Partilhar via

Guia passo a passo: Gerenciar riscos com controle de acesso condicional

Sobre este guia

Este passo a passo fornece instruções para gerenciar o risco com um dos fatores (dados do usuário) disponíveis por meio do mecanismo de controle de acesso condicional nos Serviços de Federação do Ative Directory (AD FS) no Windows Server 2012 R2. Para obter mais informações sobre mecanismos de autorização e controle de acesso condicional no AD FS no Windows Server 2012 R2, consulte Gerenciar riscos com controle de acesso condicional.

Este passo a passo consiste nas seguintes seções:

Etapa 1: Configurando o ambiente de laboratório

Para concluir este passo a passo, você precisa de um ambiente que consiste nos seguintes componentes:

  • Um domínio do Ative Directory com contas de usuário e grupo de teste, em execução no Windows Server 2008, Windows Server 2008 R2 ou Windows Server 2012 com seu esquema atualizado para o Windows Server 2012 R2 ou um domínio do Ative Directory em execução no Windows Server 2012 R2

  • Um servidor de federação em execução no Windows Server 2012 R2

  • Um servidor Web que hospeda seu aplicativo de exemplo

  • Um computador cliente a partir do qual você pode acessar o aplicativo de exemplo

Advertência

É altamente recomendável (tanto em ambientes de produção quanto de teste) que você não use o mesmo computador para ser seu servidor de federação e seu servidor Web.

Nesse ambiente, o servidor de federação emite as declarações necessárias para que os usuários possam acessar o aplicativo de exemplo. O servidor web hospeda uma aplicação de exemplo que confiará nos utilizadores que apresentem as declarações que o servidor de federação emite.

Para obter instruções sobre como configurar esse ambiente, consulte Configurar o ambiente de laboratório para AD FS no Windows Server 2012 R2.

Etapa 2: Verificar o mecanismo de controle de acesso padrão do AD FS

Nesta etapa, você verificará o mecanismo de controle de acesso padrão do AD FS, no qual o usuário é redirecionado para a página de entrada do AD FS, fornece credenciais válidas e recebe acesso ao aplicativo. Você pode usar a conta do Robert Hatley AD e o aplicativo claimapp exemplo que você configurou em Configurar o ambiente de laboratório para AD FS no Windows Server 2012 R2.

Para verificar o mecanismo de controle de acesso padrão do AD FS

  1. No computador cliente, abra uma janela do navegador e navegue até o aplicativo de exemplo: https://webserv1.contoso.com/claimapp.

    Essa ação redireciona automaticamente a solicitação para o servidor de federação e você será solicitado a entrar com um nome de usuário e senha.

  2. Digite as credenciais da conta do Robert Hatley AD que você criou em Configurar o ambiente de laboratório para AD FS no Windows Server 2012 R2.

    Ser-lhe-á concedido acesso à aplicação.

Etapa 3: Configurar a política de controle de acesso condicional com base nos dados do usuário

Nesta etapa, você configurará uma política de controle de acesso com base nos dados de associação do grupo de usuários. Em outras palavras, configurarás uma Regra de Autorização de Emissão no teu servidor de federação para uma relação de confiança com um terceiro que representa o teu aplicativo exemplo - claimapp. Pela lógica desta regra, Robert Hatley usuário do AD receberá declarações que são necessárias para acessar este aplicativo porque ele pertence a um grupo Finance. Você adicionou a conta Robert Hatley ao grupo Finanças em Configuração do ambiente de laboratório para AD FS no Windows Server 2012 R2.

Você pode concluir essa tarefa usando o Console de Gerenciamento do AD FS ou por meio do Windows PowerShell.

Para configurar a política de controle de acesso condicional com base nos dados do usuário por meio do Console de Gerenciamento do AD FS

  1. No Consola de Gestão do AD FS, navegue até Relações de Confiançae, em seguida, Confianças de Terceiros.

  2. Selecione a relação de confiança da terceira parte confiável que representa seu aplicativo de exemplo (claimapp) e, em seguida, no painel Ações ou clicando com o botão direito do mouse nessa relação de confiança de terceira parte confiável, selecione Editar Regras de Declaração.

  3. Na janela Editar Regras de Reivindicação para claimapp, selecione a aba Regras de Autorização de Emissão e clique em Adicionar Regra.

  4. No Assistente para Adicionar Regra de Declaração de Autorização de Emissão, na página Selecionar Modelo de Regra, selecione Permitir ou Negar Utilizadores com base em uma Declaração de Entrada e clique em Avançar.

  5. Na página Configurar Regra, faça o seguinte e depois clique em Concluir:

    1. Insira um nome para a regra de reivindicação, por exemplo, TestRule.

    2. Selecione Grupo SID como Tipo de Reivindicação de Entrada .

    3. Clique Procurar, digite Finance para o nome do seu grupo de teste do AD e resolva-o para o campo Valor da reivindicação de entrada.

    4. Selecione a opção Negar acesso aos utilizadores com esta declaração de entrada.

  6. Na janela Editar Regras de Declaração para claimapp, certifique-se de excluir a regra Permitir Acesso a Todos os Usuários que foi criada por padrão quando você criou essa relação de confiança de terceira parte confiável.

Para configurar a política de controle de acesso condicional com base nos dados do usuário por meio do Windows PowerShell

  1. No servidor de federação, abra a janela de comando do Windows PowerShell e execute o seguinte comando:
$rp = Get-AdfsRelyingPartyTrust -Name claimapp
  1. Na mesma janela de comando do Windows PowerShell, execute o seguinte comando:
$GroupAuthzRule = '@RuleTemplate = "Authorization" @RuleName = "Foo" c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value =~ "^(?i)<group_SID>$"] =>issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = "DenyUsersWithClaim");'
Set-AdfsRelyingPartyTrust -TargetRelyingParty $rp -IssuanceAuthorizationRules $GroupAuthzRule

Observação

Certifique-se de substituir <group_SID> pelo valor do SID do seu grupo de do AD Finanças.

Etapa 4: Verificar o mecanismo de controle de acesso condicional

Nesta etapa, você verificará a política de controle de acesso condicional que você configurou na etapa anterior. Você pode usar o procedimento a seguir para verificar se usuário do AD Robert Hatley pode acessar seu aplicativo de exemplo porque ele pertence ao grupo do Finance e os usuários do AD que não pertencem ao grupo do Finance não podem acessar o aplicativo de exemplo.

  1. No computador cliente, abra uma janela do navegador e navegue até o aplicativo de exemplo: https://webserv1.contoso.com/claimapp

    Essa ação redireciona automaticamente a solicitação para o servidor de federação e você será solicitado a entrar com um nome de usuário e senha.

  2. Digite as credenciais da conta do Robert Hatley AD que você criou em Configurar o ambiente de laboratório para AD FS no Windows Server 2012 R2.

    Ser-lhe-á concedido acesso à aplicação.

  3. Digite as credenciais de outro usuário do AD que NÃO pertença ao grupo Finanças. (Para obter mais informações sobre como criar contas de usuário no AD, consulte https://technet.microsoft.com/library/cc7833232.aspx.

    Neste ponto, devido à política de controle de acesso que você configurou na etapa anterior, uma mensagem 'acesso negado' é exibida para esse usuário do AD que NÃO pertence ao grupo Finance. O texto padrão da mensagem é Você não está autorizado a acessar este site. Clique aqui para sair e entrar novamente ou entre em contato com o administrador para obter permissões. No entanto, este texto é totalmente personalizável. Para obter mais informações sobre como personalizar a experiência de entrada, consulte Personalizando as páginas de entrada do AD FS.

Ver também

Gerenciar riscos com o controle de acesso condicionalConfigurar o ambiente de laboratório para AD FS no Windows Server 2012 R2