Stapsgewijze handleiding: Risico's beheren met voorwaardelijk toegangsbeheer

Over deze handleiding

Deze procedure bevat instructies voor het beheren van risico's met een van de factoren (gebruikersgegevens) die beschikbaar zijn via het mechanisme voor voorwaardelijke toegangsbeheer in Active Directory Federation Services (AD FS) in Windows Server 2012 R2. Zie voor meer informatie over voorwaardelijke toegangsbeheer en autorisatiemechanismen in AD FS in Windows Server 2012 R2 Risico beheren met voorwaardelijke toegangsbeheer.

Deze handleiding bestaat uit de volgende secties:

• stap 1: de testomgeving instellen

• stap 2: het standaardmechanisme voor AD FS-toegangsbeheer controleren

• stap 3: beleid voor voorwaardelijk toegangsbeheer configureren op basis van gebruikersgegevens

• stap 4: Het mechanisme voor voorwaardelijk toegangsbeheer controleren

Stap 1: De testomgeving instellen

Als u deze procedure wilt voltooien, hebt u een omgeving nodig die uit de volgende onderdelen bestaat:

• Een Active Directory-domein met een testgebruiker en groepsaccounts, uitgevoerd op Windows Server 2008, Windows Server 2008 R2 of Windows Server 2012 met het schema bijgewerkt naar Windows Server 2012 R2 of een Active Directory-domein dat wordt uitgevoerd op Windows Server 2012 R2

• Een federatieserver die wordt uitgevoerd op Windows Server 2012 R2

• Een webserver die als host fungeert voor uw voorbeeldtoepassing

• Een clientcomputer van waaruit u toegang hebt tot de voorbeeldtoepassing

Waarschuwing

Het wordt ten zeerste aanbevolen (zowel in productie- als testomgevingen) dat u niet dezelfde computer gebruikt als uw federatieserver en uw webserver.

In deze omgeving geeft de federatieserver de claims uit die vereist zijn, zodat gebruikers toegang hebben tot de voorbeeldtoepassing. De webserver fungeert als host voor een voorbeeldtoepassing die de gebruikers vertrouwt die de claims presenteren die door de federatieserver worden opgegeven.

Zie De testomgeving instellen voor AD FS in Windows Server 2012 R2voor instructies over het instellen van deze omgeving.

Stap 2: het standaardmechanisme voor AD FS-toegangsbeheer controleren

In deze stap controleert u het standaardmechanisme voor AD FS-toegangsbeheer, waarbij de gebruiker wordt omgeleid naar de aanmeldingspagina van AD FS, geldige referenties biedt en toegang krijgt tot de toepassing. U kunt het Robert Hatley AD-account en de claimapp voorbeeldtoepassing die u hebt geconfigureerd in de testomgeving voor AD FS instellen in Windows Server 2012 R2.

Het standaardmechanisme voor AD FS-toegangsbeheer controleren

1. Open op uw clientcomputer een browservenster en navigeer naar uw voorbeeldtoepassing: https://webserv1.contoso.com/claimapp.

   Met deze actie wordt de aanvraag automatisch omgeleid naar de federatieserver en wordt u gevraagd u aan te melden met een gebruikersnaam en wachtwoord.

2. Typ de referenties van het Robert Hatley AD-account dat u hebt gemaakt in De testomgeving voor AD FS instellen in Windows Server 2012 R2.

   U krijgt toegang tot de toepassing.

Stap 3: Beleid voor voorwaardelijke toegangsbeheer configureren op basis van gebruikersgegevens

In deze stap stelt u een toegangsbeheerbeleid in op basis van de lidmaatschapsgegevens van de gebruikersgroep. Met andere woorden, u configureert een uitgifteautorisatieregel op uw federatieserver voor een relying party-vertrouwensrelatie die uw voorbeeldtoepassing vertegenwoordigt- claimapp. Volgens de logica van deze regel worden Robert Hatley AD-gebruiker claims uitgegeven die vereist zijn voor toegang tot deze toepassing omdat hij deel uitmaakt van een Finance-groep. U hebt het Robert Hatley--account toegevoegd aan de groep Finance in De testomgeving voor AD FS instellen in Windows Server 2012 R2.

U kunt deze taak voltooien met de AD FS-beheerconsole of via Windows PowerShell.

Beleid voor voorwaardelijke toegangsbeheer configureren op basis van gebruikersgegevens via de AD FS-beheerconsole

1. Navigeer in de AD FS-beheerconsole naar vertrouwensrelatiesen vertrouwensrelaties van vertrouwende partijen.

2. Selecteer de vertrouwensrelatie die uw voorbeeldtoepassing vertegenwoordigt (claimapp), en selecteer vervolgens in het paneel Acties of door met de rechtermuisknop op deze vertrouwensrelatie te klikken Claimregels bewerken.

3. In het venster Claimregels bewerken voor claimapp, selecteer het tabblad Uitgifteautorisatieregels en klik op Regel toevoegen.

4. Selecteer in de wizard Claimregel voor uitgifteautorisatie toevoegenop de pagina Regelsjabloon selecterende optie Gebruikers toestaan of weigeren op basis van een binnenkomende claim claimregelsjabloon en klik vervolgens op Volgende.

5. Voer op de pagina Regel configureren alle volgende handelingen uit en klik vervolgens op Finish.

   1. Voer een naam in voor de claimregel, bijvoorbeeld TestRule.

   2. Selecteer groeps-SID als binnenkomende claimtype.

   3. Klik op Bladeren, typ Finance als de naam van uw AD-testgroep en los deze op in het veld voor binnenkomende claimwaarde.

   4. Selecteer de optie Weiger toegang voor gebruikers met deze binnenkomende claim.

6. Zorg ervoor dat u in het venster Claimregels bewerken voor claimapp- de regel Toegang tot alle gebruikers toestaan die standaard is gemaakt bij het maken van deze relying party-vertrouwensrelatie, verwijdert.

Beleid voor voorwaardelijke toegangscontrole configureren op basis van gebruikersgegevens via Windows PowerShell

1. Open op uw federatieserver het windows PowerShell-opdrachtvenster en voer de volgende opdracht uit:

$rp = Get-AdfsRelyingPartyTrust -Name claimapp

2. Voer in hetzelfde Windows PowerShell-opdrachtvenster de volgende opdracht uit:

$GroupAuthzRule = '@RuleTemplate = "Authorization" @RuleName = "Foo" c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value =~ "^(?i)<group_SID>$"] =>issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = "DenyUsersWithClaim");'
Set-AdfsRelyingPartyTrust -TargetRelyingParty $rp -IssuanceAuthorizationRules $GroupAuthzRule

Notitie

Zorg ervoor dat u <group_SID> vervangt door de waarde van de SID van uw AD Finance-groep.

Stap 4: Het mechanisme voor voorwaardelijke toegangsbeheer controleren

In deze stap controleert u het beleid voor voorwaardelijke toegangsbeheer dat u in de vorige stap hebt ingesteld. U kunt de volgende procedure gebruiken om te controleren of Robert Hatley AD-gebruiker toegang heeft tot uw voorbeeldtoepassing omdat hij behoort tot de Finance-groep en AD-gebruikers die geen deel uitmaken van de Finance-groep, geen toegang hebben tot de voorbeeldtoepassing.

1. Open een browservenster op uw clientcomputer en navigeer naar uw voorbeeldtoepassing: https://webserv1.contoso.com/claimapp

   Met deze actie wordt de aanvraag automatisch omgeleid naar de federatieserver en wordt u gevraagd u aan te melden met een gebruikersnaam en wachtwoord.

2. Typ de referenties van het Robert Hatley AD-account dat u hebt gemaakt in De testomgeving voor AD FS instellen in Windows Server 2012 R2.

   U krijgt toegang tot de toepassing.

3. Typ de referenties van een andere AD-gebruiker die niet deel uitmaakt van de groep Finance. (Zie https://technet.microsoft.com/library/cc7833232.aspxvoor meer informatie over het maken van gebruikersaccounts in AD.

   Op dit moment wordt vanwege het toegangsbeheerbeleid dat u in de vorige stap hebt ingesteld, een bericht 'toegang geweigerd' weergegeven voor deze AD-gebruiker die niet tot de groep Finance behoort. De standaardberichttekst is U bent niet gemachtigd om toegang te krijgen tot deze site. Klik hier om u af te melden en opnieuw aan te melden of neem contact op met uw beheerder voor machtigingen. Deze tekst kan echter volledig worden aangepast. Zie De ad FS-aanmeldingspagina's aanpassenvoor meer informatie over het aanpassen van de aanmeldingservaring.

Zie ook

Risico's beheren met voorwaardelijke toegangsbeheerde testomgeving voor AD FS instellen in Windows Server 2012 R2