Пошаговое руководство. Управление рисками с помощью условного контроля доступа

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Сведения об этом руководстве

В этом пошаговом руководстве приведены инструкции по управлению рисками с помощью одного из факторов (пользовательских данных), доступных через механизм управления условным доступом в службах федерации Active Directory (AD FS) в Windows Server 2012 R2. Для получения дополнительной информации о механизмах управления условным доступом и авторизации в AD FS в Windows Server 2012 R2 см. Управление рисками с помощью условного доступа.

Это пошаговое руководство состоит из следующих разделов:

• шаг 1. Настройка среды лаборатории

• шаг 2. Проверка механизма управления доступом AD FS по умолчанию

• шаг 3. Настройка политики управления условным доступом на основе пользовательских данных

• шаг 4. Проверка механизма управления условным доступом

Шаг 1. Настройка лабораторной среды

Для выполнения этого пошагового руководства требуется среда, состоящая из следующих компонентов:

• Домен Active Directory с тестовыми учетными записями пользователей и групп, работающих в Windows Server 2008, Windows Server 2008 R2 или Windows Server 2012 с его схемой, обновленной до Windows Server 2012 R2 или домена Active Directory, работающего в Windows Server 2012 R2

• Сервер федерации, работающий в Windows Server 2012 R2

• Веб-сервер, на котором размещается пример приложения

• Клиентский компьютер, с которого можно получить доступ к образцу приложения

Предупреждение

Настоятельно рекомендуется (как в рабочей, так и в тестовой среде) не использовать один и тот же компьютер в качестве сервера федерации и веб-сервера.

В этой среде сервер федерации выдает утверждения, необходимые для доступа к образцу приложения. Веб-сервер размещает пример приложения, которое будет доверять пользователям, которые представляют утверждения о проблемах сервера федерации.

Инструкции по настройке этой среды см. в статье Настройка лабораторной среды для AD FS в Windows Server 2012 R2.

Шаг 2. Проверка механизма управления доступом AD FS по умолчанию

На этом шаге вы проверите механизм управления доступом AD FS по умолчанию, где пользователь перенаправляется на страницу входа AD FS, предоставляет допустимые учетные данные и предоставляет доступ к приложению. Вы можете использовать учетную запись Роберта Хатли AD и пример приложения claimapp, который вы настроили в создании лабораторной среды для AD FS в Windows Server 2012 R2.

Проверка механизма управления доступом AD FS по умолчанию

1. На клиентском компьютере откройте окно браузера и перейдите к примеру приложения: https://webserv1.contoso.com/claimapp.

   Это действие автоматически перенаправляет запрос на сервер федерации, и вам будет предложено войти с помощью имени пользователя и пароля.

2. Введите учетные данные учетной записи AD Роберта Хатли, которую вы создали при настройке лабораторной среды для AD FS в Windows Server 2012 R2.

   Вам будет предоставлен доступ к приложению.

Шаг 3. Настройка политики условного управления доступом на основе пользовательских данных

На этом шаге вы настроите политику управления доступом на основе данных членства в группах пользователей. Другими словами, вы настроите правило авторизации выдачи на сервере федерации для доверия проверяющего субъекта, представляющего ваше примерное приложение с именем claimapp - . По логике этого правила пользователю Роберта Хатли AD будут выданы утверждения, необходимые для доступа к этому приложению, так как он принадлежит группе Finance. Вы добавили учетную запись Роберта Хатли в группу Finance в настройка лабораторной среды для AD FS в Windows Server 2012 R2.

Эту задачу можно выполнить с помощью консоли управления AD FS или Windows PowerShell.

Настройка политики условного управления доступом на основе пользовательских данных с помощью консоли управления AD FS

1. В консоли управления AD FS перейдите к отношениям доверия, а затем отношения доверия проверяющей стороны.

2. Выберите доверие доверительной стороны, представляющее ваш пример приложения (claimapp), а затем в области действия или, щелкнув правой кнопкой мыши это доверие доверительной стороны, выберите изменить правила утверждений.

3. В окне Редактировать правила утверждений для claimapp выберите вкладку Правила авторизации выдачи и щелкните Добавить правило.

4. На странице Выбор шаблона правилав мастере добавления правила утверждения авторизации выдачивыберите шаблон правила Разрешить или запретить пользователям на основе входящего утверждения, а затем нажмите Далее.

5. На странице Настройка правила выполните все действия, а затем нажмите кнопку Готово:

   1. Введите имя правила утверждения, например TestRule.

   2. Выберите SID группы в качестве типа входящего утверждения .

   3. Щелкните Обзор, введите Finance для имени тестовой группы AD и устраните его для поля Значение входящего утверждения.

   4. Выберите параметр Запретить доступ для пользователей с этим входящим утверждением.

6. В окне Изменение правил утверждений для приложения утверждений обязательно удалите правило Разрешить доступ ко всем пользователям, которое было создано по умолчанию при создании этого доверия проверяющей стороны.

Настройка политики условного управления доступом на основе пользовательских данных с помощью Windows PowerShell

1. На сервере федерации откройте командное окно Windows PowerShell и выполните следующую команду:

$rp = Get-AdfsRelyingPartyTrust -Name claimapp

2. В том же командном окне Windows PowerShell выполните следующую команду:

$GroupAuthzRule = '@RuleTemplate = "Authorization" @RuleName = "Foo" c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value =~ "^(?i)<group_SID>$"] =>issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = "DenyUsersWithClaim");'
Set-AdfsRelyingPartyTrust -TargetRelyingParty $rp -IssuanceAuthorizationRules $GroupAuthzRule

Примечание.

Убедитесь, что вы замените <group_SID> значением идентификатора безопасности вашей группы AD Finance.

Шаг 4. Проверка механизма управления условным доступом

На этом шаге вы проверите политику управления условным доступом, настроенную на предыдущем шаге. Чтобы убедиться, что пользователь AD Роберт Хатли может получить доступ к вашему образцу приложения, так как он принадлежит к группе Финансы, а пользователи AD, которые не принадлежат к группе Финансы, не имеют доступа к образцу приложения.

1. На клиентском компьютере откройте окно браузера и перейдите к примеру приложения: https://webserv1.contoso.com/claimapp

   Это действие автоматически перенаправляет запрос на сервер федерации, и вам будет предложено войти с помощью имени пользователя и пароля.

2. Введите учетные данные учетной записи AD пользователя Роберт Хатли, созданной при настройке лабораторной среды для AD FS в Windows Server 2012 R2.

   Вам будет предоставлен доступ к приложению.

3. Введите учетные данные другого пользователя AD, который не принадлежит группе Finance. (Дополнительные сведения о создании учетных записей пользователей в AD см. в https://technet.microsoft.com/library/cc7833232.aspx.

   На этом этапе из-за политики управления доступом, настроенной на предыдущем шаге, отображается сообщение "отказано в доступе" для этого пользователя AD, которое не принадлежит группе Finance. Текст сообщения по умолчанию вы не авторизованы для доступа к этому сайту. Щелкните здесь, чтобы выйти и войти еще раз или обратиться к администратору за разрешениями. Однако этот текст полностью настраивается. Дополнительные сведения о том, как настроить страницы входа, см. в настройке страниц входа AD FS.

См. также

Управление рисками с помощью условного управления доступомнастройка лабораторной среды для AD FS в Windows Server 2012 R2