Leitfaden: Risiken mit bedingter Zugriffskontrolle verwalten

Informationen zu diesem Leitfaden

Diese exemplarische Vorgehensweise enthält Anweisungen zum Verwalten von Risiken mit einem der Faktoren (Benutzerdaten), die über den Mechanismus für die bedingte Zugriffssteuerung in Active Directory-Verbunddienste (AD FS) in Windows Server 2012 R2 verfügbar sind. Weitere Informationen zur Steuerung und Autorisierung von bedingten Zugriffen in AD FS in Windows Server 2012 R2 finden Sie unter Verwalten von Risiken mit bedingter Zugriffssteuerung.

Diese Anleitung besteht aus den folgenden Abschnitten:

• Schritt 1: Einrichten der Lab-Umgebung

• Schritt 2: Überprüfen des standardmäßigen AD FS-Zugriffssteuerungsmechanismus

• Schritt 3: Konfigurieren der Richtlinie für die bedingte Zugriffssteuerung basierend auf Benutzerdaten

• Schritt 4: Überprüfen des Mechanismus für die bedingte Zugriffssteuerung

Schritt 1: Einrichten der Lab-Umgebung

Um diese exemplarische Vorgehensweise abzuschließen, benötigen Sie eine Umgebung, die aus den folgenden Komponenten besteht:

• Eine Active Directory-Domäne mit einem Testbenutzer- und Gruppenkonto, die unter Windows Server 2008, Windows Server 2008 R2 oder Windows Server 2012 ausgeführt wird, wobei das Schema auf Windows Server 2012 R2 oder eine Active Directory-Domäne aktualisiert wurde, die unter Windows Server 2012 R2 ausgeführt wird

• Ein Verbundserver unter Windows Server 2012 R2

• Ein Webserver, auf dem Ihre Beispielanwendung gehostet wird

• Ein Clientcomputer, von dem aus Sie auf die Beispielanwendung zugreifen können

Warnung

Es wird dringend empfohlen (sowohl in Produktions- als auch Testumgebungen), dass Sie nicht denselben Computer als Verbundserver und Webserver verwenden.

In dieser Umgebung gibt der Verbundserver die erforderlichen Ansprüche aus, damit Benutzer auf die Beispielanwendung zugreifen können. Auf dem Webserver wird eine Beispielanwendung gehostet, die den Benutzenden vertraut, welche die vom Verbundserver ausgestellten Ansprüche vorweisen.

Anweisungen zum Einrichten dieser Umgebung finden Sie unter Einrichten der Lab-Umgebung für AD FS in Windows Server 2012 R2.

Schritt 2: Überprüfen des standardmäßigen AD FS-Zugriffssteuerungsmechanismus

In diesem Schritt überprüfen Sie den standardmäßigen AD FS-Zugriffssteuerungsmechanismus, bei dem der Benutzer zur AD FS-Anmeldeseite umgeleitet wird, gültige Anmeldeinformationen bereitstellt und der Zugriff auf die Anwendung gewährt wird. Sie können das Robert Hatley AD-Konto und die Claimapp-Beispielanwendung verwenden, die Sie in der Einrichtung der Lab-Umgebung für AD FS in Windows Server 2012 R2 konfiguriert haben.

So überprüfen Sie den standardmäßigen AD FS-Zugriffssteuerungsmechanismus

1. Öffnen Sie auf Ihrem Clientcomputer ein Browserfenster, und navigieren Sie zu Ihrer Beispielanwendung: https://webserv1.contoso.com/claimapp.

   Diese Aktion leitet die Anforderung automatisch an den Verbundserver weiter, und Sie werden aufgefordert, sich mit einem Benutzernamen und Kennwort anzumelden.

2. Geben Sie die Anmeldeinformationen des Robert Hatley AD-Kontos ein, das Sie in der Einrichtung der Lab-Umgebung für AD FS in Windows Server 2012 R2 erstellt haben.

   Ihnen wird Der Zugriff auf die Anwendung gewährt.

Schritt 3: Konfigurieren der Richtlinie für die bedingte Zugriffssteuerung basierend auf Benutzerdaten

In diesem Schritt richten Sie eine Zugriffssteuerungsrichtlinie basierend auf den Benutzergruppenmitgliedschaftsdaten ein. Sie konfigurieren also eine Ausstellungsautorisierungsregel auf Ihrem Verbundserver für eine Vertrauensstellung der vertrauenden Seite, die Ihre Beispielanwendung claimapp darstellt. Durch die Logik dieser Regel werden dem AD-Benutzer Robert Hatley Ansprüche zugewiesen, die für den Zugriff auf diese Anwendung erforderlich sind, da er zu einer Finanzgruppe gehört. Sie haben das Robert Hatley-Konto zur Gruppe "Finanzen " in "Einrichten der Lab-Umgebung für AD FS in Windows Server 2012 R2" hinzugefügt.

Sie können diese Aufgabe entweder über die AD FS-Verwaltungskonsole oder über Windows PowerShell ausführen.

So konfigurieren Sie die Richtlinie für die bedingte Zugriffssteuerung basierend auf Benutzerdaten über die AD FS-Verwaltungskonsole

1. Navigieren Sie in der AD FS-Verwaltungskonsole zu Vertrauensstellungen und dann zu Vertrauensstellungen der vertrauenden Seite.

2. Wählen Sie die Vertrauensstellung der vertrauenden Seite aus, die Ihre Beispielanwendung (Claimapp) darstellt, und wählen Sie dann entweder im Bereich "Aktionen " oder durch Klicken mit der rechten Maustaste auf diese Vertrauensstellung der vertrauenden Seite " Anspruchsregeln bearbeiten" aus.

3. Wählen Sie im Fenster "Anspruchsregeln für claimapp bearbeiten " die Registerkarte " Ausstellungsautorisierungsregeln " aus, und klicken Sie auf " Regel hinzufügen".

4. Wählen Sie in Assistent zum Hinzufügen einer Anspruchsregel für die Ausstellungsautorisierung auf der Seite „Regelvorlage auswählen“ die Anspruchsregelvorlage Benutzende den Zugriff auf Grundlage eines eingehenden Anspruchs gewähren oder verweigern aus, und klicken Sie dann auf Weiter.

5. Führen Sie auf der Seite " Regel konfigurieren " die folgenden Schritte aus, und klicken Sie dann auf "Fertig stellen":

   1. Geben Sie einen Namen für die Anspruchsregel ein, z. B. "TestRule".

   2. Wählen Sie Gruppen-SID als eingehenden Anspruchstyp aus.

   3. Klicken Sie auf Durchsuchen, geben Sie Finanzen als Namen Ihrer AD-Testgruppe ein und lösen Sie ihn für das Feld Eingehender Anspruchswert auf.

   4. Wählen Sie die Option Benutzenden mit diesem eingehenden Anspruch Zugriff verweigern aus.

6. Löschen Sie im Fenster " Anspruchsregeln für claimapp bearbeiten" die Regel "Zugriff auf alle Benutzer zulassen ", die standardmäßig erstellt wurde, als Sie diese Vertrauensstellung der vertrauenden Seite erstellt haben.

So konfigurieren Sie die Richtlinie für die bedingte Zugriffssteuerung basierend auf Benutzerdaten über Windows PowerShell

1. Öffnen Sie auf Ihrem Verbundserver das Windows PowerShell-Befehlsfenster, und führen Sie den folgenden Befehl aus:

$rp = Get-AdfsRelyingPartyTrust -Name claimapp

2. Führen Sie im gleichen Windows PowerShell-Befehlsfenster den folgenden Befehl aus:

$GroupAuthzRule = '@RuleTemplate = "Authorization" @RuleName = "Foo" c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value =~ "^(?i)<group_SID>$"] =>issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = "DenyUsersWithClaim");'
Set-AdfsRelyingPartyTrust -TargetRelyingParty $rp -IssuanceAuthorizationRules $GroupAuthzRule

Hinweis

Stellen Sie sicher, dass Sie group_SID< durch den Wert der SID Ihrer AD > ersetzen.

Schritt 4: Überprüfen des Mechanismus für die bedingte Zugriffssteuerung

In diesem Schritt überprüfen Sie die Richtlinie für die bedingte Zugriffssteuerung, die Sie im vorherigen Schritt eingerichtet haben. Sie können das folgende Verfahren verwenden, um zu überprüfen, ob der Benutzer von Robert Hatley AD auf Ihre Beispielanwendung zugreifen kann, da er zur Gruppe "Finanzen" gehört, und AD-Benutzer, die nicht zur Gruppe "Finanzen " gehören, nicht auf die Beispielanwendung zugreifen können.

1. Öffnen Sie auf Ihrem Clientcomputer ein Browserfenster, und navigieren Sie zu Ihrer Beispielanwendung: https://webserv1.contoso.com/claimapp

   Diese Aktion leitet die Anforderung automatisch an den Verbundserver weiter, und Sie werden aufgefordert, sich mit einem Benutzernamen und Kennwort anzumelden.

2. Geben Sie die Anmeldeinformationen des Robert Hatley AD-Kontos ein, das Sie in der Einrichtung der Lab-Umgebung für AD FS in Windows Server 2012 R2 erstellt haben.

   Ihnen wird Der Zugriff auf die Anwendung gewährt.

3. Geben Sie die Anmeldeinformationen eines anderen AD-Benutzers ein, der NICHT zur Gruppe "Finanzen" gehört. (Weitere Informationen zum Erstellen von Benutzerkonten in AD finden Sie unter https://technet.microsoft.com/library/cc7833232.aspx.

   An diesem Punkt wird aufgrund der Zugriffssteuerungsrichtlinie, die Sie im vorherigen Schritt eingerichtet haben, eine Meldung "Zugriff verweigert" für diesen AD-Benutzer angezeigt, der nicht zur Gruppe "Finanzen " gehört. Der Standardnachrichtentext ist , dass Sie nicht berechtigt sind, auf diese Website zuzugreifen. Klicken Sie hier, um sich abzumelden und sich erneut anzumelden, oder wenden Sie sich an Ihren Administrator, um Berechtigungen zu erteilen. Dieser Text kann jedoch vollständig angepasst werden. Weitere Informationen zum Anpassen der Anmeldeoberfläche finden Sie unter Anpassen der AD FS-Anmeldeseiten.

Siehe auch

Verwalten von Risiken mit bedingter ZugriffssteuerungEinrichten der Lab-Umgebung für AD FS in Windows Server 2012 R2