Dela via

Principer för åtkomstkontroll i Windows Server 2016 AD FS

Principmallar för åtkomstkontroll i AD FS

Active Directory Federation Services stöder nu användning av principmallar för åtkomstkontroll. Genom att använda principmallar för åtkomstkontroll kan en administratör tillämpa principinställningar genom att tilldela principmallen till en grupp förlitande parter (RPs). Administratören kan också göra uppdateringar av principmallen och ändringarna tillämpas automatiskt på de förlitande parterna om det inte behövs någon användarinteraktion.

Vad är principmallar för åtkomstkontroll?

AD FS-kärnpipelinen för principbearbetning har tre faser: autentisering, auktorisering och anspråksutfärdning. För närvarande måste AD FS-administratörer konfigurera en princip för var och en av dessa faser separat. Detta innebär också att förstå konsekvenserna av dessa principer och om dessa principer har interberoende. Administratörer måste också förstå anspråksregelspråket och skapa anpassade regler för att aktivera en enkel/gemensam princip (till exempel blockera extern åtkomst).

Vad principmallar för åtkomstkontroll gör är att ersätta den här gamla modellen där administratörer måste konfigurera utfärdandeauktoriseringsregler med hjälp av anspråksspråk. De gamla PowerShell-cmdletarna med utfärdandeauktoriseringsregler gäller fortfarande, men kan inte användas tillsammans med den nya modellen. Administratörer kan välja att antingen använda den nya modellen eller den gamla modellen. Den nya modellen gör det möjligt för administratörer att styra när de ska bevilja åtkomst, inklusive att framtvinga multifaktorautentisering.

Principmallar för åtkomstkontroll använder en tillståndsmodell. Det innebär som standard att ingen har åtkomst och att åtkomst uttryckligen måste beviljas. Detta är dock inte bara ett allt- eller inget-tillstånd. Administratörer kan lägga till undantag i tillståndsregeln. En administratör kanske till exempel vill bevilja åtkomst baserat på ett specifikt nätverk genom att välja det här alternativet och ange IP-adressintervallet. Men administratören kan lägga till och undantag, till exempel kan administratören lägga till ett undantag från ett visst nätverk och ange ip-adressintervallet.

Skärmbild som visar var du vill visa principer för åtkomstkontroll.

Inbyggda principmallar för åtkomstkontroll jämfört med principmallar för anpassad åtkomstkontroll

AD FS innehåller flera inbyggda principmallar för åtkomstkontroll. Dessa är inriktade på några vanliga scenarier som har samma uppsättning principkrav, till exempel klientåtkomstprincip för Office 365. Dessa mallar kan inte ändras.

Skärmbild som visar inbyggda principer för åtkomstkontroll.

Administratörer kan skapa egna åtkomstprincipmallar för att ge ökad flexibilitet för att tillgodose dina affärsbehov. Dessa kan ändras när du har skapat och ändringar i den anpassade principmallen gäller för alla RP:er som styrs av dessa principmallar. Om du vill lägga till en anpassad principmall klickar du bara på Lägg till åtkomstkontrollprincip inifrån AD FS-hantering.

För att skapa en principmall måste en administratör först ange under vilka villkor en begäran ska auktoriseras för tokenutfärding och/eller delegering. Villkors- och åtgärdsalternativ visas i tabellen nedan. Villkor i fetstil kan konfigureras ytterligare av administratören med olika eller nya värden. Administratören kan också ange undantag om det finns några. När ett villkor uppfylls utlöses inte en tillståndsåtgärd om ett undantag har angetts och den inkommande begäran matchar det villkor som anges i undantaget.

Tillåt användare Except
Från ett specifikt nätverk Från ett specifikt nätverk

Från specifika grupper

Från enheter med specifika förtroendenivåer

Med specifika anspråk i begäran
Från specifika grupper Från ett specifikt nätverk

Från specifika grupper

Från enheter med specifika förtroendenivåer

Med specifika anspråk i begäran
Från enheter med specifika förtroendenivåer Från ett specifikt nätverk

Från specifika grupper

Från enheter med specifika förtroendenivåer

Med specifika anspråk i begäran
Med specifika anspråk i begäran Från ett specifikt nätverk

Från specifika grupper

Från enheter med specifika förtroendenivåer

Med specifika anspråk i begäran
Och kräver multifaktorautentisering Från ett specifikt nätverk

Från specifika grupper

Från enheter med specifika förtroendenivåer

Med specifika anspråk i begäran

Om en administratör väljer flera villkor är de av AND-relation . Åtgärder är ömsesidigt uteslutande och för en principregel kan du bara välja en åtgärd. Om administratören väljer flera undantag är de av en OR-relation . Ett par exempel på principregler visas nedan:

Policy Principregler
Extranätsåtkomst kräver MFA

Alla användare är tillåtna

 Regel 1

från extranät

och med MFA

Permit

Rule#2

från intranät

Permit
Extern åtkomst tillåts inte förutom icke-FTE

Intranätåtkomst för FTE på arbetsplatskopplad enhet är tillåten

 Regel 1

Från extranät

och från icke-FTE-grupp

Permit

Regel 2

från intranät

och från arbetsplats ansluten enhet

och från FTE-grupp

Permit
Extranätsåtkomst kräver MFA förutom "serviceadmin"

Alla användare har behörighet att komma åt

 Regel 1

från extranät

och med MFA

Permit

Förutom tjänstadministratörsgrupp

Regel 2

always

Permit
Enhet utanför arbetsplatsen som ansluter till extranät kräver MFA

Tillåt AD-infrastrukturresurser för intranät- och extranätåtkomst

 Regel 1

från intranät

Och från AD Fabric-gruppen

Permit

Regel 2

från extranät

och från en enhet som inte är ansluten till arbetsplatsen

och från AD Fabric-gruppen

och med MFA

Permit

Regel 3

från extranät

och från arbetsplats ansluten enhet

och från AD Fabric-gruppen

Permit

Parameteriserad principmall jämfört med en principmall som inte är parameteriserad

En parameteriserad principmall är en principmall som har parametrar. En administratör måste ange värdet för dessa parametrar när den här mallen tilldelas till RPs.En administratör kan inte göra ändringar i parameteriserad principmall när den har skapats. Ett exempel på en parametriserad princip är den inbyggda principen, Tillåt specifik grupp. När den här principen tillämpas på en RP måste den här parametern anges.

Skärmbild som visar ett exempel på en parameteriserad principmall.

En icke-parametriserad principmall är en principmall som inte har parametrar. En administratör kan tilldela den här mallen till RPs utan att något behövs och kan göra ändringar i en icke-parameteriserad principmall när den har skapats. Ett exempel på detta är den inbyggda principen, Tillåt alla och kräva MFA.

Skärmbild som visar ett exempel på en principmall som inte är parameteriserad.

Så här skapar du en princip för icke-parametriserad åtkomstkontroll

Om du vill skapa en princip för icke-parametriserad åtkomstkontroll använder du följande procedur

Så här skapar du en princip för icke-parametriserad åtkomstkontroll

  1. Från AD FS Management till vänster väljer du Åtkomstkontrollprinciper och till höger klickar du på Lägg till åtkomstkontrollprincip.

  2. Ange ett namn och en beskrivning. Till exempel: Tillåt användare med autentiserade enheter.

  3. Under Tillåt åtkomst om någon av följande regler uppfylls klickar du på Lägg till.

  4. Under Tillåt markerar du kryssrutan bredvid från enheter med specifik förtroendenivå

  5. Längst ned väljer du den understrukna specifika

  6. I fönstret som visas väljer du autentiserad från listrutan. Klicka på OK.

    Skärmbild som visar hur du väljer enhetens förtroendenivå.

  7. Klicka på OK. Klicka på OK.

    Skärmbild som visar hur du accepterar principändringen.

Så här skapar du en princip för parametriserad åtkomstkontroll

Om du vill skapa en parametriserad åtkomstkontrollprincip använder du följande procedur

Skapa en princip för parametriserad åtkomstkontroll

  1. Från AD FS Management till vänster väljer du Åtkomstkontrollprinciper och till höger klickar du på Lägg till åtkomstkontrollprincip.

  2. Ange ett namn och en beskrivning. Till exempel: Tillåt användare med ett specifikt anspråk.

  3. Under Tillåt åtkomst om någon av följande regler uppfylls klickar du på Lägg till.

  4. Under Tillstånd markerar du kryssrutan bredvid med specifika anspråk i begäran

  5. Längst ned väljer du den understrukna specifika

  6. I fönstret som visas väljer du Parameter som anges när åtkomstkontrollprincipen tilldelas. Klicka på OK.

    Skärmbild som visar parametern som angavs när alternativet för åtkomstkontrollprincip tilldelas.

  7. Klicka på OK. Klicka på OK.

    Skärmbild som visar hur du accepterar det valda alternativet.

Så här skapar du en anpassad åtkomstkontrollprincip med ett undantag

Om du vill skapa en princip för åtkomstkontroll med ett undantag använder du följande procedur.

Skapa en anpassad åtkomstkontrollprincip med ett undantag

  1. Från AD FS Management till vänster väljer du Åtkomstkontrollprinciper och till höger klickar du på Lägg till åtkomstkontrollprincip.

  2. Ange ett namn och en beskrivning. Till exempel: Tillåt användare med autentiserade enheter men inte hanterade.

  3. Under Tillåt åtkomst om någon av följande regler uppfylls klickar du på Lägg till.

  4. Under Tillåt markerar du kryssrutan bredvid från enheter med specifik förtroendenivå

  5. Längst ned väljer du den understrukna specifika

  6. I fönstret som visas väljer du autentiserad från listrutan. Klicka på OK.

  7. Förutom, markera kryssrutan intill från enheter med specifik förtroendenivå

  8. Längst ned under utom väljer du den understrukna specifika

  9. I fönstret som visas väljer du hanterad i listrutan. Klicka på OK.

  10. Klicka på OK. Klicka på OK.

    Skärmbild som visar dialogrutan Skärmredigeraren.

Så här skapar du en anpassad åtkomstkontrollprincip med flera tillståndsvillkor

Om du vill skapa en åtkomstkontrollprincip med flera tillståndsvillkor använder du följande procedur

Skapa en princip för parametriserad åtkomstkontroll

  1. Från AD FS Management till vänster väljer du Åtkomstkontrollprinciper och till höger klickar du på Lägg till åtkomstkontrollprincip.

  2. Ange ett namn och en beskrivning. Till exempel: Tillåt användare med ett specifikt anspråk och från en specifik grupp.

  3. Under Tillåt åtkomst om någon av följande regler uppfylls klickar du på Lägg till.

  4. Under Tillstånd markerar du kryssrutan bredvid från en specifik grupp och med specifika anspråk i begäran

  5. Längst ned väljer du den understrukna specifika för det första villkoret bredvid grupper

  6. I fönstret som visas väljer du Parameter som anges när principen tilldelas. Klicka på OK.

  7. Längst ned väljer du den understrukna specifika för det andra villkoret bredvid anspråk

  8. I fönstret som visas väljer du Parameter som anges när åtkomstkontrollprincipen tilldelas. Klicka på OK.

  9. Klicka på OK. Klicka på OK.

principer för åtkomstkontroll

Tilldela en åtkomstkontrollprincip till ett nytt program

Det är ganska enkelt att tilldela en åtkomstkontrollprincip till ett nytt program och har nu integrerats i guiden för att lägga till en RP. I guiden Förtroende för förlitande part kan du välja den åtkomstkontrollprincip som du vill tilldela. Detta är ett krav när du skapar ett nytt förlitande partförtroende.

Skärmbild som visar skärmen Välj åtkomstkontrollprincip.

Tilldela en åtkomstkontrollprincip till ett befintligt program

När du tilldelar en åtkomstkontrollprincip till ett befintligt program väljer du helt enkelt programmet från Förlitande partsförtroenden och högerklickar på Redigera åtkomstkontrollprincip.

Skärmbild som visar programmet Retrying Party Trusts.

Härifrån kan du välja åtkomstkontrollprincipen och tillämpa den på programmet.

Skärmbild som visar hur du redigerar principen för åtkomstkontroll.

Se även

AD FS-åtgärder