en Windows Server 2012 R2, puede aplicar el control de acceso condicional basándose en la identidad del usuario o la pertenencia a grupos, la ubicación de red, el dispositivo (si se ha unido al área de trabajo o no; para obtener más información, vea Unirse a un área de trabajo desde cualquier dispositivo para SSO y autenticación directa de segundo factor en todas las aplicaciones de la compañía) y el estado de autenticación (si se realizó autenticación multifactor o MFA).

El control de acceso condicional en AD FS en Windows Server 2012 R2 ofrece las siguientes ventajas:

  • Directivas de autorización por aplicación flexibles y expresivas mediante las que puede permitir o denegar el acceso en función del usuario, el dispositivo, la ubicación de red y el estado de autenticación

  • Creación de reglas de autorización de emisión para aplicaciones de confianza para usuario autenticado

  • Experiencia de IU completa para los escenarios habituales de control de acceso condicional

  • Lenguaje de notificaciones completo y compatibilidad con Windows PowerShell para los escenarios avanzados de control de acceso condicional

  • Mensajes de "Acceso denegado" personalizados (por aplicación de confianza para usuario autenticado). Para más información, consulte el artículo sobre la personalización de las páginas de inicio de sesión de AD FS. Al poder personalizar estos mensajes, puede explicar por qué se deniega el acceso a un usuario y, además, facilitar una corrección de autoservicio cuando sea posible, por ejemplo, solicitar a los usuarios que unan sus dispositivos al área de trabajo. Para obtener más información, consulte Join to Workplace from Any Device for SSO and Seamless Second Factor Authentication Across Company Applications.

En la tabla siguiente se incluyen todos los tipos de notificación disponibles en AD FS en Windows Server 2012 R2 que se pueden usar para implementar el control de acceso condicional.

Tipo de notificación Descripción
Dirección de correo electrónico La dirección de correo electrónico del usuario.
Nombre propio Nombre propio del usuario
Nombre Nombre del usuario
UPN (Nombre principal de usuario) El nombre principal de usuario (UPN) del usuario.
Nombre común Nombre común del usuario
Dirección de correo electrónico para AD FS 1 Dirección de correo electrónico del usuario al interoperar con AD FS 1.1 o AD FS 1.0
Grupo Grupo al que pertenece el usuario
UPN para AD FS 1 UPN del usuario al interoperar con AD FS 1.1 o AD FS 1.0
Role Rol que tiene el usuario
Surname Apellido del usuario
PPID Identificador privado del usuario
Identificador de nombre Identificador de nombre SAML del usuario
Marca de tiempo de autenticación Se usa para mostrar la hora y la fecha en que se autenticó al usuario.
Método de autenticación Método usado para autenticar al usuario
SID de grupo de solo denegación SID de grupo usado solo para denegar del usuario
SID principal de solo denegación SID principal usado solo para denegar del usuario
SID de grupo principal de solo denegación SID de grupo principal usado solo para denegar del usuario
SID de grupo SID de grupo del usuario
SID de grupo principal SID de grupo principal del usuario
SID principal SID principal del usuario
Nombre de cuenta de Windows Nombre de cuenta de dominio del usuario con el formato dominio\usuario
Usuario registrado El usuario está registrado para usar este dispositivo.
Identificador de dispositivo Identificador del dispositivo
Identificador de registro de dispositivo Identificador para el registro del dispositivo
Nombre para mostrar de registro de dispositivo Nombre para mostrar del registro de dispositivo
Tipo de SO del dispositivo Tipo de sistema operativo del dispositivo
Versión del sistema operativo del dispositivo Versión del sistema operativo del dispositivo.
Dispositivo administrado El dispositivo se administra mediante un servicio de administración.
IP de cliente reenviada Dirección IP del usuario
Aplicación cliente Tipo de aplicación cliente
Agente de usuario del cliente Tipo de dispositivo usado por el cliente para tener acceso a la aplicación
IP del cliente Dirección IP del cliente.
Ruta de acceso de extremo Ruta de acceso absoluta al extremo, que se puede usar para determinar si un cliente es activo o pasivo
Proxy Nombre DNS del servidor proxy de federación que pasó la solicitud
Identificador de la aplicación Identificador de la aplicación de confianza para usuario autenticado
Directivas de aplicación Directivas de aplicación del certificado
Identificador de clave de entidad emisora Extensión de identificador de clave de entidad emisora del certificado que firmó un certificado emitido
Restricción básica Una de las restricciones básicas del certificado
Uso mejorado de clave Describe uno de los usos mejorados de clave del certificado.
Emisor Nombre de la entidad de certificación que emitió el certificado X.509.
Nombre del emisor Nombre distintivo del emisor del certificado
Uso de claves Uno de los usos de clave del certificado
No después de Fecha en hora local después de la cual un certificado ya no es válido
No antes de Fecha en hora local en la cual un certificado empieza a ser válido
Directivas de certificado Directivas en virtud de las cuales se emitió el certificado
Clave pública Clave pública del certificado
Datos sin procesar del certificado Datos sin procesar del certificado
Nombre alternativo del sujeto Uno de los nombres alternativos del certificado
Número de serie Numero de serie del certificado
Algoritmo de firma Algoritmo usado para crear la firma de un certificado
Asunto Firmante del certificado
Identificador de clave del firmante Identificador de clave del firmante del certificado
Nombre del firmante Nombre distintivo del firmante de un certificado
Nombre de plantilla V2 Es el nombre de la plantilla de certificado de la versión 2 que se usa al emitir o renovar un certificado. Se trata de un valor específico de Microsoft.
Nombre de plantilla V1 Es el nombre de la plantilla de certificado de la versión 1 que se usa al emitir o renovar un certificado. Se trata de un valor específico de Microsoft.
Huella digital Huella digital del certificado
Versión X.509 Versión en formato X.509 del certificado
Dentro de red corporativa Se utiliza para indicar si una solicitud tiene su origen dentro de la red corporativa.
Tiempo de expiración de la contraseña Se usa para mostrar la hora en la que expirará la contraseña.
Días hasta la expiración de la contraseña Se usa para mostrar el número de días que quedan hasta la expiración de la contraseña.
Dirección URL de actualización de contraseña Se usa para mostrar la dirección web del servicio de actualización de contraseña.
Referencias de métodos de autenticación Se usa para indicar los métodos de autenticación que se usan para autenticar al usuario.

Administración de riesgos con control de acceso condicional

Con la configuración disponible hay muchas maneras de administrar los riesgos mediante la implementación del control de acceso condicional.

Escenarios comunes

Por ejemplo, imaginemos un escenario sencillo de implementación del control de acceso condicional basado en los datos de pertenencia a grupos del usuario para una aplicación concreta (relación de confianza para usuario autenticado). Dicho de otro modo: puede configurar una regla de autorización de emisión en el servidor de federación para permitir a los usuarios que pertenezcan a un grupo concreto del dominio de AD obtener acceso a una aplicación concreta protegida por AD FS. Las instrucciones paso a paso detalladas (mediante la interfaz de usuario y Windows PowerShell) para implementar este escenario se tratan en Walkthrough Guide: Manage Risk with Conditional Access Control. Para completar los pasos de este tutorial, debe configurar un entorno de laboratorio y seguir los pasos especificados en Configuración del entorno de laboratorio para AD FS en Windows Server 2012 R2.

Escenarios avanzados

A continuación se incluyen otros ejemplos de la implementación del control de acceso condicional en AD FS en Windows Server 2012 R2:

  • Permitir acceso a una aplicación protegida por AD FS solo si la identidad del usuario se ha validado con MFA

    Puede usar el código siguiente:

    @RuleTemplate = "Authorization"
    @RuleName = "PermitAccessWithMFA"
    c:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)https://schemas\.microsoft\.com/claims/multipleauthn$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");
    
    
  • Permitir acceso a una aplicación protegida por AD FS solo si la solicitud de acceso procede de un dispositivo unido al área de trabajo registrado a nombre del usuario

    Puede usar el código siguiente:

    @RuleTemplate = "Authorization"
    @RuleName = "PermitAccessFromRegisteredWorkplaceJoinedDevice"
    c:[Type == "https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value =~ "^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");
    
    
  • Permitir acceso a una aplicación protegida por AD FS solo si la solicitud de acceso procede de un dispositivo unido al área de trabajo registrado a nombre de un usuario cuya identidad se ha validado con MFA

    Puede usar el código siguiente:

    @RuleTemplate = "Authorization"
    @RuleName = "RequireMFAOnRegisteredWorkplaceJoinedDevice"
    c1:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$"] &&
    c2:[Type == "https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value =~ "^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");
    
    
  • Permitir acceso de extranet a una aplicación protegida por AD FS solo si la solicitud de acceso procede de un usuario cuya identidad se ha validado con MFA.

    Puede usar el código siguiente:

    @RuleTemplate = "Authorization"
    @RuleName = "RequireMFAForExtranetAccess"
    c1:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$"] &&
    c2:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value =~ "^(?i)false$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");
    
    

Vea también

Guía de tutorial: Administración de riesgos con control de acceso condicionalConfiguración del entorno de laboratorio para AD FS en Windows Server 2012 R2