Criteri di controllo di accesso in Windows Server 2016 AD FS
Modelli di criteri di controllo di accesso in AD FS
Active Directory Federation Services supporta ora l'uso dei modelli di criteri di controllo di accesso. Usando i modelli di criteri di controllo di accesso, un amministratore può applicare le impostazioni dei criteri assegnando il modello di criteri a un gruppo di relying party (RP). L'amministratore può anche apportare aggiornamenti al modello di criteri e le modifiche verranno applicate automaticamente alle relying party se non è necessaria alcuna interazione dell'utente.
Che cosa sono i modelli di criteri di controllo di accesso?
La pipeline principale di AD FS per l'elaborazione dei criteri prevede tre fasi: autenticazione, autorizzazione e rilascio di attestazioni. Attualmente, gli amministratori di AD FS devono configurare un criterio per ognuna di queste fasi separatamente. Ciò implica anche la comprensione delle implicazioni di questi criteri e se questi criteri hanno inter-dipendenza. Inoltre, gli amministratori devono comprendere il linguaggio delle regole delle attestazioni e creare regole personalizzate per abilitare alcuni criteri comuni e semplici, ad esempio, bloccare l'accesso esterno.
I modelli di criteri di controllo di accesso sostituiscono questo modello precedente in cui gli amministratori devono configurare le regole di autorizzazione di rilascio usando il linguaggio delle attestazioni. I vecchi cmdlet di PowerShell delle regole di autorizzazione di rilascio sono ancora applicabili, ma sono mutuamente esclusivi rispetto al nuovo modello. Gli amministratori possono scegliere di usare il nuovo modello o il modello precedente. Il nuovo modello consente agli amministratori di controllare quando concedere l'accesso, inclusa l'applicazione dell'autenticazione a più fattori.
I modelli di criteri di controllo di accesso usano un modello di autorizzazione. Ciò significa che per impostazione predefinita nessuno ha accesso e che l'accesso deve essere concesso in modo esplicito. Tuttavia, questo non è solo un permesso tutto o niente. Gli amministratori possono aggiungere eccezioni alla regola di autorizzazione. Ad esempio, un amministratore può voler concedere l'accesso in base a una rete specifica selezionando questa opzione e specificando l'intervallo di indirizzi IP. Tuttavia, l'amministratore può aggiungere ed eccezione, ad esempio, l'amministratore può aggiungere un'eccezione da una rete specifica e specificare l'intervallo di indirizzi IP.
Modelli di criteri di controllo di accesso predefiniti e modelli di criteri di controllo di accesso personalizzati
AD FS include diversi modelli di criteri di controllo di accesso predefiniti. Questi si riferiscono a scenari comuni che condividono lo stesso insieme di requisiti delle politiche, come, ad esempio, le politiche di accesso dei client per Office 365. Questi modelli non possono essere modificati.
Per offrire maggiore flessibilità per soddisfare le esigenze aziendali, gli amministratori possono creare modelli di criteri di accesso personalizzati. Queste modifiche possono essere modificate dopo la creazione e le modifiche apportate al modello di criteri personalizzato verranno applicate a tutti gli indirizzi IP controllati da tali modelli di criteri. Per aggiungere un modello di criteri personalizzato, è sufficiente fare clic su Aggiungi criteri di controllo di accesso dall'interno della gestione di AD FS.
Per creare un modello di criteri, un amministratore deve prima specificare in quali condizioni verrà autorizzata una richiesta per il rilascio di token e/o la delega. Le opzioni di condizione e azione sono illustrate nella tabella seguente. Le condizioni in grassetto possono essere ulteriormente configurate dall'amministratore con valori diversi o nuovi. L'amministratore può anche specificare eccezioni, se presenti. Quando viene soddisfatta una condizione, un'azione di autorizzazione non verrà attivata se è presente un'eccezione specificata e la richiesta in ingresso corrisponde alla condizione specificata nell'eccezione.
| Concedi permessi agli utenti | Eccetto |
|---|---|
| Dalla rete specifica | Da rete specifica Da gruppi di specifici Dai dispositivi con livelli di attendibilità specifici Con attestazioni di specifiche nella richiesta |
| Da gruppi specifici di | Da rete specifica Da gruppi di specifici Dai dispositivi con livelli di attendibilità specifici per Con specifiche affermazioni di nella richiesta |
| Dai dispositivi con livelli di attendibilità specifici | Da specifica rete Da gruppi di specifici Dai dispositivi con livelli di attendibilità specifici per Con dichiarazioni specifiche di nella richiesta di |
| Con affermazioni specifiche di per nella richiesta | Da specifica rete Da gruppi specifici di Dai dispositivi con livelli di attendibilità specifici Con specifiche attestazioni di nella richiesta |
| E richiedono l'autenticazione a più fattori | Dalla rete specifica Da gruppi specifici di Dai dispositivi con livelli di attendibilità specifici di Con attestazioni di specifiche nella richiesta |
Se un amministratore seleziona più condizioni, esse hanno una relazione di tipo E. Le azioni si escludono a vicenda e per una regola dei criteri è possibile scegliere una sola azione. Se l'amministratore seleziona più eccezioni, si tratta di una relazione di OR. Di seguito sono riportati alcuni esempi di regole di criterio:
| Politica | regole delle politiche |
|---|---|
| L'accesso Extranet richiede l'autenticazione a più fattori Tutti gli utenti sono autorizzati |
regola n. 1 da extranet e con autenticazione a più fattori (MFA) Permesso Regola#2 da intranet Permesso |
| L'accesso esterno non è consentito, eccetto per i non-FTE. L'accesso all'Intranet per i dipendenti a tempo pieno su dispositivi registrati nel sistema aziendale è consentito. |
Regola n. 1 Da extranet e dal gruppo non-FTE Permesso Regola #2 da Intranet e dal posto di lavoro dispositivo unito e dal gruppo di FTE Permesso |
| L'accesso Extranet richiede l'autenticazione a più fattori, ad eccezione di "amministratore del servizio" Tutti gli utenti sono autorizzati ad accedere |
Regola n. 1 Extranet e con Autenticazione a più fattori (MFA) Permesso Eccetto il gruppo di amministrazione del servizio Regola n. 2 sempre Permesso |
| L'accesso al dispositivo collegato da un luogo esterno al posto di lavoro tramite Extranet richiede l'autenticazione a più fattori. Consentire l'infrastruttura di Active Directory per l'accesso intranet ed extranet |
Regola n. 1 da Intranet E dal gruppo AD Fabric Permesso regola n. 2 da extranet e da dispositivo non legato all'ambiente di lavoro unito al dispositivo e dal gruppo di AD Fabric e con MFA Permesso Regola n. 3 da extranet e da area di lavoro ha associato il dispositivo e dal gruppo di AD Fabric Permesso |
Modello di criteri con parametri e modello di criteri non con parametri
Un modello di criteri parametrizzato è un modello di criteri che contiene parametri. Un amministratore deve immettere il valore per questi parametri quando si assegna questo modello a RPs.Un amministratore non può apportare modifiche al modello di criteri con parametri dopo che è stato creato. Un esempio di criteri con parametri è il criterio predefinito Consenti gruppo specifico. Ogni volta che questo criterio viene applicato a un rp, questo parametro deve essere specificato.
Un modello di criteri non con parametri è un modello di criteri che non dispone di parametri. Un amministratore può assegnare questo modello ai fornitori di risorse senza bisogno di input e può apportare modifiche a un modello di policy non parametrizzato dopo la sua creazione. Un esempio è il criterio integrato, Consentire a tutti e richiedere l'autenticazione multifattoriale.
Come creare criteri di controllo di accesso non con parametri
Per creare criteri di controllo di accesso non con parametri, utilizzare la procedura seguente
Per creare criteri di controllo di accesso non con parametri
In Gestione AD FS a sinistra selezionare Criteri di controllo di accesso e fare clic con il pulsante destro del mouse su Aggiungi criteri di controllo di accesso.
Immettere un nome e una descrizione. Ad esempio: consentire agli utenti di usare dispositivi autenticati.
In Consentire l'accesso se è soddisfatta una delle regole seguenti, fare clic su Aggiungi.
Sotto l'autorizzazione, selezionare la casella di controllo accanto a su dispositivi con un livello di attendibilità specifico
Nella parte inferiore dell'elenco, seleziona l'elemento sottolineato specifico.
Nella finestra visualizzata, selezionare autenticato dall'elenco a discesa. Fare clic su OK.
Fare clic su OK. Fare clic su OK.
Come creare un criterio di controllo di accesso con parametri
Per creare un criterio di controllo di accesso con parametri, utilizzare la procedura seguente
Per creare un criterio di controllo di accesso con parametri
In Gestione AD FS a sinistra selezionare Criteri di controllo di accesso e fare clic con il pulsante destro del mouse su Aggiungi criteri di controllo di accesso.
Immettere un nome e una descrizione. Ad esempio: autorizzare gli utenti con un'attestazione specifica.
In Consentire l'accesso se viene soddisfatta una delle seguenti regole, fare clic su Aggiungi.
Sotto autorizzazione, spunta la casella accanto a con attestazioni specifiche nella richiesta.
Nella parte inferiore, selezionare il specifico sottolineato.
Nella finestra visualizzata selezionare Parametro specificato quando viene assegnato il criterio di controllo di accesso. Fare clic su OK.
Fare clic su OK. Fare clic su OK.
Come creare criteri di controllo di accesso personalizzati con un'eccezione
Per creare un criterio di controllo di accesso con un'eccezione, utilizzare la procedura seguente.
Per creare criteri di controllo di accesso personalizzati con un'eccezione
In Gestione AD FS a sinistra selezionare Criteri di controllo di accesso e fare clic con il pulsante destro del mouse su Aggiungi criteri di controllo di accesso.
Immettere un nome e una descrizione. Ad esempio: consentire agli utenti dispositivi autenticati ma non gestiti.
In Consentire l'accesso quando vengono soddisfatte le seguenti regole, fare clic su Aggiungi.
Sotto il permesso, mettere un segno di spunta nella casella accanto a dai dispositivi con livello di attendibilità specifico.
Nella parte inferiore selezionare il sottolineato specifico
Nella finestra visualizzata selezionare autenticato dall'elenco a discesa. Fare clic su OK.
Sotto eccezione, metti un segno di spunta nella casella accanto a per i dispositivi con un livello di attendibilità specifico
In fondo, nella sezione "except", seleziona la voce sottolineata specifica.
Nella finestra visualizzata, selezionare gestito dall'elenco a discesa. Fare clic su OK.
Fare clic su OK. Fare clic su OK.
Come creare criteri di controllo di accesso personalizzati con più condizioni di autorizzazione
Per creare un criterio di controllo di accesso con più condizioni di autorizzazione, utilizzare la procedura seguente
Per creare un criterio di controllo di accesso con parametri
In Gestione AD FS a sinistra selezionare Criteri di controllo di accesso e fare clic con il pulsante destro del mouse su Aggiungi criteri di controllo di accesso.
Immettere un nome e una descrizione. Ad esempio: consentire agli utenti con un'istanza specifica e da un gruppo specifico.
In Consentire l'accesso se vengono soddisfatte le regole seguentifare clic su Aggiungi.
Sotto autorizzazione, porre un segno di spunta nella casella accanto a da un gruppo specifico e con dichiarazioni specifiche nella richiesta
Nella parte inferiore selezionare il sottolineato specifico per la prima condizione, accanto ai gruppi
Nella finestra visualizzata, selezionare Parametro specificato quando la politica viene assegnata. Fare clic su OK.
Nella parte inferiore selezionare il sottolineato specifico per la seconda condizione, accanto alle attestazioni
Nella finestra visualizzata selezionare Parametro specificato quando viene assegnato il criterio di controllo di accesso. Fare clic su OK.
Fare clic su OK. Fare clic su OK.
Come assegnare un criterio di controllo di accesso a una nuova applicazione
L'assegnazione di un criterio di controllo di accesso a una nuova applicazione è abbastanza semplice ed è ora stata integrata nel wizard per l'aggiunta di un RP. Dalla Relying Party Trust Wizard è possibile selezionare i criteri di controllo di accesso da assegnare. Questo è un requisito quando si crea un nuovo trust relying party.
Come assegnare un criterio di controllo di accesso a un'applicazione esistente
Per assegnare un criterio di controllo di accesso a un'applicazione esistente, basta selezionare l'applicazione da Entità affidabili e fare clic con il tasto destro Modifica criteri di controllo di accesso.
Da qui è possibile selezionare i criteri di controllo di accesso e applicarli all'applicazione.
