Políticas de Controle de Acesso no AD FS do Windows Server 2016
Modelos de Política de Controlo de Acesso no AD FS
Os Serviços de Federação do Ative Directory agora oferecem suporte ao uso de modelos de política de controle de acesso. Usando modelos de política de controle de acesso, um administrador pode impor configurações de política atribuindo o modelo de política a um grupo de partes confiáveis (RPs). O administrador também pode fazer atualizações no modelo de política e as alterações serão aplicadas às partes confiáveis automaticamente se não houver interação do usuário necessária.
O que são Modelos de Política de Controle de Acesso?
O pipeline principal do AD FS para processamento de políticas tem três fases: autenticação, autorização e emissão de declaração. Atualmente, os administradores do AD FS precisam configurar uma política para cada uma dessas fases separadamente. Isto implica também compreender as implicações destas políticas e se estas políticas têm interdependência. Além disso, os administradores precisam entender a linguagem da regra de declaração e criar regras personalizadas para habilitar alguma política simples/comum (por exemplo, bloquear acesso externo).
O que os modelos de política de controle de acesso fazem é substituir esse modelo antigo em que os administradores precisam configurar as Regras de Autorização de Emissão usando a linguagem de declarações. Os cmdlets antigos do PowerShell para as regras de autorização de emissão ainda se aplicam, mas não são compatíveis com o novo modelo. Os administradores podem optar por usar o novo modelo ou o modelo antigo. O novo modelo permite que os administradores controlem quando conceder acesso, incluindo a imposição de autenticação multifator.
Os modelos de política de controle de acesso usam um modelo de permissão. Isso significa que, por padrão, ninguém tem acesso e esse acesso deve ser explicitamente concedido. No entanto, não se trata apenas de uma autorização de tudo ou nada. Os administradores podem adicionar exceções à regra de permissão. Por exemplo, um administrador pode querer conceder acesso com base em uma rede específica, selecionando esta opção e especificando o intervalo de endereços IP. Mas o administrador pode adicionar e exceção, por exemplo, o administrador pode adicionar uma exceção de uma rede específica e especificar esse intervalo de endereços IP.
Modelos de política de controle de acesso integrados versus modelos de política de controle de acesso personalizados
O AD FS inclui vários modelos de política de controlo de acesso incorporados. Estes visam alguns cenários comuns que têm o mesmo conjunto de requisitos de política, por exemplo, a política de acesso para cliente para o Office 365. Esses modelos não podem ser modificados.
Para fornecer maior flexibilidade para atender às suas necessidades de negócios, os administradores podem criar seus próprios modelos de política de acesso. Eles podem ser modificados após a criação e as alterações no modelo de política personalizado serão aplicadas a todos os RPs controlados por esses modelos de política. Para adicionar um modelo de política personalizado, basta clicar em Adicionar Política de Controle de Acesso no gerenciamento do AD FS.
Para criar um modelo de política, um administrador precisa primeiro especificar em quais condições uma solicitação será autorizada para emissão e/ou delegação de token. As opções de condição e ação são mostradas na tabela abaixo. As condições em negrito podem ser configuradas pelo administrador com valores diferentes ou novos. O administrador também pode especificar exceções, se houver. Quando uma condição é atendida, uma ação de permissão não será acionada se houver uma exceção especificada e a solicitação de entrada corresponder à condição especificada na exceção.
| Permitir Utilizadores | Exceto |
|---|---|
| De rede específica | De rede específica De grupos de específicos A partir de dispositivos com níveis de confiança específicos Com reivindicações específicas de no pedido |
| De grupos específicos de | De rede específica De grupos específicos de Dispositivos com níveis de confiança específicos Com reivindicações específicas de no pedido |
| A partir de dispositivos com níveis de confiança específicos | Da rede específica De grupos específicos Dispositivos com níveis de confiança específicos Com reivindicações de específicas no pedido |
| Com reivindicações de específicas no pedido | De rede específica De grupos de específicos A partir de dispositivos com níveis de confiança específicos Com reivindicações de específicas no pedido |
| E requerem autenticação multifator | Da rede específica De grupos específicos de A partir de dispositivos com níveis de confiança específicos Com reivindicações específicas de no pedido |
Se um administrador selecione várias condições, elas têm uma relação de tipo E. As ações excluem-se mutuamente e, para uma regra de política, só pode escolher uma ação. Se o administrador selecionar várias exceções, elas serão de uma relação OU. Alguns exemplos de regras de política são mostrados abaixo:
| Política | Regras de política |
|---|---|
| O acesso à extranet requer MFA Todos os usuários são permitidos |
Regra #1 de extranet e com o AMF Licença Regra #2 de intranet Licença |
| O acesso externo não é permitido, exceto para trabalhadores não equivalentes a tempo integral É permitido o acesso à intranet para funcionários de tempo integral em dispositivos partilhados no local de trabalho |
Regra #1 De extranet e do grupo de não ETP Licença Regra #2 de intranet e do local de trabalho ligou-se ao dispositivo e do grupo ETP Licença |
| O acesso à extranet requer MFA, exceto "administrador de serviços" Todos os usuários têm permissão para acessar |
Regra nº 1 de extranet e com o AMF Licença Exceto grupo de administradores de serviço Regra #2 sempre Licença |
| o acesso ao dispositivo não relacionado ao local de trabalho a partir da extranet necessita de MFA Permitir estrutura do Active Directory para acesso à intranet e extranet |
Regra #1 de intranet E do grupo de Tecido AD Licença Regra #2 de extranet e de não proveniente do local de trabalho aderiu ao dispositivo e do grupo do AD Fabric e com o AMF Licença Regra #3 de extranet e do dispositivo associado a local de trabalho e de grupo de do AD Fabric Licença |
Modelo de política parametrizado vs modelo de política não parametrizado
Um modelo de política parametrizado é um modelo de política que tem parâmetros. Um administrador precisa inserir o valor para esses parâmetros ao atribuir esse modelo a RPs.Um administrador não pode fazer alterações no modelo de política parametrizado depois que ele for criado. Um exemplo de uma política parametrizada é a política incorporada, Permitir um grupo específico. Sempre que essa política é aplicada a um RP, esse parâmetro precisa ser especificado.
Um modelo de política não parametrizado é um modelo de política que não tem parâmetros. Um administrador pode atribuir esse modelo a RPs sem qualquer entrada necessária e pode fazer alterações em um modelo de política não parametrizado depois que ele for criado. Um exemplo disso é a política incorporada, Permitir a todos e exigir MFA.
Como criar uma política de controle de acesso não parametrizada
Para criar uma política de controle de acesso não parametrizada, use o procedimento a seguir:
Para criar uma política de controle de acesso não parametrizada
Em Gerenciamento do AD FS, à esquerda, selecione Políticas de Controle de Acesso e, à direita, clique em Adicionar Política de Controle de Acesso.
Insira um nome e uma descrição. Por exemplo: permitir usuários com dispositivos autenticados.
Em Permitir acesso se alguma das seguintes regras for cumprida, clique Adicionar.
Sob a permissão, marque a caixa ao lado de de dispositivos com nível de confiança específico
Na parte inferior, selecione o sublinhado específico
Na janela que aparece, selecione autenticado na lista suspensa. Clique em OK.
Clique em OK. Clique em OK.
Como criar uma política de controle de acesso parametrizada
Para criar uma política de controle de acesso parametrizada, use o procedimento a seguir
Para criar uma política de controle de acesso parametrizada
Em Gerenciamento do AD FS, à esquerda, selecione Políticas de Controle de Acesso e, à direita, clique em Adicionar Política de Controle de Acesso.
Insira um nome e uma descrição. Por exemplo: Permitir utilizadores com uma reivindicação específica.
Em Permitir acesso, se uma das seguintes regras for cumprida, clique em Adicionar.
No campo de permissões, marque a caixa ao lado de com reivindicações específicas na solicitação
Na parte inferior, selecione o sublinhado específico
Na janela que aparece, selecione parâmetro especificado quando a política de controle de acesso é atribuída. Clique em OK.
Clique em OK. Clique em OK.
Como criar uma política de controle de acesso personalizada com uma exceção
Para criar uma política de controle de acesso com uma exceção, use o procedimento a seguir.
Para criar uma política de controle de acesso personalizada com uma exceção
Em Gerenciamento do AD FS, à esquerda, selecione Políticas de Controle de Acesso e, à direita, clique em Adicionar Política de Controle de Acesso.
Insira um nome e uma descrição. Por exemplo: permitir usuários com dispositivos autenticados, mas não gerenciados.
Em Permitir acesso caso alguma das seguintes regras seja cumprida, clique Adicionar.
Em permissão, marque a caixa ao lado de de dispositivos com nível de confiança específico
Na parte inferior, selecione o específico sublinhado
Na janela que aparece, selecione autenticado na lista suspensa. Clique em OK.
Em exceções, assinale a caixa ao lado de de dispositivos com nível de confiança específico
Na parte inferior, em 'exceto', selecione o específico sublinhado
Na janela que aparece, selecione gerenciado na lista suspensa. Clique em OK.
Clique em OK. Clique em OK.
Como criar uma política de controle de acesso personalizada com várias condições de permissão
Para criar uma política de controle de acesso com várias condições de licença, use o seguinte procedimento:
Para criar uma política de controle de acesso parametrizada
Em Gerenciamento do AD FS, à esquerda, selecione Políticas de Controle de Acesso e, à direita, clique em Adicionar Política de Controle de Acesso.
Insira um nome e uma descrição. Por exemplo: Permitir usuários com uma declaração específica e de um grupo específico.
Em Permitir acesso se alguma das seguintes regras for atendida, clique Adicionar.
Sob permissão, marque a caixa ao lado de de um grupo específico e com declarações específicas no pedido
Na parte inferior, selecione o sublinhado específico para a primeira condição, ao lado de grupos
Na janela que aparece, selecione Parâmetro especificado quando a política é atribuída. Clique em OK.
Na parte inferior, selecione o sublinhado específico para a segunda condição, ao lado de reivindicações.
Na janela que aparece, selecione parâmetro especificado quando a política de controle de acesso é atribuída. Clique em OK.
Clique em OK. Clique em OK.
Como atribuir uma política de controle de acesso a um novo aplicativo
Atribuir uma política de controlo de acesso a uma nova aplicação é bastante simples e agora foi integrado no assistente para adicionar um RP. No Assistente de Confiança de Terceira Parte Confiável, você pode selecionar a política de controle de acesso que deseja atribuir. Este é um requisito ao criar uma nova confiança de terceiros.
Como atribuir uma política de controle de acesso a um aplicativo existente
Atribuindo uma política de controle de acesso a um aplicativo existente, basta selecionar o aplicativo em Confianças de Terceira Parte Confiável e, no botão direito do mouse, clicar Editar Política de Controle de Acesso.
A partir daqui, você pode selecionar a política de controle de acesso e aplicá-la ao aplicativo.
