Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Możesz użyć tej reguły w usługach Active Directory Federation Services (AD FS), gdy trzeba przyjąć typ przychodzącego roszczenia, a następnie zastosować akcję, która określi, czy użytkownik otrzyma dostęp lub zostanie mu odmówiony, w oparciu o zdefiniowaną w regule wartość. Jeśli używasz tej reguły, przekazujesz lub przekształcasz oświadczenia zgodne z następującą logiką reguły na podstawie jednej z opcji skonfigurowanych w regule:
| Opcja reguły | Logika reguły |
|---|---|
| Zezwalaj wszystkim użytkownikom | Jeśli przychodzący typ roszczenia jest równy dowolnemu typowi roszczenia, a wartość równa się dowolnej wartości, wtedy wydaj roszczenie z wartością równą Zezwól |
| Zezwól na dostęp użytkownikom posiadającym to przychodzące żądanie | Jeśli typ przychodzącego oświadczenia jest równy określonemu typowi oświadczenia, a wartość jest równa określonej wartości oświadczenia, to wydaj oświadczenie o wartości równej zezwolenie. |
| Odmowa dostępu dla użytkowników na podstawie tego przychodzącego roszczenia | Jeśli typ oświadczenia przychodzącego jest równy określony typ oświadczenia i wartość równa określona wartość oświadczenia, należy wydać oświadczenie o wartości równej Odmów |
W poniższych sekcjach przedstawiono podstawowe wprowadzenie do reguł oświadczeń i szczegółowe informacje o tym, kiedy należy używać tej reguły.
Informacje o regułach oświadczeń
Reguła oświadczenia reprezentuje wystąpienie logiki biznesowej, które będzie przyjmować oświadczenie przychodzące, zastosuje do niego warunek (jeśli x to y) i utworzy oświadczenie wychodzące na podstawie parametrów warunku. Poniższa lista zawiera ważne wskazówki, które warto znać dotyczące zasad roszczeń przed przeczytaniem niniejszego tematu:
W przystawce Zarządzanie usługami AD FS reguły oświadczeń można tworzyć wyłącznie za pomocą szablonów reguł oświadczeń.
Reguły oświadczeń przetwarzają oświadczenia przychodzące bezpośrednio od dostawcy oświadczeń (takiego jak Active Directory lub inna usługa federacyjna) albo z wyników reguł transformacji akceptacji w zaufaniu dostawcy oświadczeń.
Reguły oświadczeń są przetwarzane przez aparat wystawiania oświadczeń w kolejności chronologicznej w ramach danego zestawu reguł. Ustawiając pierwszeństwo dla reguł, można dodatkowo uściślić lub filtrować oświadczenia generowane przez poprzednie reguły w ramach danego zestawu reguł.
Szablony reguł oświadczeń zawsze będą wymagać określenia typu oświadczenia przychodzącego. Można jednak przetworzyć wiele wartości oświadczeń o tym samym typie oświadczenia przy użyciu jednej reguły.
Aby uzyskać bardziej szczegółowe informacje na temat reguł oświadczeń i zestawów reguł oświadczeń, zobacz Rola reguł oświadczeń. Aby uzyskać więcej informacji na temat przetwarzania reguł, zobacz Funkcja silnika roszczeń. Aby uzyskać więcej informacji na temat sposobu przetwarzania zestawów reguł roszczeń, zobacz Rola potoku roszczeń.
Zezwalaj wszystkim użytkownikom
Jeśli używasz szablonu reguły Zezwalaj wszystkim użytkownikom, wszyscy użytkownicy będą mieli dostęp do strony zaufanej. Można jednak użyć dodatkowych reguł autoryzacji, aby jeszcze bardziej ograniczyć dostęp. Jeśli jedna reguła zezwala użytkownikowi na dostęp do jednostki uzależnionej, a druga reguła odmawia użytkownikowi dostępu do jednostki uzależnionej, wynik odmowy zastępuje wynik zezwolenia, a użytkownik odmówi dostępu.
Użytkownicy, którzy mają dozwolony dostęp do jednostki uzależnionej z usługi federacyjnej, mogą nadal być odrzucani przez jednostkę uzależnioną.
Zezwól na dostęp użytkownikom posiadającym to przychodzące żądanie
Jeśli używasz szablonu reguły Zezwalaj lub Odrzucaj użytkowników na podstawie przychodzącego roszczenia, aby utworzyć regułę i ustawić warunek na zezwolenie, możesz zezwolić na dostęp określonemu użytkownikowi do zaufanej strony w oparciu o typ i wartość przychodzącego roszczenia. Na przykład można użyć tego szablonu reguły, aby utworzyć regułę, która będzie zezwalać tylko tym użytkownikom, którzy mają roszczenie grupowe z wartością Administratorzy domeny. Jeśli jedna reguła zezwala użytkownikowi na dostęp do jednostki uzależnionej, a druga reguła odmawia użytkownikowi dostępu do jednostki uzależnionej, wynik odmowy zastępuje wynik zezwolenia, a użytkownik odmówi dostępu.
Użytkownicy, którzy mogą uzyskać dostęp do jednostki uzależnionej z usługi federacyjnej, mogą nadal być odrzucani przez jednostkę uzależnioną. Jeśli chcesz zezwolić wszystkim użytkownikom na dostęp do strony opartej na zaufaniu, użyj szablonu reguły 'Zezwalaj wszystkim użytkownikom'.
Odmowa dostępu dla użytkowników na podstawie tego przychodzącego roszczenia
Jeśli używasz szablonu reguły Zezwalaj lub Odrzucaj użytkowników na podstawie przychodzącego oświadczenia, aby utworzyć regułę i ustawić warunek odmowy, możesz odmówić użytkownikowi dostępu do zaufanej strony na podstawie typu i wartości przychodzącego oświadczenia. Na przykład, możesz użyć tego szablonu reguły, aby utworzyć regułę, która będzie zabraniać wszystkim użytkownikom, którzy mają przypisanie do grupy o wartości "Użytkownicy domeny".
Jeśli chcesz użyć warunku odmowy, ale również włączyć dostęp do jednostki uzależnionej dla określonych użytkowników, musisz później jawnie dodać reguły autoryzacji z warunkiem zezwolenia, aby umożliwić tym użytkownikom dostęp do jednostki uzależnionej.
Jeśli użytkownikowi odmówiono dostępu, gdy aparat wystawiania oświadczeń przetwarza zestaw reguł, przetwarzanie dalszych reguł zostaje przerwane, a usługa AD FS zwraca błąd "Odmowa dostępu" do żądania użytkownika.
Autoryzowanie użytkowników
W usługach AD FS reguły autoryzacji są używane do wystawiania oświadczenia zezwolenia lub odmowy, które określi, czy użytkownik lub grupa użytkowników (w zależności od używanego typu oświadczenia) będzie mógł uzyskać dostęp do zasobów sieci Web w danej jednostki uzależnionej, czy nie. Reguły autoryzacji można ustawiać tylko na zaufaniach stron polegających.
Zestawy reguł autoryzacji
Istnieją różne zestawy reguł autoryzacji w zależności od typu operacji zezwolenia lub odmowy, które należy skonfigurować. Te zestawy reguł obejmują:
Zasady Autoryzacji Wystawiania: Te zasady określają, czy użytkownik może odbierać żądania dla strony ufającej, a tym samym mieć dostęp do strony ufającej.
reguły autoryzacji delegowania: te reguły określają, czy użytkownik może działać jako inny użytkownik jednostki uzależnionej. Gdy użytkownik pełni rolę innego użytkownika, oświadczenia dotyczące żądanego użytkownika są nadal umieszczane w tokenie.
Reguły autoryzacji personifikacji: Te reguły określają, czy użytkownik może w pełni udawać innego użytkownika przed stroną odwołującą się. Personifikacja innego użytkownika to bardzo zaawansowana funkcja, ponieważ jednostka uzależniona nie będzie wiedziała, że użytkownik jest personifikowany.
Aby uzyskać więcej informacji na temat sposobu dopasowania procesu reguły autoryzacji do potoku wystawiania oświadczeń, zobacz Rola aparatu wystawiania oświadczeń.
Obsługiwane typy oświadczeń
Usługi AD FS definiują dwa rodzaje roszczeń, które służą do określenia, czy użytkownik ma pozwolenie, czy jest odrzucony. Te identyfikatory jednolitych zasobów (URI) typu roszczenia są następujące:
Pozwolenie: http://schemas.microsoft.com/authorization/claims/permit
odmowa: http://schemas.microsoft.com/authorization/claims/deny
Jak utworzyć tę regułę
Można tworzyć reguły autoryzacji, korzystając z języka reguł oświadczeń albo z szablonów reguł, takich jak Zezwalaj wszystkim użytkownikom lub Zezwalaj lub odmawiaj użytkownikom na podstawie przychodzącego oświadczenia, w przystawce zarządzania usługami AD FS. Szablon reguły Zezwalaj wszystkim użytkownikom nie udostępnia żadnych opcji konfiguracji. Jednak szablon reguły Zezwalaj lub Odmawiaj użytkownikom na podstawie oświadczenia przychodzącego udostępnia następujące opcje konfiguracji:
Podaj nazwę reguły oświadczenia
Wskaż typ przychodzącego roszczenia
Wpisz wartość roszczenia przychodzącego
Zezwól na dostęp użytkownikom posiadającym to przychodzące żądanie
Odmowa dostępu dla użytkowników na podstawie tego przychodzącego roszczenia
Aby uzyskać więcej instrukcji dotyczących tworzenia tego szablonu, zobacz Utwórz regułę, aby zezwolić wszystkim użytkownikom lub Utwórz regułę, aby zezwolić lub odmówić użytkownikom w oparciu o przychodzące roszczenie w przewodniku wdrażania AD FS.
Korzystanie z języka reguł oświadczeń
Jeśli oświadczenie powinno być wysyłane tylko wtedy, gdy wartość oświadczenia jest zgodna ze wzorcem niestandardowym, należy użyć reguły niestandardowej. Aby uzyskać więcej informacji, zobacz Kiedy używać niestandardowej reguły roszczeń.
Przykład tworzenia reguły autoryzacji na podstawie wielu oświadczeń
W przypadku używania składni języka reguł oświadczeń do autoryzowania oświadczeń oświadczenie może być również wystawiane na podstawie obecności wielu oświadczeń w oryginalnych oświadczeniach użytkownika. Poniższa reguła wystawia oświadczenie autoryzacji tylko wtedy, gdy użytkownik jest członkiem edytorów grup i uwierzytelnił się przy użyciu uwierzytelniania systemu Windows:
[type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod",
value == "urn:federation:authentication:windows" ]
&& [type == "http://schemas.xmlsoap.org/claims/Group ", value == "editors"]
=> issue(type = "http://schemas.xmlsoap.org/claims/authZ", value = "Granted");
Przykład tworzenia reguł autoryzacji, które delegują, kto może tworzyć lub usuwać relacje zaufania serwera proxy usługi federacyjnej
Aby usługa federacyjna mogła użyć federacyjnego serwera proxy do przekierowywania żądań klientów, należy najpierw ustanowić relację zaufania między usługą federacyjną a komputerem proxy serwera federacyjnego. Domyślnie zaufanie serwera proxy jest ustanawiane, gdy jedno z następujących poświadczeń zostanie pomyślnie podane w Kreatorze konfiguracji serwera proxy federacyjnego usług AD FS.
Konto usługi, używane przez usługę federacyjną, które będzie chronione przez proxy.
Konto domenowe usługi Active Directory, które jest członkiem lokalnej grupy Administratorzy na wszystkich serwerach federacyjnych w farmie serwerów federacyjnych
Jeśli chcesz określić, który użytkownik lub użytkownicy mogą utworzyć zaufanie serwera proxy dla danej usługi federacyjnej, możesz użyć dowolnej z następujących metod delegowania. Ta lista metod jest uporządkowana według priorytetów, na podstawie zaleceń zespołu produktu AD FS o najbezpieczniejszych i najmniej kłopotliwych metodach delegowania. W zależności od potrzeb organizacji należy użyć tylko jednej z tych metod:
Utwórz grupę zabezpieczeń domeny w usłudze Active Directory (na przykład FSProxyTrustCreators), dodaj tę grupę do lokalnej grupy Administratorzy na każdym z serwerów federacyjnych w farmie, a następnie dodaj tylko konta użytkowników, do których chcesz delegować to prawo do nowej grupy. Jest to preferowana metoda.
Dodaj konto domeny użytkownika do grupy administratorów na każdym z serwerów federacyjnych w farmie.
Jeśli z jakiegoś powodu nie można użyć żadnej z tych metod, możesz również utworzyć regułę autoryzacji w tym celu. Chociaż nie jest to zalecane — ze względu na możliwe komplikacje, które mogą wystąpić, jeśli ta reguła nie jest poprawnie napisana — można użyć niestandardowej reguły autoryzacji, aby delegować, które konta użytkowników domeny usługi Active Directory mogą również tworzyć lub nawet usuwać relacje zaufania między wszystkimi serwerami proxy serwera federacyjnego, które są skojarzone z daną usługą federacyjną.
Jeśli wybierzesz metodę 3, możesz użyć następującej składni reguły, aby wydać oświadczenie autoryzacji, które umożliwi określonemu użytkownikowi (w tym przypadku contoso\frankm) tworzenie relacji zaufania dla co najmniej jednego serwera proxy serwera federacyjnego do usługi federacyjnej. Tę regułę należy zastosować przy użyciu polecenia programu Windows PowerShell Set-ADFSProperties AddProxyAuthorizationRules.
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", issuer=~"^AD AUTHORITY$" value == "contoso\frankm" ] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "true") exists([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == "S-1-5-32-544", Issuer =~ "^AD AUTHORITY$"]) => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "true"); c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid", Issuer =~ "^AD AUTHORITY$" ] => issue(store="_ProxyCredentialStore",types=("https://schemas.microsoft.com/authorization/claims/permit"),query="isProxyTrustManagerSid({0})", param= c.Value ); c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/proxytrustid", Issuer =~ "^SELF AUTHORITY$" ] => issue(store="_ProxyCredentialStore",types=("https://schemas.microsoft.com/authorization/claims/permit"),query="isProxyTrustProvisioned({0})", param=c.Value );Później, jeśli chcesz usunąć użytkownika, aby użytkownik nie mógł już tworzyć relacji zaufania serwera proxy, możesz przywrócić domyślną regułę autoryzacji zaufania serwera proxy, aby usunąć prawo użytkownika do tworzenia relacji zaufania serwera proxy dla usługi federacyjnej. Należy również zastosować tę regułę przy użyciu polecenia programu Windows PowerShell Set-ADFSProperties AddProxyAuthorizationRules.
exists([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == "S-1-5-32-544", Issuer =~ "^AD AUTHORITY$"]) => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "true"); c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid", Issuer =~ "^AD AUTHORITY$" ] => issue(store="_ProxyCredentialStore",types=("https://schemas.microsoft.com/authorization/claims/permit"),query="isProxyTrustManagerSid({0})", param= c.Value ); c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/proxytrustid", Issuer =~ "^SELF AUTHORITY$" ] => issue(store="_ProxyCredentialStore",types=("https://schemas.microsoft.com/authorization/claims/permit"),query="isProxyTrustProvisioned({0})", param=c.Value );
Aby uzyskać więcej informacji na temat używania języka reguł oświadczeń, zobacz Rola języka reguł oświadczeń.