Zarządzanie ryzykiem za pomocą kontroli dostępu warunkowego
Kluczowe pojęcia — kontrola dostępu warunkowego w usługach AD FS
Ogólną funkcją usług AD FS jest wystawianie tokenu dostępu zawierającego zestaw oświadczeń. Decyzja dotycząca tego, które oświadczenia usługi AD FS akceptują, a następnie wydają, jest regulowana przez reguły oświadczeń.
Kontrola dostępu w AD FS jest realizowana za pomocą reguł autoryzacji żądań wystawiania, które służą do udzielania zezwoleń lub ich odmowy. Te reguły określają, czy użytkownik lub grupa użytkowników mogą uzyskać dostęp do zasobów zabezpieczonych przez AD FS. Reguły autoryzacji można ustawiać tylko na zaufaniach stron polegających.
| Opcja reguły | Logika reguły |
|---|---|
| Zezwalaj wszystkim użytkownikom | Jeśli przychodzący typ roszczenia jest równy dowolnemu typowi roszczenia, a wartość równa się dowolnej wartości, wtedy wydaj roszczenie z wartością równą Zezwól |
| Zezwól na dostęp użytkownikom posiadającym to przychodzące żądanie | Jeśli typ przychodzącego oświadczenia jest równy określonemu typowi oświadczenia, a wartość jest równa określonej wartości oświadczenia, to wydaj oświadczenie o wartości równej zezwolenie. |
| Odmowa dostępu dla użytkowników na podstawie tego przychodzącego roszczenia | Jeśli typ oświadczenia przychodzącego jest równy określony typ oświadczenia i wartość równa określona wartość oświadczenia, należy wydać oświadczenie o wartości równej Odmów |
Aby uzyskać więcej informacji na temat tych opcji reguł i logiki, zobacz Kiedy używać reguły oświadczeń autoryzacji.
W usługach AD FS w systemie Windows Server 2012 R2 kontrola dostępu jest rozszerzona o wiele czynników, w tym użytkowników, urządzeń, lokalizacji i danych uwierzytelniania. Jest to możliwe dzięki większej różnorodności typów roszczeń dostępnych dla reguł roszczeń autoryzacyjnych. Innymi słowy, w usługach AD FS w systemie Windows Server 2012 R2, można wymusić kontrolę dostępu warunkowego na podstawie tożsamości użytkownika lub członkostwa w grupie, lokalizacji sieciowej, urządzenia (czy jest zarejestrowane jako przyłączone do miejsca pracy. Aby uzyskać więcej informacji, zobacz Dołączanie do miejsca pracy z dowolnego urządzenia do logowania jednokrotnego i bezproblemowego uwierzytelniania dwuskładnikowego w aplikacjach firmy), oraz stanu uwierzytelniania (czy przeprowadzono uwierzytelnianie wieloskładnikowe (MFA)).
Kontrola dostępu warunkowego w usługach AD FS w systemie Windows Server 2012 R2 oferuje następujące korzyści:
Elastyczne i wyraziste zasady autoryzacji dla aplikacji, dzięki którym można zezwolić na dostęp lub go zablokować na podstawie użytkownika, urządzenia, lokalizacji sieciowej i stanu uwierzytelniania
Tworzenie reguł autoryzacji wystawiania dla aplikacji jednostki uzależnionej
Zaawansowane środowisko interfejsu użytkownika dla typowych scenariuszy kontroli dostępu warunkowego
Rozbudowany język oświadczeń i obsługa programu Windows PowerShell dla zaawansowanych scenariuszy kontroli dostępu warunkowego
Niestandardowe komunikaty „Odmowa dostępu” dla każdej aplikacji klienta zaufanego. Aby uzyskać więcej informacji, zobacz Dostosowywanie stron logowania usług AD FS. Dzięki możliwości dostosowywania tych komunikatów możesz wyjaśnić, dlaczego użytkownikowi odmówiono dostępu, a także ułatwiać samoobsługową korektę tam, gdzie jest to możliwe, na przykład zachęcać użytkowników do przyłączenia swoich urządzeń do miejsca pracy. Aby uzyskać więcej informacji, zobacz Dołączanie do miejsca pracy z dowolnego urządzenia na potrzeby logowania jednokrotnego i bezproblemowe uwierzytelnianie dwuskładnikowe w aplikacjach firmowych.
Poniższa tabela zawiera wszystkie typy oświadczeń dostępne w usługach AD FS w systemie Windows Server 2012 R2, które mają być używane do implementowania kontroli dostępu warunkowego.
| Typ oświadczenia | Opis |
|---|---|
| Adres e-mail | Adres e-mail użytkownika. |
| Imię | Podana nazwa użytkownika. |
| Nazwa | Unikatowa nazwa użytkownika, |
| UPN | Główna nazwa użytkownika (UPN) użytkownika. |
| Nazwa pospolita | Nazwa pospolita użytkownika. |
| Adres e-mail usług AD FS 1 x | Adres e-mail użytkownika podczas współdziałania z usługami AD FS 1.1 lub AD FS 1.0. |
| Grupa | Grupa, do której należy użytkownik. |
| AD FS 1 x UPN | Nazwa UPN użytkownika podczas współdziałania z usługami AD FS 1.1 lub AD FS 1.0. |
| Rola | Rola, którą ma użytkownik. |
| Nazwisko | Nazwisko użytkownika. |
| IDENTYFIKATOR PPID | Prywatny identyfikator użytkownika. |
| ID użytkownika | Nazwa identyfikatora SAML użytkownika. |
| Sygnatura czasowa uwierzytelniania | Służy do wyświetlania godziny i daty uwierzytelnienia użytkownika. |
| Metoda uwierzytelniania | Metoda używana do uwierzytelniania użytkownika. |
| Odmów identyfikator SID tylko dla grupy | Identyfikator SID grupy użytkownika oznaczonej jako tylko do odmowy. |
| Odmów tylko podstawowy SID | Podstawowy identyfikator SID użytkownika tylko odmowy. |
| Odmów tylko SID grupy podstawowej | Identyfikator SID grupy podstawowej użytkownika z atrybutem tylko odmowy. |
| Identyfikator SID grupy | Identyfikator SID grupy użytkownika. |
| Identyfikator SID grupy podstawowej | Identyfikator SID grupy podstawowej użytkownika. |
| Podstawowy identyfikator SID | Podstawowy identyfikator SID użytkownika. |
| Nazwa konta systemu Windows | Nazwa konta domeny użytkownika w postaci domeny\użytkownika. |
| Jest zarejestrowanym użytkownikiem | Użytkownik jest zarejestrowany do korzystania z tego urządzenia. |
| Identyfikator urządzenia | Identyfikator urządzenia. |
| Identyfikator rejestracji urządzenia | Identyfikator rejestracji urządzeń. |
| Nazwa wyświetlana dla rejestracji urządzenia | Nazwa wyświetlana dla rejestracji urządzenia. |
| Typ systemu operacyjnego urządzenia | Typ systemu operacyjnego urządzenia. |
| Wersja systemu operacyjnego urządzenia | Wersja systemu operacyjnego urządzenia. |
| Jest urządzeniem zarządzanym | Urządzenie jest zarządzane przez usługę zarządzania. |
| Przekazany adres IP klienta | Adres IP użytkownika. |
| Aplikacja kliencka | Typ aplikacji klienckiej. |
| Agent użytkownika klienta | Typ urządzenia używany przez klienta do uzyskiwania dostępu do aplikacji. |
| Adres IP klienta | Adres IP klienta. |
| Ścieżka punktu końcowego | Bezwzględna ścieżka punktu końcowego, która może być używana do rozróżniania klientów aktywnych od pasywnych. |
| Proxy | Nazwa DNS serwera proxy usługi federacyjnej, który przekazał żądanie. |
| Identyfikator aplikacji | Identyfikator jednostki uzależnionej. |
| Zasady aplikacji | Zasady aplikacji certyfikatu. |
| Identyfikator klucza urzędu certyfikacji | Rozszerzenie identyfikatora klucza autorytetu certyfikatu, który podpisał wystawiony certyfikat. |
| Ograniczenie podstawowe | Jedno z podstawowych ograniczeń certyfikatu. |
| Ulepszone użycie klucza | Opisuje jedno z ulepszonych zastosowań kluczy w certyfikacie. |
| Wystawca | Nazwa urzędu certyfikacji, który wystawił certyfikat X.509. |
| Nazwa wystawcy | Nazwa wyróżniająca wystawcy certyfikatu. |
| Użycie klucza | Jedno z kluczowych użyć certyfikatu. |
| Nie później niż | Data w czasie lokalnym, po której certyfikat nie jest już ważny. |
| Nie wcześniej | Data w czasie lokalnym, w której certyfikat staje się prawidłowy. |
| Zasady certyfikatów | Zasady, w ramach których wystawiono certyfikat. |
| Klucz publiczny | Klucz publiczny certyfikatu. |
| Nieprzetworzone dane certyfikatu | Nieprzetworzone dane certyfikatu. |
| Alternatywna nazwa tematu | Jedna z alternatywnych nazw certyfikatu. |
| Numer seryjny | Numer seryjny certyfikatu. |
| Algorytm podpisu | Algorytm używany do tworzenia podpisu certyfikatu. |
| Temat | Podmiot certyfikatu. |
| Identyfikator klucza podmiotu | Identyfikator klucza podmiotu certyfikatu. |
| Nazwa podmiotu | Nazwa wyróżniająca podmiotu w certyfikacie. |
| Nazwa szablonu V2 | Nazwa szablonu certyfikatu w wersji 2 używana do wystawiania lub odnawiania certyfikatu. Jest to wartość specyficzna dla firmy Microsoft. |
| Nazwa szablonu V1 | Nazwa szablonu certyfikatu w wersji 1 używana podczas wystawiania lub odnawiania certyfikatu. Jest to wartość specyficzna dla firmy Microsoft. |
| Odcisk palca | Odcisk palca certyfikatu. |
| Wersja X 509 | Wersja formatu X.509 certyfikatu. |
| Wewnątrz sieci firmowej | Służy do wskazywania, czy żądanie pochodzi z sieci firmowej. |
| Czas wygaśnięcia hasła | Służy do wyświetlania czasu wygaśnięcia hasła. |
| Dni wygaśnięcia hasła | Służy do wyświetlania liczby dni wygaśnięcia hasła. |
| Aktualizowanie adresu URL hasła | Służy do wyświetlania adresu internetowego usługi aktualizacji hasła. |
| Odwołania do metod uwierzytelniania | Służy do wskazywania wszystkich metod uwierzytelniania używanych do identyfikacji użytkownika. |
Zarządzanie ryzykiem za pomocą kontroli dostępu warunkowego
Korzystając z dostępnych ustawień, istnieje wiele sposobów zarządzania ryzykiem przez zaimplementowanie kontroli dostępu warunkowego.
Typowe scenariusze
Na przykład, wyobraź sobie prosty scenariusz wdrożenia kontroli dostępu warunkowego na podstawie danych członkostwa w grupie użytkownika dla określonej aplikacji (zaufania strony współpracującej). Innymi słowy, można skonfigurować regułę autoryzacji wydawania na serwerze federacyjnym, aby umożliwić użytkownikom należącym do określonej grupy w domenie AD dostęp do aplikacji zabezpieczonej przez AD FS. Szczegółowe instrukcje krok po kroku (przy użyciu interfejsu użytkownika i programu Windows PowerShell) dotyczące implementacji tego scenariusza zostały zawarte w przewodniku: zarządzanie dostępem warunkowym w celu minimalizacji ryzyka. Aby wykonać kroki opisane w tym przewodniku, należy skonfigurować środowisko laboratoryjne i wykonać kroki opisane w temacie Konfigurowanie środowiska laboratoryjnego dla usług AD FS w systemie Windows Server 2012 R2.
Scenariusze zaawansowane
Inne przykłady implementowania kontroli dostępu warunkowego w usługach AD FS w systemie Windows Server 2012 R2 obejmują następujące elementy:
Zezwalanie na dostęp do aplikacji zabezpieczonej przez usługi AD FS tylko wtedy, gdy tożsamość tego użytkownika została zweryfikowana za pomocą uwierzytelniania wieloskładnikowego
Możesz użyć następującego kodu:
@RuleTemplate = "Authorization" @RuleName = "PermitAccessWithMFA" c:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)https://schemas\.microsoft\.com/claims/multipleauthn$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");Zezwól na dostęp do aplikacji zabezpieczonej przez usługi AD FS tylko wtedy, gdy żądanie dostępu pochodzi z urządzenia przyłączonego do miejsca pracy zarejestrowanego dla użytkownika
Możesz użyć następującego kodu:
@RuleTemplate = "Authorization" @RuleName = "PermitAccessFromRegisteredWorkplaceJoinedDevice" c:[Type == "https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value =~ "^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");Zezwalaj na dostęp do aplikacji zabezpieczonej przez usługi AD FS tylko wtedy, gdy żądanie dostępu pochodzi z urządzenia przyłączonego do miejsca pracy zarejestrowanego dla użytkownika, którego tożsamość została zweryfikowana za pomocą uwierzytelniania wieloskładnikowego
Możesz użyć następującego kodu
@RuleTemplate = "Authorization" @RuleName = "RequireMFAOnRegisteredWorkplaceJoinedDevice" c1:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$"] && c2:[Type == "https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value =~ "^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");Zezwalaj na dostęp ekstranetu do aplikacji zabezpieczonej przez usługi AD FS tylko wtedy, gdy żądanie dostępu pochodzi od użytkownika, którego tożsamość została zweryfikowana za pomocą uwierzytelniania wieloskładnikowego.
Możesz użyć następującego kodu:
@RuleTemplate = "Authorization" @RuleName = "RequireMFAForExtranetAccess" c1:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$"] && c2:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value =~ "^(?i)false$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");
Zobacz też
Przewodnik po przewodniku: zarządzanie ryzykiem za pomocą kontroli dostępu warunkowegoKonfigurowanie środowiska laboratoryjnego usług AD FS w systemie Windows Server 2012 R2