Criteri di controllo di accesso in Active Directory Federation Services (AD FS) per Windows Server 2016
Modelli di criteri di controllo di accesso in ADFS
Active Directory Federation Services supporta ora l'utilizzo di modelli di criteri di controllo di accesso. Utilizzando i modelli di criteri di controllo di accesso, un amministratore può applicare le impostazioni dei criteri assegnando il modello di criteri a un gruppo di relying party (RPs). Amministratore può inoltre effettuare aggiornamenti al modello di criteri e le modifiche verranno applicate per le relying party automaticamente se non esiste alcuna interazione utente necessita.
Quali sono i modelli di criteri di controllo di accesso?
La pipeline di componenti di base ADFS per l'elaborazione di criteri include tre fasi: autenticazione, autorizzazione e attestazione di rilascio. Attualmente, gli amministratori di ADFS sono necessario configurare un criterio per ognuna di queste fasi separatamente. Anche questo è necessario comprendere le implicazioni di questi criteri e se questi criteri non hanno dipendenze tra. Inoltre, gli amministratori devono comprendere la lingua delle regole attestazione e le regole personalizzate per abilitare alcuni semplici e comuni criteri (ad esempio, il blocco dell'accesso esterno).
I criteri di controllo di accesso dei modelli sono sostituire il vecchio modello in cui gli amministratori devono configurare regole di autorizzazione rilascio utilizzando attestazioni language. I cmdlet PowerShell precedenti di regole di autorizzazione rilascio vengono mantenuti ma verrà escluse il nuovo modello. Gli amministratori possono scegliere di utilizzare il nuovo modello o il modello precedente. Il nuovo modello consente agli amministratori di controllare la modalità di concedere l'accesso, inclusa l'applicazione multi-factor authentication.
Modelli di criteri di controllo di accesso utilizzano un modello di autorizzazione. Questo significa che per impostazione predefinita, nessun utente ha accesso e che l'accesso deve essere concesso in modo esplicito. Tuttavia, non è semplicemente un all o non consentire. Gli amministratori possono aggiungere le eccezioni alla regola di autorizzazione. Ad esempio, un amministratore può desidera concedere l'accesso in base a una rete specifica, questa opzione e specificare l'intervallo di indirizzi IP. Ma l'amministratore può aggiungere ed eccezione, ad esempio, l'amministratore può aggiungere un'eccezione da una rete specifica e specificare l'intervallo di indirizzi IP.
Accesso integrato controllo criteri vs accesso personalizzato controllo criteri modelli
ADFS include diversi modelli di criteri di controllo di accesso integrato. Questi destinazione alcuni scenari comuni che hanno lo stesso set di requisiti dei criteri, ad esempio criteri di accesso client per Office 365. Questi modelli non possono essere modificati.
Per garantire una maggiore flessibilità per soddisfare le esigenze aziendali, gli amministratori possono creare i propri accesso modelli di criteri. Questi nomi possono essere modificati dopo la creazione e modifiche al modello di criteri personalizzati verranno applicate a tutte le richieste che sono controllati da questi modelli di criteri. Per aggiungere un modello di criteri personalizzata fare clic su Aggiungi dei criteri di controllo di accesso all'interno di gestione AD FS.
Per creare un modello di criteri, un amministratore deve innanzitutto specificare a quali condizioni sarà autorizzata una richiesta di rilascio dei token e/o la delega. Nella tabella seguente vengono visualizzate le opzioni di condizione e azione. Le condizioni in grassetto possono essere ulteriormente configurate dall'amministratore con valori diversi o nuovi. Amministratore può inoltre specificare eccezioni eventuale. Quando viene soddisfatta una condizione, un'azione di autorizzazione non verrà attivata se si verifica un'eccezione specificata e la richiesta in ingresso soddisfa la condizione specificata nell'eccezione.
Consentire agli utenti | Except |
---|---|
Da specifico rete | Da specifico rete Da specifico gruppi Dai dispositivi con specifico livelli di attendibilità Con specifico attestazioni nella richiesta |
Da specifico gruppi | Da specifico rete Da specifico gruppi Dai dispositivi con specifico livelli di attendibilità Con specifico attestazioni nella richiesta |
Dai dispositivi con specifico livelli di attendibilità | Da specifico rete Da specifico gruppi Dai dispositivi con specifico livelli di attendibilità Con specifico attestazioni nella richiesta |
Con specifico attestazioni nella richiesta | Da specifico rete Da specifico gruppi Dai dispositivi con specifico livelli di attendibilità Con specifico attestazioni nella richiesta |
E richiedere l'autenticazione a più fattori | Da specifico rete Da specifico gruppi Dai dispositivi con specifico livelli di attendibilità Con specifico attestazioni nella richiesta |
Se un amministratore seleziona più condizioni, sono di AND relazione. Le azioni si escludono a vicenda e per una regola dei criteri è possibile scegliere solo un'azione. Se l'amministratore seleziona più eccezioni, sono di un o relazione. Un paio di regola dei criteri di seguito sono riportati alcuni esempi:
Criteri | Regole dei criteri |
---|---|
L'accesso Extranet richiede l'autenticazione a più Fattori Sono consentiti tutti gli utenti |
Regola 1 da extranet e con autenticazione a più Fattori Autorizzazione Regola 2 da intranet Autorizzazione |
Accesso esterno non sono consentiti tranne non FTE È consentito l'accesso Intranet per FTE sul dispositivo all'area di lavoro |
Regola 1 Da extranet e da non FTE gruppo Autorizzazione Regola 2 da intranet e da all'area di lavoro dispositivo e da FTE gruppo Autorizzazione |
L'accesso Extranet richiede autenticazione a più Fattori, ad eccezione di "amministratore del servizio" Tutti gli utenti sono autorizzati ad accedere |
Regola 1 da extranet e con autenticazione a più Fattori Autorizzazione Ad eccezione di gruppo amministrativo di servizio Regola 2 sempre Autorizzazione |
dispositivo aggiunto al luogo di lavoro non - l'accesso dalla extranet richiede l'autenticazione a più Fattori Consentire l'infrastruttura di Active Directory per l'accesso intranet ed extranet |
Regola 1 da intranet E da AD Fabric gruppo Autorizzazione Regola 2 da extranet e da non-all'area di lavoro dispositivo e da AD Fabric gruppo e con autenticazione a più Fattori Autorizzazione Regola 3 da extranet e da all'area di lavoro dispositivo e da AD Fabric gruppo Autorizzazione |
Modello di criteri con parametri senza parametri dei criteri di Visual Studio
Un modello di criteri con parametri è un modello di criteri che dispone di parametri. Un amministratore deve immettere il valore per tali parametri durante l'assegnazione di questo modello RPs.An amministratore non può apportare modifiche al modello di criteri con parametri dopo che è stato creato. Un esempio di un criterio con parametri è il criterio incorporato, il gruppo specifico licenza. Ogni volta che questo criterio viene applicato a un'applicazione relying Party, questo parametro deve essere specificata.
Un modello di criteri senza parametri è un modello di criteri che non dispone di parametri. Un amministratore può assegnare questo modello RPs senza input necessita e possa apportare modifiche a un modello di criteri senza parametri dopo che è stato creato. Un esempio di questo è il criterio predefinito, consentire tutti gli utenti e richiedere l'autenticazione a più Fattori.
Procedura: creare un criterio di controllo di accesso senza parametri
Per creare un accesso senza parametri dei criteri di controllo utilizzare la procedura seguente
Per creare un criterio di controllo di accesso senza parametri
Dalla gestione di ADFS a sinistra selezionare criteri di controllo di accesso e a destra fare clic su Aggiungi criteri di controllo di accesso.
Immettere un nome e una descrizione. Ad esempio: consentire agli utenti con dispositivi autenticati.
In consentire l'accesso se viene soddisfatta una delle seguenti regole, fare clic su Aggiungi.
In Consenti, inserire un segno di spunta nella casella accanto a dai dispositivi con livello di attendibilità specifico
Nella parte inferiore, selezionare il sottolineato specifico
Nella finestra che viene visualizzato, selezionare autenticato dall'elenco a discesa. Fare clic su OK.
Fare clic su OK. Fare clic su OK.
Procedura: creare un criterio di controllo di accesso con parametri
Per creare un controllo di accesso con parametri criteri utilizzare la procedura seguente
Per creare un criterio di controllo di accesso con parametri
Dalla gestione di ADFS a sinistra selezionare criteri di controllo di accesso e a destra fare clic su Aggiungi criteri di controllo di accesso.
Immettere un nome e una descrizione. Ad esempio: consentire agli utenti con una determinata attestazione.
In consentire l'accesso se viene soddisfatta una delle seguenti regole, fare clic su Aggiungi.
In Consenti, inserire un segno di spunta nella casella accanto a con le attestazioni specifiche nella richiesta
Nella parte inferiore, selezionare il sottolineato specifico
Nella finestra che viene visualizzato, selezionare parametro specificato quando viene assegnato il criterio di controllo di accesso. Fare clic su OK.
Fare clic su OK. Fare clic su OK.
Procedura: creare un criterio di controllo di accesso personalizzata con un'eccezione
Per creare un controllo di accesso ai criteri con un'eccezione utilizzare la procedura seguente.
Per creare un criterio di controllo di accesso personalizzata con un'eccezione
Dalla gestione di ADFS a sinistra selezionare criteri di controllo di accesso e a destra fare clic su Aggiungi criteri di controllo di accesso.
Immettere un nome e una descrizione. Ad esempio: consentire agli utenti autenticati dispositivi ma non gestito.
In consentire l'accesso se viene soddisfatta una delle seguenti regole, fare clic su Aggiungi.
In Consenti, inserire un segno di spunta nella casella accanto a dai dispositivi con livello di attendibilità specifico
Nella parte inferiore, selezionare il sottolineato specifico
Nella finestra che viene visualizzato, selezionare autenticato dall'elenco a discesa. Fare clic su OK.
Nella casella except, inserire un segno di spunta nella casella accanto a dai dispositivi con livello di attendibilità specifico
Nella parte inferiore in eccetto, selezionare il sottolineato specifico
Nella finestra che viene visualizzato, selezionare gestito dall'elenco a discesa. Fare clic su OK.
Fare clic su OK. Fare clic su OK.
Procedura: creare un criterio di controllo di accesso personalizzate con più condizioni di licenza
Per creare un criterio di controllo di accesso con autorizzazione più condizioni di utilizzano la procedura seguente
Per creare un criterio di controllo di accesso con parametri
Dalla gestione di ADFS a sinistra selezionare criteri di controllo di accesso e a destra fare clic su Aggiungi criteri di controllo di accesso.
Immettere un nome e una descrizione. Ad esempio: consentire agli utenti con una determinata attestazione e dal gruppo specifico.
In consentire l'accesso se viene soddisfatta una delle seguenti regole, fare clic su Aggiungi.
In Consenti, inserire un segno di spunta nella casella accanto a da un gruppo specifico e con le attestazioni specifiche nella richiesta
Nella parte inferiore, selezionare il sottolineato specifico per la prima condizione, accanto a gruppi
Nella finestra che viene visualizzato, selezionare parametro specificato quando è assegnato il criterio. Fare clic su OK.
Nella parte inferiore, selezionare il sottolineato specifico per la seconda condizione, accanto a attestazioni
Nella finestra che viene visualizzato, selezionare parametro specificato quando viene assegnato il criterio di controllo di accesso. Fare clic su OK.
Fare clic su OK. Fare clic su OK.
Come assegnare un criterio di controllo di accesso a una nuova applicazione
L'assegnazione di un criterio di controllo di accesso a una nuova applicazione è piuttosto semplice e ora è stata integrata nella procedura guidata per l'aggiunta di un'applicazione relying Party. Da guidata attendibilità il componente è possibile selezionare i criteri di controllo di accesso che si desiderano assegnare. Questo è un requisito quando si crea un nuovo trust della relying party.
Come assegnare un criterio di controllo di accesso a un'applicazione esistente
L'assegnazione di un criterio di controllo di accesso a un'applicazione esistente semplicemente seleziona l'applicazione dalla Relying Party Trusts e fare clic destro su Modifica criteri di controllo di accesso.
Da qui è possibile selezionare i criteri di controllo di accesso e applicarla all'applicazione.