Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Beleidssjablonen voor toegangsbeheer in AD FS
Active Directory Federation Services ondersteunt nu het gebruik van beleidssjablonen voor toegangsbeheer. Met behulp van beleidssjablonen voor toegangsbeheer kan een beheerder beleidsinstellingen afdwingen door de beleidssjabloon toe te wijzen aan een groep relying party's (RPs). De beheerder kan ook updates aanbrengen in de beleidssjabloon en de wijzigingen worden automatisch toegepast op de relying party's als er geen tussenkomst van de gebruiker nodig is.
Wat zijn beleidssjablonen voor toegangsbeheer?
De AD FS-kernpijplijn voor beleidsverwerking heeft drie fasen: verificatie, autorisatie en claimuitgifte. Momenteel moeten AD FS-beheerders een beleid voor elk van deze fasen afzonderlijk configureren. Dit omvat ook inzicht in de gevolgen van dit beleid en als deze beleidsregels onderling afhankelijk zijn. Beheerders moeten ook de taal van de claimregel begrijpen en aangepaste regels schrijven om een eenvoudig/gemeenschappelijk beleid in te schakelen (bijvoorbeeld externe toegang blokkeren).
Wat beleidssjablonen voor toegangsbeheer doen, is dit oude model vervangen waar beheerders uitgifteautorisatieregels moeten configureren met behulp van de claimtaal. De oude PowerShell-cmdlets van uitgifteautorisatieregels zijn nog steeds van toepassing, maar sluiten elkaar wederzijds uit van het nieuwe model. Beheerders kunnen ervoor kiezen om het nieuwe model of het oude model te gebruiken. Met het nieuwe model kunnen beheerders bepalen wanneer ze toegang moeten verlenen, waaronder het afdwingen van meervoudige verificatie.
Beleidssjablonen voor toegangsbeheer maken gebruik van een model voor toestaan. Dit betekent standaard dat niemand toegang heeft en dat toegang expliciet moet worden verleend. Dit is echter niet alleen een alles-of-nietsvergunning. Beheerders kunnen uitzonderingen toevoegen aan de regel voor toestaan. Een beheerder kan bijvoorbeeld toegang verlenen op basis van een specifiek netwerk door deze optie te selecteren en het IP-adresbereik op te geven. Maar de beheerder kan een uitzondering toevoegen, bijvoorbeeld een uitzondering van een specifiek netwerk, en dat IP-adresbereik opgeven.
Ingebouwde beleidssjablonen voor toegangsbeheer versus aangepaste beleidssjablonen voor toegangsbeheer
AD FS bevat verschillende ingebouwde beleidssjablonen voor toegangsbeheer. Deze zijn gericht op enkele veelvoorkomende scenario's met dezelfde set beleidsvereisten, bijvoorbeeld clienttoegangsbeleid voor Office 365. Deze sjablonen kunnen niet worden gewijzigd.
Beheerders kunnen hun eigen sjablonen voor toegangsbeleid maken om meer flexibiliteit te bieden om aan uw bedrijfsbehoeften te voldoen. Deze kunnen worden gewijzigd na het maken en wijzigingen in aangepaste beleidssjabloon zijn van toepassing op alle RPs die worden beheerd door deze beleidssjablonen. Als u een aangepaste beleidssjabloon wilt toevoegen, klikt u op Toegangsbeheerbeleid toevoegen vanuit AD FS-beheer.
Als u een beleidssjabloon wilt maken, moet een beheerder eerst opgeven onder welke voorwaarden een aanvraag wordt geautoriseerd voor tokenuitgifte en/of delegering. Voorwaarden en actieopties worden weergegeven in de onderstaande tabel. Voorwaarden vetgedrukt kunnen verder worden geconfigureerd door de beheerder met verschillende of nieuwe waarden. De beheerder kan ook uitzonderingen opgeven als er een is. Wanneer aan een voorwaarde wordt voldaan, wordt een actie voor toestaan niet geactiveerd als er een uitzondering is opgegeven en de binnenkomende aanvraag overeenkomt met de voorwaarde die is opgegeven in de uitzondering.
| Gebruikers toestaan | Except |
|---|---|
| Vanuit een specifiek netwerk | Vanuit een specifiek netwerk Van specifieke groepen Van apparaten met specifieke vertrouwensniveaus Met specifieke claims in de aanvraag |
| Van specifieke groepen | Vanuit een specifiek netwerk Van specifieke groepen Van apparaten met specifieke vertrouwensniveaus Met specifieke claims in de aanvraag |
| Van apparaten met specifieke vertrouwensniveaus | Vanuit een specifiek netwerk Van specifieke groepen Van apparaten met specifieke vertrouwensniveaus Met specifieke claims in de aanvraag |
| Met specifieke claims in de aanvraag | Vanuit een specifiek netwerk Van specifieke groepen Van apparaten met specifieke vertrouwensniveaus Met specifieke claims in de aanvraag |
| En meervoudige verificatie vereisen | Vanuit een specifiek netwerk Van specifieke groepen Van apparaten met specifieke vertrouwensniveaus Met specifieke claims in de aanvraag |
Als een beheerder meerdere voorwaarden selecteert, zijn deze van EN-relatie . Acties sluiten elkaar wederzijds uit en voor één beleidsregel kunt u slechts één actie kiezen. Als de beheerder meerdere uitzonderingen selecteert, zijn ze van een OR-relatie . Hieronder ziet u een aantal voorbeelden van beleidsregels:
| Policy | Beleidsregels |
|---|---|
| Voor extranettoegang is MFA vereist Alle gebruikers zijn toegestaan |
Regel 1 van extranet en met MFA Permit Rule#2 van intranet Permit |
| Externe toegang is niet toegestaan behalve niet-FTE Intranettoegang voor voltijdse medewerkers op apparaten die zijn toegevoegd aan het werkplek-netwerk is toegestaan. |
Regel 1 Van extranet en van de niet-FTE groep Permit Regel 2 van intranet en vanaf apparaat dat is toegevoegd aan de werkplek en van de FTE-groep Permit |
| Voor extranettoegang is MFA vereist, behalve 'servicebeheerder' Alle gebruikers mogen toegang hebben tot |
Regel 1 van extranet en met MFA Permit Behalve de servicebeheerdersgroep Regel 2 always Permit |
| Apparaten die niet zijn verbonden met de werkplek en toegang krijgen via het extranet, vereisen MFA. AD-infrastructuur toestaan voor intranet- en extranettoegang |
Regel 1 van intranet En vanuit AD Fabric-groep Permit Regel 2 van extranet en vanaf niet-werkplekgebonden apparaat en van AD Fabric-groep en met MFA Permit Regel 3 van extranet en vanaf apparaat dat is toegevoegd aan de werkplek en van AD Fabric-groep Permit |
Geparameteriseerde beleidssjabloon versus niet-geparameteriseerde beleidssjabloon
Een geparameteriseerde beleidssjabloon is een beleidssjabloon met parameters. Een beheerder moet de waarde voor deze parameters invoeren bij het toewijzen van deze sjabloon aan RPs. Een beheerder kan geen wijzigingen aanbrengen in de geparameteriseerde beleidssjabloon nadat deze is gemaakt. Een voorbeeld van een geparameteriseerd beleid is het ingebouwde beleid, Specifieke groep toestaan. Wanneer dit beleid wordt toegepast op een RP, moet deze parameter worden opgegeven.
Een niet-geparameteriseerde beleidssjabloon is een beleidssjabloon die geen parameters heeft. Een beheerder kan deze sjabloon zonder invoer toewijzen aan RPs en kan wijzigingen aanbrengen in een niet-geparameteriseerde beleidssjabloon nadat deze is gemaakt. Een voorbeeld hiervan is het ingebouwde beleid, iedereen toestaan en MFA vereisen.
Een niet-geparameteriseerd toegangsbeheerbeleid maken
Gebruik de volgende procedure om een niet-geparameteriseerd toegangsbeheerbeleid te maken
Een niet-geparameteriseerd toegangsbeheerbeleid maken
Selecteer in AD FS-beheer aan de linkerkant Toegangsbeheerbeleid en klik met de rechtermuisknop op Toegangsbeheerbeleid toevoegen.
Voer een naam en een beschrijving in. Bijvoorbeeld: gebruikers met geverifieerde apparaten toestaan.
Klik op Toevoegenonder Toegang toestaan als aan een van de volgende regels wordt voldaan.
Plaats onder Vergunning een vinkje naast van apparaten met een specifiek vertrouwensniveau
Selecteer onderaan de onderstreepte specifieke
Selecteer in het venster dat wordt weergegeven geverifieerd in de vervolgkeuzelijst. Klik op OK.
Klik op OK. Klik op OK.
Een geparameteriseerd toegangsbeheerbeleid maken
Gebruik de volgende procedure om een beleid voor geparameteriseerde toegangsbeheer te maken
Een geparameteriseerd toegangsbeheerbeleid maken
Selecteer in AD FS-beheer aan de linkerkant Toegangsbeheerbeleid en klik met de rechtermuisknop op Toegangsbeheerbeleid toevoegen.
Voer een naam en een beschrijving in. Bijvoorbeeld: gebruikers met een specifieke claim toestaan.
Klik op Toevoegenonder Toegang toestaan als aan een van de volgende regels wordt voldaan.
Plaats onder de rubriek Vergunning een selectievakje naast bij specifieke claims in verzoek.
Selecteer onderaan de onderstreepte specifieke
Selecteer in het venster dat wordt weergegeven Parameter die is opgegeven wanneer het toegangsbeheerbeleid is toegewezen. Klik op OK.
Klik op OK. Klik op OK.
Een aangepast toegangsbeheerbeleid maken met een uitzondering
Als u een toegangsbeheerbeleid met een uitzondering wilt maken, gebruikt u de volgende procedure.
Een aangepast toegangsbeheerbeleid maken met een uitzondering
Selecteer in AD FS-beheer aan de linkerkant Toegangsbeheerbeleid en klik met de rechtermuisknop op Toegangsbeheerbeleid toevoegen.
Voer een naam en een beschrijving in. Bijvoorbeeld: gebruikers toestaan met geverifieerde, maar niet beheerde apparaten.
Klik op Toevoegenonder Toegang toestaan als aan een van de volgende regels wordt voldaan.
Plaats onder Vergunning een vinkje naast van apparaten met een specifiek vertrouwensniveau
Selecteer onderaan de onderstreepte specifieke
Selecteer in het venster dat wordt weergegeven geverifieerd in de vervolgkeuzelijst. Klik op OK.
Onder Uitzonderingen, plaats een vinkje in het selectievakje naast van apparaten met een specifiek vertrouwensniveau
Selecteer onderaan onder 'uitzonderingen', de onderstreepte specifieke
Selecteer in het pop-upvenster de optie Beheerd uit de vervolgkeuzelijst. Klik op OK.
Klik op OK. Klik op OK.
Een aangepast toegangsbeheerbeleid maken met meerdere voorwaarden voor toestaan
Gebruik de volgende procedure om een beleid voor toegangsbeheer met meerdere voorwaarden voor toestaan te maken
Een geparameteriseerd toegangsbeheerbeleid maken
Selecteer in AD FS-beheer aan de linkerkant Toegangsbeheerbeleid en klik met de rechtermuisknop op Toegangsbeheerbeleid toevoegen.
Voer een naam en een beschrijving in. Bijvoorbeeld: gebruikers met een specifieke claim en van een specifieke groep toestaan.
Klik op Toevoegenonder Toegang toestaan als aan een van de volgende regels wordt voldaan.
Schakel onder Toestaan een selectievakje in naast van een specifieke groep en met specifieke claims in de aanvraag
Selecteer onderaan de onderstreepte specifieke voor de eerste voorwaarde, naast groepen
Selecteer in het venster dat wordt weergegeven parameter die is opgegeven wanneer het beleid wordt toegewezen. Klik op OK.
Selecteer onderaan de onderstreepte specifieke voor de tweede voorwaarde naast claims.
Selecteer in het venster dat wordt weergegeven Parameter die is opgegeven wanneer het toegangsbeheerbeleid is toegewezen. Klik op OK.
Klik op OK. Klik op OK.
Een toegangsbeheerbeleid toewijzen aan een nieuwe toepassing
Het toewijzen van een toegangsbeheerbeleid aan een nieuwe toepassing is vrij eenvoudig en is nu geïntegreerd in de wizard voor het toevoegen van een RP. In de wizard Relying Party Trust kunt u het beleid voor toegangsbeheer selecteren dat u wilt toewijzen. Dit is een vereiste bij het maken van een nieuwe relying party-vertrouwensrelatie.
Een toegangsbeheerbeleid toewijzen aan een bestaande toepassing
Als u een toegangsbeheerbeleid toewijst aan een bestaande toepassing, selecteert u de toepassing in Relying Party-vertrouwensrelaties en klikt u met de rechtermuisknop op Toegangsbeheerbeleid bewerken.
Hier kunt u het toegangsbeheerbeleid selecteren en toepassen op de toepassing.
