Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
klíčové koncepty – řízení podmíněného přístupu ve službě AD FS
řízení rizik pomocí podmíněného řízení přístupu
Klíčové koncepty – řízení podmíněného přístupu ve službě AD FS
Celkovou funkcí služby AD FS je vydání přístupového tokenu, který obsahuje sadu deklarací identity. Rozhodnutí týkající se toho, které deklarace identity služba AD FS přijímá a následně vydává, se řídí pravidly pro deklarace identity.
Řízení přístupu ve službě AD FS se implementuje pomocí pravidel autorizace vystavení nároku, která slouží k povolení nebo zamítnutí nároků, a tím určují, zda bude uživatel nebo skupina uživatelů mít přístup k prostředkům zabezpečeným službou AD FS nebo ne. Autorizační pravidla je možné nastavit pouze u důvěřujících stran.
| Možnost pravidla | Logika pravidla |
|---|---|
| Povolit všem uživatelům | Pokud se typ příchozí deklarace identity rovná jakýkoli typ deklarace identity a hodnota se rovná jakékoli hodnotě, pak vyvolejte deklaraci identity s hodnotou Povolení |
| Povolit přístup uživatelům s tímto příchozím tvrzením | Pokud typ příchozí deklarace identity rovná zadanému typu deklarace identity a hodnota rovná zadané hodnotě deklarace identity, pak vydejte deklaraci identity s hodnotou Povolit |
| Odepřít přístup uživatelům s tímto příchozím nárokem | Pokud se typ příchozí deklarace identity rovná specifikovanému typu deklarace identity a hodnota rovná se specifikované hodnotě deklarace identity, pak vydat deklaraci identity s hodnotou rovnou a odepřít |
Další informace o těchto možnostech a logice pravidel naleznete v tématu Kdy použít pravidlo autorizace.
Ve službě AD FS ve Windows Serveru 2012 R2 je řízení přístupu rozšířeno o více faktorů, včetně dat o uživateli, zařízení, poloze a ověřování. To je možné díky širší škále typů nároků dostupných pro autorizační pravidla. Jinými slovy, ve službě AD FS ve Windows Serveru 2012 R2 můžete vynutit řízení podmíněného přístupu na základě identity uživatele nebo členství ve skupině, umístění v síti, zařízení (jestli je připojené k síti na pracovišti, další informace najdete v tématu Připojení k pracovišti z libovolného zařízení pro jednotné přihlašování a bezproblémové druhéfaktorové ověřování napříč podnikovými aplikacemi) a stav ověřování (jestli bylo provedeno vícefaktorové ověřování (MFA).
Řízení podmíněného přístupu ve službě AD FS ve Windows Serveru 2012 R2 nabízí následující výhody:
Flexibilní a expresní zásady autorizace pro jednotlivé aplikace, které umožňují povolit nebo odepřít přístup na základě uživatele, zařízení, síťového umístění a stavu ověřování
Vytváření pravidel pro autorizaci vydávání pro aplikace spoléhače
Bohaté uživatelské rozhraní pro běžné scénáře řízení podmíněného přístupu
Podpora rozšířeného jazyka deklarací identity & prostředí Windows PowerShell pro pokročilé scénáře řízení podmíněného přístupu
Vlastní zprávy (pro aplikaci předávající strany) "Přístup byl odepřen". Další informace najdete v tématu Přizpůsobení přihlašovacích stránek služby AD FS. Díky možnosti přizpůsobení těchto zpráv můžete vysvětlit, proč je uživateli odepřen přístup, a také usnadnit samoobslužnou nápravu, pokud je to možné, například vyzvat uživatele, aby se připojili ke svým zařízením na pracovišti. Další informace viz Připojení k pracovišti z libovolného zařízení pro SSO a bezproblémové dvoufaktorové ověřování napříč firemními aplikacemi.
Následující tabulka obsahuje všechny typy deklarací identity dostupné ve službě AD FS ve Windows Serveru 2012 R2, které se mají použít k implementaci řízení podmíněného přístupu.
| Typ nároku | Description |
|---|---|
| E-mailová adresa | E-mailová adresa uživatele |
| křestní jméno | Jméno uživatele. |
| Name | Jedinečný název uživatele |
| hlavní název uživatele (UPN) | Hlavní název uživatele (UPN). |
| Běžný název | Běžný název uživatele. |
| AD FS 1 x e-mailová adresa | E-mailová adresa uživatele při spolupráci se službou AD FS 1.1 nebo AD FS 1.0. |
| Group | Skupina, jejíž je uživatel členem |
| AD FS 1 x uživatelské přihlašovací jméno (UPN) | Hlavní název uživatele (UPN - User Principal Name) při spolupráci s AD FS 1.1 nebo AD FS 1.0. |
| Role | Role, kterou má uživatel. |
| Surname | Přezdívka uživatele |
| PPID | Privátní identifikátor uživatele. |
| Identifikátor názvu | Identifikátor jména SAML uživatele. |
| Časové razítko autentizace | Používá se k zobrazení času a data ověření uživatele. |
| Metoda ověřování | Metoda použitá k ověření uživatele. |
| Odepřít pouze identifikátor SID skupiny | SID identifikátor skupiny pouze pro odepření přístupu uživateli. |
| Odepřít pouze primární identifikátor SID | Primární identifikátor SID uživatele pouze pro odepření. |
| Odepřít pouze identifikátor SID primární skupiny | Primární identifikátor SID skupiny pouze pro odepření uživatele. |
| SID skupiny | Identifikátor SID skupiny uživatele. |
| Identifikátor SID primární skupiny | Identifikátor SID primární skupiny uživatele. |
| Primární identifikátor SID | Primární identifikátor SID uživatele. |
| Název účtu Systému Windows | Název účtu domény uživatele ve formě domény\uživatel. |
| Je registrovaný uživatel. | Uživatel je zaregistrovaný k používání tohoto zařízení. |
| Identifikátor zařízení | Identifikátor zařízení. |
| Identifikátor registrace zařízení | Identifikátor registrace zařízení. |
| Název pro zobrazení registrace zařízení | Zobrazovaný název registrace zařízení. |
| Typ operačního systému zařízení | Typ operačního systému zařízení. |
| Verze operačního systému zařízení | Verze operačního systému zařízení. |
| Je to spravované zařízení | Zařízení spravuje služba pro správu. |
| IP adresa předaná klientem | IP adresa uživatele. |
| Klientská aplikace | Typ klientské aplikace |
| Klientský uživatelský agent | Typ zařízení, který klient používá pro přístup k aplikaci. |
| IP adresa klienta | IP adresa tohoto klienta |
| Cesta ke koncovému bodu | Absolutní cesta koncového bodu, kterou lze použít k určení aktivních a pasivních klientů. |
| Proxy | Název DNS proxy federačního serveru, který požadavek předal. |
| Identifikátor aplikace | Identifikátor důvěřující strany. |
| Zásady aplikací | Zásady použití certifikátu. |
| Identifikátor autoritního klíče | Rozšíření identifikátoru klíčů autority certifikátu, který podepsal vydaný certifikát. |
| Základní omezení | Jedno ze základních omezení certifikátu. |
| Rozšířené použití klíče | Popisuje jedno z vylepšených použití klíče certifikátu. |
| Issuer | Název certifikační autority, která vydala certifikát X.509. |
| Název vystavitele | Rozlišující název vystavitele certifikátu. |
| Použití klíče | Jedno z klíčových použití certifikátu. |
| Ne po | Datum v místním čase, po kterém už certifikát není platný. |
| Ne dříve než | Datum v místním čase, kdy se certifikát stane platným. |
| Zásady certifikátů | Zásady, pod kterými byl certifikát vystaven. |
| Veřejný klíč | Veřejný klíč certifikátu. |
| Nezpracovaná data certifikátu | Nezpracovaná data certifikátu. |
| Alternativní název předmětu | Jeden z alternativních názvů certifikátu. |
| Sériové číslo | Sériové číslo certifikátu. |
| Algoritmus podpisu | Algoritmus použitý k vytvoření podpisu certifikátu. |
| Subject | Předmět certifikátu. |
| Identifikátor klíče subjektu | Identifikátor klíče subjektu certifikátu. |
| Název subjektu | Rozlišující název subjektu od certifikátu. |
| Název šablony V2 | Název šablony certifikátu verze 2 použitá při vydávání nebo obnovování certifikátu. Jedná se o hodnotu specifickou pro Microsoft. |
| Název šablony V1 | Název šablony certifikátu verze 1, která se používá při vydávání nebo obnovování certifikátu. Jedná se o hodnotu specifickou pro Microsoft. |
| Thumbprint | Kryptografický otisk certifikátu. |
| Verze X 509 | Verze formátu X.509 certifikátu. |
| Uvnitř podnikové sítě | Používá se k označení, jestli žádost pochází z podnikové sítě. |
| Čas vypršení platnosti hesla | Používá se k zobrazení času vypršení platnosti hesla. |
| Dny vypršení platnosti hesla | Používá se k zobrazení počtu dnů do vypršení platnosti hesla. |
| Aktualizovat adresu URL hesla | Slouží k zobrazení webové adresy služby pro aktualizaci hesel. |
| Odkazy na metody ověřování | Používá se k označení metod ověřování použité k ověření uživatele. |
Řízení rizik pomocí podmíněného řízení přístupu
Pomocí dostupných nastavení existuje mnoho způsobů, kterými můžete řídit riziko implementací řízení podmíněného přístupu.
Běžné scénáře
Představte si například jednoduchý scénář implementace řízení podmíněného přístupu na základě dat členství ve skupinách uživatele pro konkrétní aplikaci (vztah důvěryhodnosti předávající strany). Jinými slovy, na federačním serveru můžete nastavit autorizační pravidlo vystavování, které umožní uživatelům, kteří patří do určité skupiny ve vaší doméně AD, přístup k určité aplikaci zabezpečené službou AD FS. Podrobné podrobné pokyny (pomocí uživatelského rozhraní a Windows PowerShellu) pro implementaci tohoto scénáře najdete v návodu: Správa rizik pomocí podmíněného řízení přístupu. Abyste mohli dokončit kroky v tomto návodu, musíte nastavit testovací prostředí a postupovat podle kroků v Nastavení testovacího prostředí pro službu AD FS ve Windows Serveru 2012 R2.
Složitější scénáře
Mezi další příklady implementace řízení podmíněného přístupu ve službě AD FS ve Windows Serveru 2012 R2 patří:
Povolení přístupu k aplikaci zabezpečené službou AD FS pouze v případě, že se identita tohoto uživatele ověřila pomocí vícefaktorového ověřování
Můžete použít následující kód:
@RuleTemplate = "Authorization" @RuleName = "PermitAccessWithMFA" c:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)https://schemas\.microsoft\.com/claims/multipleauthn$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");Povolení přístupu k aplikaci zabezpečené službou AD FS pouze v případě, že žádost o přístup pochází ze zařízení připojeného k síti na pracovišti, které je zaregistrované uživateli
Můžete použít následující kód:
@RuleTemplate = "Authorization" @RuleName = "PermitAccessFromRegisteredWorkplaceJoinedDevice" c:[Type == "https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value =~ "^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");Povolení přístupu k aplikaci zabezpečené službou AD FS pouze v případě, že žádost o přístup pochází ze zařízení připojeného k pracovišti, které je zaregistrované uživateli, jehož identita byla ověřena pomocí MFA
Můžete použít následující kód.
@RuleTemplate = "Authorization" @RuleName = "RequireMFAOnRegisteredWorkplaceJoinedDevice" c1:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$"] && c2:[Type == "https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value =~ "^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");Povolte extranetový přístup k aplikaci zabezpečené službou AD FS pouze v případě, že žádost o přístup pochází od uživatele, jehož identita byla ověřena pomocí MFA.
Můžete použít následující kód:
@RuleTemplate = "Authorization" @RuleName = "RequireMFAForExtranetAccess" c1:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$"] && c2:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value =~ "^(?i)false$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");
Viz také
Průvodce návodem: Správa rizik pomocí podmíněného řízení přístupuNastavení testovacího prostředí pro službu AD FS ve Windows Serveru 2012 R2