Condividi tramite

Creare una regola per concedere o rifiutare l'accesso agli utenti in base a un'attestazione in ingresso

In Windows Server 2016, è possibile utilizzare un criterio di controllo di accesso per creare una regola che conceda o neghi l'accesso agli utenti in base a un'attestazione in ingresso. In Windows Server 2012 R2, utilizzando il modello di regola Concedi o rifiuta l'accesso agli utenti in base a un'attestazione in ingresso in Active Directory Federation Services (AD FS), è possibile creare una regola di autorizzazione che conceda o neghi l'accesso agli utenti alla relying party in base al tipo e al valore di un'attestazione in ingresso.

Ad esempio, è possibile utilizzare per creare una regola che consente solo agli utenti che dispongono di un gruppo di un'attestazione con un valore del gruppo Domain Admins per accedere alla relying party. Se si desidera consentire tutti gli utenti di accedere alla relying party, usare il consentire Everyone criteri di controllo di accesso o consentire tutti gli utenti il modello di regola a seconda della versione di Windows Server. Agli utenti che hanno ricevuto l'autorizzazione di accesso alla relying parti da parte del Servizio federativo potrebbe comunque essere negato l'accesso dalla stessa relying party.

È possibile utilizzare la procedura seguente per creare una regola attestazioni con lo snap-in di gestione di AD FS.

L'appartenenza al gruppo Administrators, o a un gruppo equivalente, nel computer locale è il requisito minimo per eseguire questa procedura. Informazioni dettagliate sull'utilizzo degli account appropriati e appartenenze dominio gruppi predefiniti locali e.

Per creare una regola per consentire agli utenti in base a un'attestazione in ingresso in Windows Server 2016

  1. In Server Manager, fare clic su strumenti, quindi selezionare Gestione ADFS.

  2. Nell'albero della console, in ADFS, fare clic su criteri di controllo di accesso. Screenshot that highlights Access Control Policies in the console tree.

  3. Pulsante destro del mouse e selezionare aggiungere criteri di controllo di accesso. Screenshot that highlights the Add Access Control Policy menu option.

  4. Nella casella Nome immettere un nome per il criterio, una descrizione e fare clic su Aggiungi. Screenshot that shows where to add an Access Control Policy when you create a rule to permit users based on an incoming claim on Windows Server 2016.

  5. Nel Editor delle regole, sotto gli utenti, inserire un segno di spunta con le attestazioni specifiche nella richiesta e fare clic sul sottolineato specifico nella parte inferiore. Screenshot that highlights where to select the underlined specific.

  6. Nel Selezionare attestazioni schermata, fare clic sul attestazioni pulsante di opzione, selezionare il tipo di attestazione, il operatore, e il valore dell'attestazione quindi fare clic su Ok. Screenshot that shows where to select the Claims option.

  7. Nel Editor delle regole fare clic su Ok. Nel aggiungere criteri di controllo di accesso schermata, fare clic su Ok.

  8. Nel di gestione di ADFS albero della console in ADFS, fare clic su attendibilità. Screenshot that shows where to select Relying Party Trusts.

  9. Pulsante destro del mouse il Trust della Relying Party che si desidera consentire l'accesso a e selezionare Modifica criteri di controllo di accesso. Screenshot that shows where to select the Edit Access Control Policy menu option.

  10. Nei criteri di controllo di accesso, selezionare i criteri e quindi fare clic su Applica e Ok. Screenshot that shows where to select Apply and OK.

Per creare una regola per negare agli utenti in base a un'attestazione in ingresso in Windows Server 2016

  1. In Server Manager, fare clic su strumenti, quindi selezionare Gestione ADFS.

  2. Nell'albero della console, in ADFS, fare clic su criteri di controllo di accesso. Screenshot that shows where to select Access Control Policies.

  3. Pulsante destro del mouse e selezionare aggiungere criteri di controllo di accesso. Screenshot that shows where to add an Access Control Policy.

  4. Nella casella Nome immettere un nome per il criterio, una descrizione e fare clic su Aggiungi. Screenshot that shows where to enter a name for your policy.

  5. Nel Editor delle regole, assicurarsi che tutti gli utenti sia selezionato e in tranne inserire un segno di spunta con le attestazioni specifiche nella richiesta e fare clic sul sottolineato specifico nella parte inferiore. Screenshot that shows where to make sure that the everyone option is selected.

  6. Nel Selezionare attestazioni schermata, fare clic sul attestazioni pulsante di opzione, selezionare il tipo di attestazione, il operatore, e il valore dell'attestazione quindi fare clic su Ok. Screenshot that shows the Select Claims screen.

  7. Nel Editor delle regole fare clic su Ok. Nel aggiungere criteri di controllo di accesso schermata, fare clic su Ok.

  8. Nel di gestione di ADFS albero della console in ADFS, fare clic su attendibilità. create rule

  9. Pulsante destro del mouse il Trust della Relying Party che si desidera consentire l'accesso a e selezionare Modifica criteri di controllo di accesso. Screenshot that shows where to right-click Relying Party Trust to access the Edit Access Control Policy menu option.

  10. Nei criteri di controllo di accesso, selezionare i criteri e quindi fare clic su Applica e Ok. Screenshot that shows how go apply the changes to the Access Control Policy.

Per creare una regola per consentire o negare agli utenti in base a un'attestazione in ingresso in Windows Server 2012 R2

  1. In Server Manager, fare clic su strumenti, quindi selezionare Gestione ADFS.

  2. Nella struttura della console, in AD FS\Relazioni di trust\Trust relying party, fare clic su un trust specifico nell'elenco in cui si desidera creare questa regola.

  3. Fare clic con il tasto destro del mouse sul trust selezionato,quindi fare clic su Modifica regole attestazioni. Screenshot that shows the Edit Claim Rules menu option.

  4. Nella finestra di dialogo Modifica regole attestazioni, fare clic sulla scheda Regole di autorizzazione rilascio o sulla scheda Regole di autorizzazione di delega (in base al tipo di regola autorizzazioni richiesta) e quindi fare clic su Aggiungi regola per avviare la procedura guidata Aggiungi regola attestazioni autorizzazione. Screenshot that shows how to start the Add Authorization Claim Rule Wizard.

  5. Nel Seleziona modello di regola nella pagina modello di regola attestazione, selezionare consentire o negare agli utenti in base a un'attestazione in ingresso dall'elenco, quindi fare clic su Avanti. Screenshot that shows where to select the Permit or Deny Users Based on an Incoming Claim template.

  6. Alla pagina Configurare regola, in Nome regola attestazione, digitare il nome visualizzato per questa regola, in Tipo di attestazione in entrata, selezionare un tipo di attestazione nell'elenco, in Valore attestazione in ingresso digitare un valore o fare clic su Sfoglia (se disponibile) e selezionare un valore, quindi selezionare una delle opzioni seguenti, a seconda delle esigenze dell'organizzazione:

    • Consentire accesso agli utenti con questa attestazione in ingresso

    • Negare l'accesso agli utenti con questa attestazione in ingressoScreenshot that shows where to select the incoming claim type.

  7. Fare clic su Fine.

  8. Nel Modifica regole attestazione la finestra di dialogo, fare clic su OK per salvare la regola.

Altri riferimenti

Configurare le regole delle attestazioni

Elenco di controllo: Creazione di regole attestazioni per un trust della relying party

Quando usare una regola attestazioni di autorizzazione

Ruolo delle attestazioni

Ruolo delle regole delle attestazioni