Handbuch mit exemplarischer Vorgehensweise: Verwalten von Risiken mit der bedingten Zugriffssteuerung

Informationen zum Handbuch

Diese exemplarische Vorgehensweise enthält Anweisungen zum Verwalten von Risiken mit einem der Faktoren (Benutzerdaten), die über den Mechanismus der bedingten Zugriffssteuerung in Active Directory-Verbunddiensten (AD FS) unter Windows Server 2012 R2 zur Verfügung stehen. Weitere Informationen zur bedingten Zugriffssteuerung und zu Autorisierungsmechanismen in AD FS unter Windows Server 2012 R2 finden Sie unter Verwalten von Risiken mit der bedingten Zugriffssteuerung.

Die exemplarische Vorgehensweise enthält die folgenden Abschnitte:

• Schritt 1: Einrichten der Testumgebung

• Schritt 2: Überprüfen des Standardmechanismus für die AD FS-Zugriffssteuerung

• „Schritt 3: Konfigurieren von Richtlinien für die bedingte Zugriffssteuerung auf Grundlage von Benutzerdaten

• Schritt 4: Überprüfung des Mechanismus der bedingten Zugriffssteuerung

Schritt 1: Einrichten der Testumgebung

Damit die exemplarische Vorgehensweise abgeschlossen werden kann, benötigen Sie eine Umgebung mit den folgenden Komponenten:

• Eine Active Directory-Domäne mit einem Testbenutzer und Testgruppenkonten unter Windows Server 2008, Windows Server 2008 R2 oder Windows Server 2012 mit einem Schemaupgrade auf Windows Server 2012 R2 oder eine Active Directory-Domäne unter Windows Server 2012 R2

• Ein Verbundserver unter Windows Server 2012 R2

• Webserver, auf dem die Beispielanwendung gehostet wird

• Clientcomputer, über den Sie auf die Beispielanwendung zugreifen können

Warnung

Es wird (sowohl in Produktions- als auch in Testumgebungen) dringend empfohlen, nicht denselben Computer für den Verbundserver und den Webserver zu verwenden.

In dieser Umgebung gibt der Verbundserver die erforderlichen Ansprüche aus, sodass Benutzer auf die Beispielanwendung zugreifen können. Auf dem Webserver wird eine Beispielanwendung gehostet, die den Benutzern vertraut, die die vom Verbundserver ausgestellten Ansprüche vorweisen.

Anweisungen zum Einrichten dieser Umgebung finden Sie unter Einrichten der Labumgebung für AD FS unter Windows Server 2012 R2.

Schritt 2: Überprüfen des Standardmechanismus für die AD FS-Zugriffssteuerung

In diesem Schritt überprüfen Sie den Standardmechanismus für die AD FS-Zugriffssteuerung, bei dem der Benutzer auf die AD FS-Anmeldeseite umgeleitet wird, gültige Anmeldeinformationen eingibt und Zugriff auf die Anwendung erhält. Sie können das AD-Konto Robert Hatley und die Beispielanwendung claimapp verwenden, das bzw. die Sie unter Einrichten der Labumgebung für AD FS unter Windows Server 2012 R2 konfiguriert haben.

So überprüfen Sie den Standardmechanismus für die AD FS-Zugriffssteuerung

1. Öffnen Sie auf dem Clientcomputer ein Browserfenster, und navigieren Sie zur Beispielanwendung: https://webserv1.contoso.com/claimapp.

   Mit dieser Aktion wird die Anforderung automatisch an den Verbundserver umgeleitet, und Sie werden zur Anmeldung mit einem Benutzernamen und einem Kennwort aufgefordert.

2. Geben Sie die Anmeldeinformationen des AD-Kontos Robert Hatley ein, das Sie unter Einrichten der Labumgebung für AD FS unter Windows Server 2012 R2 erstellt haben.

   Ihnen wird der Zugriff auf die Anwendung gewährt.

„Schritt 3: Konfigurieren von Richtlinien für die bedingte Zugriffssteuerung auf Grundlage von Benutzerdaten

In diesem Schritt richten Sie basierend auf den Daten der Benutzergruppenmitgliedschaft eine Richtlinie für die Zugriffssteuerung ein. Sie konfigurieren also eine Ausstellungsautorisierungsregel auf dem Verbundserver für eine Vertrauensstellung der vertrauenden Seite, die Ihre Beispielanwendung claimapp darstellt. Anhand der Logik dieser Regel werden für den AD-Benutzer Robert Hatley Ansprüche ausgestellt, die zum Zugreifen auf diese Anwendung erforderlich sind, da er der Gruppe Finance angehört. Unter Einrichten der Labumgebung für AD FS unter Windows Server 2012 R2 haben Sie das Konto Robert Hatley der Gruppe Finance hinzugefügt.

Sie können diese Aufgabe über die AD FS-Verwaltungskonsole oder über Windows PowerShell ausführen.

So konfigurieren Sie die Richtlinie für die bedingte Zugriffssteuerung basierend auf Benutzerdaten über die AD FS-Verwaltungskonsole

1. Navigieren Sie in der AD FS-Verwaltungskonsole zu Vertrauensstellungen und anschließend zu Vertrauensstellungen der vertrauenden Seite.

2. Wählen Sie die Vertrauensstellung der vertrauenden Seite für Ihre Beispielanwendung (claimapp) aus, und wählen Sie anschließend entweder im Bereich Aktionen oder durch Rechtsklick auf diese Vertrauensstellung der vertrauenden Seite die Option Anspruchsregeln bearbeiten aus.

3. Wählen Sie im Fenster Anspruchsregeln für claimapp bearbeiten die Registerkarte Ausstellungsautorisierungsregeln aus, und klicken Sie dann auf Regel hinzufügen.

4. Wählen Sie in Assistent zum Hinzufügen einer Ausstellungsautorisierungs-Anspruchsregel auf der Seite Regelvorlage auswählen die Anspruchsregelvorlage Benutzern den Zugriff auf Grundlage eines eingehenden Anspruchs gewähren oder verweigern aus, und klicken Sie dann auf Weiter.

5. Führen Sie auf der Seite Regel konfigurieren alle folgenden Aktionen aus, und klicken Sie dann auf Fertig stellen:

   1. Geben Sie einen Namen für die Anspruchsregel ein, z. B. TestRule.

   2. Wählen Sie für Eingehender Anspruchstyp die Option Gruppen-SID aus.

   3. Klicken Sie auf Durchsuchen, geben Sie Finance als Name der AD-Testgruppe ein, und lösen Sie ihn für das Feld Eingehender Anspruchswert auf.

   4. Wählen Sie die Option Benutzern mit diesem eingehenden Anspruch Zugriff verweigern aus.

6. Stellen Sie im Fenster Anspruchsregeln für claimapp bearbeiten sicher, dass die Regel Allen Benutzern Zugriff gewähren, die beim Erstellen dieser Vertrauensstellung der vertrauenden Seite generiert wurde, gelöscht wird.

So konfigurieren Sie die Richtlinie für die bedingte Zugriffssteuerung basierend auf Benutzerdaten über Windows PowerShell

1. Öffnen Sie auf dem Verbundserver das Windows PowerShell-Befehlsfenster, und führen Sie den folgenden Befehl aus:

$rp = Get-AdfsRelyingPartyTrust -Name claimapp

2. Führen Sie im selben Windows PowerShell-Befehlsfenster den folgenden Befehl aus:

$GroupAuthzRule = '@RuleTemplate = "Authorization" @RuleName = "Foo" c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value =~ "^(?i)<group_SID>$"] =>issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = "DenyUsersWithClaim");'
Set-AdfsRelyingPartyTrust -TargetRelyingParty $rp -IssuanceAuthorizationRules $GroupAuthzRule

Hinweis

Achten Sie darauf, <group_SID> durch den Wert der SID Ihrer AD-Gruppe Finance zu ersetzen.

Schritt 4: Überprüfung des Mechanismus der bedingten Zugriffssteuerung

In diesem Schritt überprüfen Sie die Richtlinie für die bedingte Zugriffssteuerung, die Sie im vorherigen Schritt eingerichtet haben. Sie können mithilfe der folgenden Vorgehensweise überprüfen, ob der AD-Benutzer Robert Hatley auf die Beispielanwendung zugreifen kann, da er zur Gruppe Finance gehört. AD-Benutzer, die nicht zur Gruppe Finance gehören, können nicht auf die Beispielanwendung zugreifen.

1. Öffnen Sie auf dem Clientcomputer ein Browserfenster, und navigieren Sie zur Beispielanwendung: https://webserv1.contoso.com/claimapp.

   Mit dieser Aktion wird die Anforderung automatisch an den Verbundserver umgeleitet, und Sie werden zur Anmeldung mit einem Benutzernamen und einem Kennwort aufgefordert.

2. Geben Sie die Anmeldeinformationen des AD-Kontos Robert Hatley ein, das Sie unter Einrichten der Labumgebung für AD FS unter Windows Server 2012 R2 erstellt haben.

   Ihnen wird der Zugriff auf die Anwendung gewährt.

3. Geben Sie die Anmeldeinformationen eines anderen AD-Benutzers ein, der NICHT zur Gruppe Finance gehört. Weitere Informationen zum Erstellen von Benutzerkonten in AD finden Sie unter https://technet.microsoft.com/library/cc7833232.aspx.

   Aufgrund der im vorherigen Schritt eingerichteten Zugriffssteuerungsrichtlinie wird für diesen AD-Benutzer, der NICHT zur Gruppe Finance gehört, die Meldung „Zugriff verweigert“ angezeigt. Der Standardmeldungstext lautet Sie sind nicht autorisiert, auf diese Website zuzugreifen. Klicken Sie hier, um sich ab- und erneut anzumelden, oder wenden Sie sich an Ihren Administrator, um Berechtigungen zu erhalten. Dieser Text kann jedoch vollständig angepasst werden. Weitere Informationen zum Anpassen der Anmeldeseiten finden Sie unter Customizing the AD FS Sign-in Pages.

Weitere Informationen

Bewältigen von Risiken mithilfe der bedingten ZugriffssteuerungEinrichten der Labumgebung für AD FS unter Windows Server 2012 R2