Dela via

Principer för åtkomstkontroll i Windows Server 2016 AD FS

Principmallar för åtkomstkontroll i AD FS

Active Directory Federation Services stöder nu användning av principmallar för åtkomstkontroll. Genom att använda principmallar för åtkomstkontroll kan en administratör tillämpa principinställningar genom att tilldela principmallen till en grupp förlitande parter (RPs). Administratören kan också göra uppdateringar av principmallen och ändringarna tillämpas automatiskt på de förlitande parterna om det inte behövs någon användarinteraktion.

Vad är principmallar för åtkomstkontroll?

AD FS-kärnpipelinen för principbearbetning har tre faser: autentisering, auktorisering och anspråksutfärdning. För närvarande måste AD FS-administratörer konfigurera en princip för var och en av dessa faser separat. Detta innebär också att förstå konsekvenserna av dessa principer och om dessa principer har interberoende. Administratörer måste också förstå anspråksregelspråket och skapa anpassade regler för att aktivera en enkel/gemensam princip (till exempel blockera extern åtkomst).

Vad principmallar för åtkomstkontroll gör är att ersätta den här gamla modellen där administratörer måste konfigurera utfärdandeauktoriseringsregler med hjälp av anspråksspråk. De gamla PowerShell-cmdletarna med utfärdandeauktoriseringsregler gäller fortfarande, men kan inte användas tillsammans med den nya modellen. Administratörer kan välja att antingen använda den nya modellen eller den gamla modellen. Den nya modellen gör det möjligt för administratörer att styra när de ska bevilja åtkomst, inklusive att framtvinga multifaktorautentisering.

Principmallar för åtkomstkontroll använder en tillståndsmodell. Det innebär som standard att ingen har åtkomst och att åtkomst uttryckligen måste beviljas. Detta är dock inte bara ett allt- eller inget-tillstånd. Administratörer kan lägga till undantag i tillståndsregeln. En administratör kanske till exempel vill bevilja åtkomst baserat på ett specifikt nätverk genom att välja det här alternativet och ange IP-adressintervallet. Men administratören kan lägga till och undantag, till exempel kan administratören lägga till ett undantag från ett visst nätverk och ange ip-adressintervallet.

Skärmbild som visar var du vill visa principer för åtkomstkontroll.

Inbyggda principmallar för åtkomstkontroll jämfört med principmallar för anpassad åtkomstkontroll

AD FS innehåller flera inbyggda principmallar för åtkomstkontroll. Dessa är inriktade på några vanliga scenarier som har samma uppsättning principkrav, till exempel klientåtkomstprincip för Office 365. Dessa mallar kan inte ändras.

Skärmbild som visar de inbyggda principerna för åtkomstkontroll.

Administratörer kan skapa egna åtkomstprincipmallar för att ge ökad flexibilitet för att tillgodose dina affärsbehov. Dessa kan ändras när du har skapat och ändringar i den anpassade principmallen gäller för alla RP:er som styrs av dessa principmallar. Om du vill lägga till en anpassad principmall klickar du bara på Lägg till åtkomstkontrollprincip inifrån AD FS-hantering.

För att skapa en principmall måste en administratör först ange under vilka villkor en begäran ska auktoriseras för tokenutfärding och/eller delegering. Villkors- och åtgärdsalternativ visas i tabellen nedan. Villkor i fetstil kan konfigureras ytterligare av administratören med olika eller nya värden. Administratören kan också ange undantag om det finns några. När ett villkor uppfylls utlöses inte en tillståndsåtgärd om ett undantag har angetts och den inkommande begäran matchar det villkor som anges i undantaget.

Tillåt användare Utom
Från specifikt nätverk Från det specifika -nätverket

Från specifika grupper

Från enheter med specifika säkerhetsnivåer

Med specifika -krav i-begäran
Från specifika grupper Från specifikt nätverk

Från specifika grupper

Från enheter med specifika förtroendenivåer

Med specifika anspråk i begäran
Från enheter med specifika förtroendenivåer Från specifikt nätverk

Från specifika grupper

Från enheter med specifika förtroendenivåer

Med specifika -anspråk i begäran
Med specifika krav i begäran Från specifikt nätverk

Från specifika grupper

Från enheter med specifika förtroendenivåer

I begäran med specifika -anspråk
Och kräver multifaktorautentisering Från specifikt nätverk

Från specifika grupper

Från enheter med specifika förtroendenivåer

Med specifika -anspråk i begäran

Om en administratör väljer flera villkor är de av OCH relationstyp. Åtgärder är ömsesidigt uteslutande och för en principregel kan du bara välja en åtgärd. Om administratören väljer flera undantag är de av en ELLER relation. Ett par exempel på principregler visas nedan:

Policy Principregler
Extranätsåtkomst kräver MFA

Alla användare är tillåtna

 Regel 1

från extranät

och med MFA

Tillåta / Tillstånd

Regel 2

från intranätet

Tillåta
Extern åtkomst tillåts inte förutom icke-FTE

Intranätåtkomst för FTE på arbetsplatskopplad enhet är tillåten

 Regel 1

Från Extranät

och från icke-FTE- grupp

Tillåta

regel 2

från intranät

och från arbetsplatsanslutning enhet

och från FTE- grupp

Tillstånd
Extranätsåtkomst kräver MFA förutom "serviceadmin"

Alla användare har behörighet att komma åt

 Regel 1

från extranät

och med MFA

Tillåta

Förutom serviceadministratörsgrupp

regel 2

alltid

Tillstånd
Enhet utanför arbetsplatsen som ansluter till extranät kräver MFA

Tillåt AD-infrastrukturresurser för intranät- och extranätåtkomst

 Regel #1

från intranät

Och från AD Fabric-gruppen

Tillåta

regel 2

från extranät

och från utanför arbetsplatsen enhet ansluten

och från AD Fabric grupp

och med MFA

Tillåta

regel 3

från extranät

och från arbetsplats anslöt enhet

och från AD Tyg grupp

Tillstånd

Parameteriserad principmall jämfört med en principmall som inte är parameteriserad

En parameteriserad principmall är en principmall som har parametrar. En administratör måste ange värdet för dessa parametrar när den här mallen tilldelas till RPs.En administratör kan inte göra ändringar i parameteriserad principmall när den har skapats. Ett exempel på en parametriserad princip är den inbyggda principen, Tillåt specifik grupp. När den här principen tillämpas på en RP måste den här parametern anges.

Skärmbild som visar ett exempel på en parameteriserad principmall.

En icke-parametriserad principmall är en principmall som inte har parametrar. En administratör kan tilldela den här mallen till RPs utan att något behövs och kan göra ändringar i en icke-parameteriserad principmall när den har skapats. Ett exempel på detta är den inbyggda principen, Tillåt alla och kräva MFA.

Skärmbild som visar ett exempel på en principmall som inte är parameteriserad.

Så här skapar du en princip för icke-parametriserad åtkomstkontroll

Om du vill skapa en princip för icke-parametriserad åtkomstkontroll använder du följande procedur

Så här skapar du en princip för icke-parametriserad åtkomstkontroll

  1. Från AD FS Management till vänster väljer du Åtkomstkontrollprinciper och till höger klickar du på Lägg till åtkomstkontrollprincip.

  2. Ange ett namn och en beskrivning. Till exempel: Tillåt användare med autentiserade enheter.

  3. Under Tillåt åtkomst om någon av följande regler uppfyllsklickar du på Lägg till.

  4. Under Tillåt markerar du kryssrutan bredvid från enheter med specifik förtroendenivå

  5. Längst nere väljer du den understrukna specifika

  6. I fönstret som visas väljer du autentiserade i listrutan. Klicka på OK.

    Skärmbild som visar hur du väljer enhetens förtroendenivå.

  7. Klicka på OK. Klicka på OK.

    Skärmbild som visar hur du accepterar principändringen.

Så här skapar du en princip för parametriserad åtkomstkontroll

Om du vill skapa en parametriserad åtkomstkontrollprincip använder du följande procedur

Skapa en princip för parametriserad åtkomstkontroll

  1. Från AD FS Management till vänster väljer du Åtkomstkontrollprinciper och till höger klickar du på Lägg till åtkomstkontrollprincip.

  2. Ange ett namn och en beskrivning. Till exempel: Tillåt användare med ett specifikt anspråk.

  3. Under Tillåt åtkomst om någon av följande regler uppfyllsklickar du på Lägg till.

  4. Under Tillåt markerar du kryssrutan bredvid med specifika anspråk i begäran

  5. Längst ned väljer du den understrukna specifika

  6. I fönstret som visas, väljer du Den parameter som anges när åtkomstkontrollprincipen tilldelas. Klicka på OK.

    Skärmbild som visar parametern som angavs när alternativet för åtkomstkontrollprincip tilldelas.

  7. Klicka på OK. Klicka på OK.

    Skärmbild som visar hur du accepterar det valda alternativet.

Så här skapar du en anpassad åtkomstkontrollprincip med ett undantag

Om du vill skapa en princip för åtkomstkontroll med ett undantag använder du följande procedur.

Skapa en anpassad åtkomstkontrollprincip med ett undantag

  1. Från AD FS Management till vänster väljer du Åtkomstkontrollprinciper och till höger klickar du på Lägg till åtkomstkontrollprincip.

  2. Ange ett namn och en beskrivning. Till exempel: Tillåt användare med autentiserade enheter men inte hanterade.

  3. Under Tillåt åtkomst om någon av följande regler uppfyllsklickar du på Lägg till.

  4. Under Tillåt markerar du kryssrutan bredvid från enheter med specifik förtroendenivå

  5. Längst ned väljer du den understrukna specifika

  6. I fönstret som visas väljer du verifierad i listrutan. Klicka på OK.

  7. Markera kryssrutan bredvid på enheter med specifik trust level

  8. I avsnittet längst ned under undantag, välj den understrukna specifika

  9. I fönstret som visas väljer du hanterad i listrutan. Klicka på OK.

  10. Klicka på OK. Klicka på OK.

    Skärmbild som visar dialogrutan Skärmredigeraren.

Så här skapar du en anpassad åtkomstkontrollprincip med flera tillståndsvillkor

Om du vill skapa en åtkomstkontrollprincip med flera tillståndsvillkor använder du följande procedur

Skapa en princip för parametriserad åtkomstkontroll

  1. Från AD FS Management till vänster väljer du Åtkomstkontrollprinciper och till höger klickar du på Lägg till åtkomstkontrollprincip.

  2. Ange ett namn och en beskrivning. Till exempel: Tillåt användare med ett specifikt anspråk och från en specifik grupp.

  3. Under Tillåt åtkomst om någon av följande regler uppfyllsklickar du på Lägg till.

  4. Under Tillåt markerar du kryssrutan bredvid från en specifik grupp och med specifika anspråk i begäran

  5. Längst ned väljer du den understrukna specifika för det första villkoret bredvid grupper

  6. I fönstret som visas väljer du Parameter som anges när principen tilldelas. Klicka på OK.

  7. Längst ned väljer du det specifika understrukna för det andra villkoret bredvid krav.

  8. I fönstret som visas väljer du Parameter som anges när åtkomstkontrollprincipen tilldelas. Klicka på OK.

  9. Klicka på OK. Klicka på OK.

principer för åtkomstkontroll

Tilldela en åtkomstkontrollprincip till ett nytt program

Det är ganska enkelt att tilldela en åtkomstkontrollprincip till ett nytt program och har nu integrerats i guiden för att lägga till en RP. I guiden Förtroende för förlitande part kan du välja den åtkomstkontrollprincip som du vill tilldela. Detta är ett krav när du skapar ett nytt förlitande partförtroende.

Skärmbild som visar skärmen Välj åtkomstkontrollprincip.

Tilldela en åtkomstkontrollprincip till ett befintligt program

När du tilldelar en åtkomstkontrollprincip till ett befintligt program väljer du helt enkelt programmet från Förlitande partsförtroenden och högerklickar på Redigera åtkomstkontrollprincip.

Skärmbild som visar programmet Förtroenden för återförsöksparten.

Härifrån kan du välja åtkomstkontrollprincipen och tillämpa den på programmet.

Skärmbild som visar hur du redigerar principen för åtkomstkontroll.

Se även

AD FS-åtgärder