创建规则以根据传入声明允许或拒绝用户
在 Windows Server 2016 中,可以使用“访问控制策略”来创建基于传入声明允许或拒绝用户的规则。 在 Windows Server 2012 R2 中,使用 Active Directory 联合身份验证服务 (AD FS) 中的“允许或拒绝基于传入声明的用户”规则模板,可以创建一个授权规则,该规则将根据传入声明的类型和值授予或拒绝用户对信赖方的访问权限。
例如,可以使用它创建如下规则:仅允许具有值为“域管理员”的组声明的用户访问信赖方。 如果要允许所有用户访问信赖方,请使用“允许所有人”访问控制策略或“允许所有用户”规则模板,具体取决于你的 Windows Server 版本。 有权从联合身份验证服务访问信赖方的用户可能仍会被信赖方拒绝服务。
可以使用以下过程通过 AD FS 管理单元创建声明规则。
若要完成此过程,至少需要是本地计算机上的管理员组或等效组中的成员。 查看有关使用适当帐户和本地和域默认组中组成员身份的详细信息。
创建规则以基于 Windows Server 2016 上的传入声明允许用户
在服务器管理器中,单击“工具”,选择“AD FS 管理”。
在控制台树中的“AD FS”下,单击“访问控制策略”。
右键单击并选择“添加访问控制策略”。
在“名称”框中,输入策略的名称和说明,然后单击“添加”。
在“规则编辑器”的用户下,选中“请求中包含特定声明”,然后单击底部带有下划线的“特定”。
在“选择声明”屏幕上,单击“声明”单选按钮,选择“声明类型”、“运算符”和“声明值”,然后单击“确定”。
在“规则编辑器”上,单击“确定”。 在“添加访问控制策略”屏幕上,单击“确定”。
在 AD FS 管理控制台树中的“AD FS”下,单击“信赖方信任”。
右键单击要允许访问的“信赖方信任”,然后选择“编辑访问控制策略”。
在“访问控制策略”上,选择你的策略,然后单击“应用”和“确定”。
创建规则以基于 Windows Server 2016 上的传入声明拒绝用户
在服务器管理器中,单击“工具”,选择“AD FS 管理”。
在控制台树中的“AD FS”下,单击“访问控制策略”。
右键单击并选择“添加访问控制策略”。
在“名称”框中,输入策略的名称和说明,然后单击“添加”。
在“规则编辑器”上,确保已选中“任何人”,并在“例外”下选中“请求中包含特定声明”,然后单击底部带有下划线的“具体内容”。
在“选择声明”屏幕上,单击“声明”单选按钮,选择“声明类型”、“运算符”和“声明值”,然后单击“确定”。
在“规则编辑器”上,单击“确定”。 在“添加访问控制策略”屏幕上,单击“确定”。
在 AD FS 管理控制台树中的“AD FS”下,单击“信赖方信任”。
右键单击要允许访问的“信赖方信任”,然后选择“编辑访问控制策略”。
在“访问控制策略”上,选择你的策略,然后单击“应用”和“确定”。
创建规则以允许或拒绝基于 Windows Server 2012 R2 上的传入声明的用户
在服务器管理器中,单击“工具”,选择“AD FS 管理”。
在控制台树中的“AD FS\信任关系\信赖方信任”下,单击列表中要创建此规则的特定信任。
右键单击所选信任,然后单击“编辑声明规则”。
在“编辑声明规则”对话框中,单击“颁发授权规则”选项卡或“委派授权规则”选项卡(基于所需的授权规则类型),然后单击“添加规则”以启动“添加授权声明规则向导”。
在“选择规则模板”页上的“声明规则模板”下,从列表中选择“允许或拒绝基于传入声明的用户”,然后单击“下一步”。
在“配置规则”页上的“声明规则名称”下,键入此规则的显示名称,在“传入声明类型”中,在列表中选择声明类型,在“传入声明值”下键入一个值,或单击“浏览”(如果可用)并选择一个值,然后根据组织的需要选择以下选项之一:
允许具有此传入声明的用户访问
拒绝具有此传入声明的用户访问
单击“完成”。
在“编辑声明规则”对话框中,单击“确定”保存规则。