Пошаговое руководство: Управление рисками с использованием условного управления доступом

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Информация о руководстве

В этом пошаговом руководстве приведены инструкции по управлению рисками с помощью одного из факторов (пользовательских данных), доступных через механизм управления условным доступом в службы федерации Active Directory (AD FS) (AD FS) в Windows Server 2012 R2. Дополнительные сведения о механизмах управления условным доступом и авторизации в AD FS в Windows Server 2012 R2 см. в статье "Управление рисками с помощью условного контроль доступа".

Это пошаговое руководство включает в себя следующие разделы.

• Шаг 1. Настройка лабораторной среды

• Шаг 2. Проверка механизма управления доступом AD FS по умолчанию

• Шаг 3. Настройка политики условного управления доступом на основе пользовательских данных

• Шаг 4. Проверка механизма управления условным доступом

Шаг 1. Настройка лабораторной среды

Для выполнения этого пошагового руководства вам потребуется среда, состоящая из следующих компонентов:

• Домен Active Directory с тестовыми учетными записями пользователей и групп, работающих в Windows Server 2008, Windows Server 2008 R2 или Windows Server 2012 с его схемой, обновленной до Windows Server 2012 R2 или домена Active Directory, работающего в Windows Server 2012 R2

• Сервер федерации, работающий в Windows Server 2012 R2

• веб-сервера, на котором размещен пример приложения;

• клиентского компьютера, с которого осуществляется доступ к примеру приложения.

Предупреждение

Настоятельно не рекомендуется (как в производственной, так и в тестовой среде) использовать один и тот же компьютер в качестве сервера федерации и веб-сервера.

В этой среде сервер федерации выдает утверждения, которые необходимы для доступа пользователей к примеру приложения. На веб-сервере размещается пример приложения, которое будет считать доверенными пользователей, предъявивших утверждения, выданные сервером федерации.

Инструкции по настройке этой среды см. в статье "Настройка лабораторной среды для AD FS" в Windows Server 2012 R2.

Шаг 2. Проверка стандартного механизма контроля доступа через службы AD FS

В этом шаге вы проверите стандартный механизм управления доступом через службы AD FS, который перенаправляет пользователя на страницу входа AD FS, где ему нужно ввести действительные учетные данные, после чего пользователю будет предоставлен доступ к приложению. Вы можете использовать учетную запись Robert Hatley AD и пример приложения утверждения , настроенное в разделе "Настройка лабораторной среды для AD FS" в Windows Server 2012 R2.

Проверка стандартного механизма управления доступом через службы AD FS

1. На клиентском компьютере откройте окно браузера и перейдите к примеру приложения: https://webserv1.contoso.com/claimapp

   В результате запрос будет автоматически перенаправлен серверу федерации и вам будет предложено ввести имя пользователя и пароль.

2. Введите учетные данные учетной записи Роберта Хатли AD, созданной в разделе "Настройка лабораторной среды для AD FS" в Windows Server 2012 R2.

   После этого вам будет предоставлен доступ к приложению.

Шаг 3. Настройка политики условного управления доступом на основе данных пользователя

В этом шаге вы настроите политику управления доступом на основе данных о членстве в группе пользователей. Иными словами, вы настроите правило авторизации выдачи на сервере федерации для отношения доверия с проверяющей стороной, которое представляет ваш пример приложения — claimapp. По логике этого правила пользователь Роберт Хатли AD будет выдавать утверждения, необходимые для доступа к этому приложению, так как он принадлежит к группе финансов . Вы добавили учетную запись Роберта Хатли в группу финансов в разделе "Настройка лабораторной среды для AD FS" в Windows Server 2012 R2.

Эту задачу можно выполнить с помощью консоли управления AD FS или Windows PowerShell.

Настройка политики условного управления доступом на основе данных пользователя с помощью консоли управления AD FS

1. В консоли управления AD FS перейдите в раздел Отношения доверия, а затем в раздел Отношения доверия проверяющей стороны.

2. Выберите отношение доверия с проверяющей стороной, которое представляет ваш пример приложения (claimapp), а затем перейдите на панель Действия либо щелкните это отношение доверия правой кнопкой мыши и выберите пункт Изменить правила утверждений.

3. В окне Изменение правил для утверждений для claimapp перейдите на вкладку Правила авторизации выдачи и нажмите кнопку Добавить правило.

4. В окне мастера добавления правила авторизации выдачи утвержденияна странице Выбор шаблона правилавыберите шаблон правила для утверждений Разрешить или запретить доступ пользователям на основании входящего утверждения и нажмите кнопку Далее.

5. На странице Настройка правила выполните все указанные ниже действия и нажмите кнопку Готово.

   1. Введите имя правила для утверждений, например TestRule.

   2. Выберите SID группы в качестве типа входящего утверждения.

   3. Нажмите кнопку Обзор, введите Finance в качестве имени тестовой группы Active Directory и разрешите его для поля Значение входящего утверждения .

   4. Выберите параметр Запретить доступ пользователям с этим входящим утверждением .

6. В окне Изменение правил для утверждений для claimapp удалите правило Разрешить доступ всем пользователям , созданное по умолчанию одновременно с этим отношением доверия с проверяющей стороной.

Настройка политики условного управления доступом на основе данных пользователя с помощью Windows PowerShell

1. На сервере федерации откройте окно команд Windows PowerShell и выполните следующую команду:

$rp = Get-AdfsRelyingPartyTrust -Name claimapp

2. В том же окне команд Windows PowerShell выполните следующую команду:

$GroupAuthzRule = '@RuleTemplate = "Authorization" @RuleName = "Foo" c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value =~ "^(?i)<group_SID>$"] =>issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = "DenyUsersWithClaim");'
Set-AdfsRelyingPartyTrust -TargetRelyingParty $rp -IssuanceAuthorizationRules $GroupAuthzRule

Примечание.

Обязательно замените <group_SID> значением идентификатора безопасности группы AD Finance .

Шаг 4. Проверка механизма условного управления доступом

В этом шаге вы проверите политику условного управления доступом, настроенную в предыдущем шаге. Чтобы убедиться, что пользователь с учетной записью Active Directory Robert Hatley может получать доступ к вашему примеру приложения, так как он входит в группу Finance , а пользователям Active Directory, не принадлежащим к группе Finance , такой доступ запрещен, можно использовать следующую процедуру.

1. На клиентском компьютере откройте окно браузера и перейдите к примеру приложения: https://webserv1.contoso.com/claimapp

   В результате запрос будет автоматически перенаправлен серверу федерации и вам будет предложено ввести имя пользователя и пароль.

2. Введите учетные данные учетной записи Роберта Хатли AD, созданной в разделе "Настройка лабораторной среды для AD FS" в Windows Server 2012 R2.

   После этого вам будет предоставлен доступ к приложению.

3. Введите учетные данные другого пользователя Active Directory, который НЕ входит в группу Finance . (Дополнительные сведения о создании учетных записей пользователей в AD см. в статье https://technet.microsoft.com/library/cc7833232.aspx.

   На этом этапе из-за политики управления доступом, настроенной на предыдущем шаге, отображается сообщение "отказано в доступе" для этого пользователя AD, который не принадлежит группе Finance . Текст сообщения по умолчанию не разрешен для доступа к этому сайту. Щелкните здесь, чтобы выйти и войти еще раз или обратиться к администратору за разрешениями. Однако этот текст полностью настраивается. Дополнительную информацию о настройке взаимодействия при входе см. в разделе Customizing the AD FS Sign-in Pages.

См. также

Управление рисками с помощью условной контроль доступа Настройка лабораторной среды для AD FS в Windows Server 2012 R2