Kebijakan Kontrol Akses di Layanan Federasi Direktori Aktif Windows Server 2016
Layanan Federasi Direktori Aktif sekarang mendukung penggunaan templat kebijakan kontrol akses. Dengan menggunakan templat kebijakan kontrol akses, administrator dapat menerapkan pengaturan kebijakan dengan menetapkan templat kebijakan ke sekelompok pihak yang mengandalkan (RPs). Administrator juga dapat membuat pembaruan pada templat kebijakan dan perubahan akan diterapkan pada pihak yang mengandalkan secara otomatis jika tidak ada interaksi pengguna yang diperlukan.
Alur inti Layanan Federasi Direktori Aktif untuk pemrosesan kebijakan memiliki tiga fase: autentikasi, otorisasi, dan penerbitan klaim. Saat ini, administrator Layanan Federasi Direktori Aktif harus mengonfigurasi kebijakan untuk setiap fase ini secara terpisah. Ini juga melibatkan pemahaman implikasi dari kebijakan ini dan jika kebijakan ini memiliki inter-dependensi. Selain itu, administrator harus memahami bahasa aturan klaim dan menulis aturan kustom untuk mengaktifkan beberapa kebijakan sederhana/umum (misalnya memblokir akses eksternal).
Templat kebijakan kontrol akses apa yang dilakukan adalah mengganti model lama ini di mana administrator harus mengonfigurasi Aturan Otorisasi Penerbitan menggunakan bahasa klaim. Cmdlet powerShell lama dari aturan otorisasi penerbitan masih berlaku tetapi sama-sama eksklusif dari model baru. Administrator dapat memilih untuk menggunakan model baru atau model lama. Model baru memungkinkan administrator mengontrol kapan harus memberikan akses, termasuk memberlakukan autentikasi multifaktor.
Templat kebijakan kontrol akses menggunakan model izin. Ini berarti secara default, tidak ada yang memiliki akses dan akses tersebut harus diberikan secara eksplisit. Namun, ini bukan hanya izin semua atau tidak sama sekali. Administrator dapat menambahkan pengecualian ke aturan izin. Misalnya, administrator mungkin ingin memberikan akses berdasarkan jaringan tertentu dengan memilih opsi ini dan menentukan rentang alamat IP. Tetapi administrator dapat menambahkan dan mengecualikan, misalnya, administrator dapat menambahkan pengecualian dari jaringan tertentu dan menentukan rentang alamat IP tersebut.
Layanan Federasi Direktori Aktif menyertakan beberapa templat kebijakan kontrol akses bawaan. Ini menargetkan beberapa skenario umum yang memiliki serangkaian persyaratan kebijakan yang sama, misalnya kebijakan akses klien untuk Office 365. Templat ini tidak dapat dimodifikasi.
Untuk memberikan peningkatan fleksibilitas untuk mengatasi kebutuhan bisnis Anda, administrator dapat membuat templat kebijakan akses mereka sendiri. Ini dapat dimodifikasi setelah pembuatan dan perubahan pada templat kebijakan kustom akan berlaku untuk semua RPs yang dikontrol oleh templat kebijakan tersebut. Untuk menambahkan templat kebijakan kustom, cukup klik Tambahkan Kebijakan Kontrol Akses dari dalam manajemen Layanan Federasi Direktori Aktif.
Untuk membuat templat kebijakan, administrator harus terlebih dahulu menentukan di mana kondisi permintaan akan diotorisasi untuk penerbitan token dan/atau delegasi. Opsi kondisi dan tindakan diperlihatkan dalam tabel di bawah ini. Kondisi dalam huruf tebal dapat dikonfigurasi lebih lanjut oleh administrator dengan nilai yang berbeda atau baru. Admin juga dapat menentukan pengecualian jika ada. Ketika kondisi terpenuhi, tindakan izin tidak akan dipicu jika ada pengecualian yang ditentukan dan permintaan masuk cocok dengan kondisi yang ditentukan dalam pengecualian.
Mengizinkan Pengguna | Kecuali |
---|---|
Dari jaringan tertentu | Dari jaringan tertentu Dari grup tertentu Dari perangkat dengan tingkat kepercayaan tertentu Dengan klaim tertentu dalam permintaan |
Dari grup tertentu | Dari jaringan tertentu Dari grup tertentu Dari perangkat dengan tingkat kepercayaan tertentu Dengan klaim tertentu dalam permintaan |
Dari perangkat dengan tingkat kepercayaan tertentu | Dari jaringan tertentu Dari grup tertentu Dari perangkat dengan tingkat kepercayaan tertentu Dengan klaim tertentu dalam permintaan |
Dengan klaim tertentu dalam permintaan | Dari jaringan tertentu Dari grup tertentu Dari perangkat dengan tingkat kepercayaan tertentu Dengan klaim tertentu dalam permintaan |
Dan memerlukan autentikasi multifaktor | Dari jaringan tertentu Dari grup tertentu Dari perangkat dengan tingkat kepercayaan tertentu Dengan klaim tertentu dalam permintaan |
Jika administrator memilih beberapa kondisi, mereka adalah hubungan AND . Tindakan saling eksklusif dan untuk satu aturan kebijakan Anda hanya dapat memilih satu tindakan. Jika admin memilih beberapa pengecualian, mereka adalah hubungan OR . Beberapa contoh aturan kebijakan ditunjukkan di bawah ini:
Kebijakan | Aturan kebijakan |
---|---|
Akses ekstranet memerlukan MFA Semua pengguna diizinkan |
Aturan #1 dari ekstranet dan dengan MFA Izin Aturan#2 dari intranet Izin |
Akses eksternal tidak diizinkan kecuali non-FTE Akses intranet untuk FTE pada perangkat yang bergabung dengan tempat kerja diizinkan |
Aturan #1 Dari ekstranet dan dari grup non-FTE Izin Aturan #2 dari intranet dan dari perangkat yang bergabung dengan tempat kerja dan dari grup FTE Izin |
Akses ekstranet memerlukan MFA kecuali "admin layanan" Semua pengguna diizinkan untuk mengakses |
Aturan #1 dari ekstranet dan dengan MFA Izin Kecuali grup admin layanan Aturan #2 always Izin |
perangkat gabungan tempat non-kerja yang mengakses dari ekstranet memerlukan MFA Mengizinkan fabric AD untuk akses intranet dan ekstranet |
Aturan #1 dari intranet Dan dari grup AD Fabric Izin Aturan #2 dari ekstranet dan dari perangkat yang bergabung dengan non-tempat kerja dan dari grup AD Fabric dan dengan MFA Izin Aturan #3 dari ekstranet dan dari perangkat yang bergabung dengan tempat kerja dan dari grup AD Fabric Izin |
Templat kebijakan berparameter adalah templat kebijakan yang memiliki parameter. Administrator perlu memasukkan nilai untuk parameter tersebut saat menetapkan templat ini ke RPs.Administrator tidak dapat membuat perubahan pada templat kebijakan berparameter setelah dibuat. Contoh kebijakan berparameter adalah kebijakan bawaan, Izinkan grup tertentu. Setiap kali kebijakan ini diterapkan ke RP, parameter ini perlu ditentukan.
Templat kebijakan non-parameter adalah templat kebijakan yang tidak memiliki parameter. Administrator dapat menetapkan templat ini ke RPs tanpa input apa pun yang diperlukan dan dapat membuat perubahan pada templat kebijakan non-parameter setelah dibuat. Contohnya adalah kebijakan bawaan, Izinkan semua orang dan wajibkan MFA.
Untuk membuat kebijakan kontrol akses non-parameter menggunakan prosedur berikut
Dari Manajemen Layanan Federasi Direktori Aktif di sebelah kiri pilih Kebijakan Kontrol Akses dan di sebelah kanan klik Tambahkan Kebijakan Kontrol Akses.
Masukkan nama dan deskripsi. Misalnya: Mengizinkan pengguna dengan perangkat terautentikasi.
Di bawah Izinkan akses jika salah satu aturan berikut terpenuhi, klik Tambahkan.
Di bawah izin, tempatkan centang di kotak di samping dari perangkat dengan tingkat kepercayaan tertentu
Di bagian bawah, pilih spesifik bergaris bawah
Dari jendela yang muncul, pilih diautentikasi dari menu drop-down. Klik OK.
Klik OK. Klik OK.
Untuk membuat kebijakan kontrol akses berparameter, gunakan prosedur berikut
Dari Manajemen Layanan Federasi Direktori Aktif di sebelah kiri pilih Kebijakan Kontrol Akses dan di sebelah kanan klik Tambahkan Kebijakan Kontrol Akses.
Masukkan nama dan deskripsi. Misalnya: Mengizinkan pengguna dengan klaim tertentu.
Di bawah Izinkan akses jika salah satu aturan berikut terpenuhi, klik Tambahkan.
Di bawah izin, tempatkan centang di kotak di samping dengan klaim tertentu dalam permintaan
Di bagian bawah, pilih spesifik bergaris bawah
Dari jendela yang muncul, pilih Parameter yang ditentukan saat kebijakan kontrol akses ditetapkan. Klik OK.
Klik OK. Klik OK.
Untuk membuat kebijakan kontrol akses dengan pengecualian, gunakan prosedur berikut.
Dari Manajemen Layanan Federasi Direktori Aktif di sebelah kiri pilih Kebijakan Kontrol Akses dan di sebelah kanan klik Tambahkan Kebijakan Kontrol Akses.
Masukkan nama dan deskripsi. Misalnya: Mengizinkan pengguna dengan perangkat terautentikasi tetapi tidak dikelola.
Di bawah Izinkan akses jika salah satu aturan berikut terpenuhi, klik Tambahkan.
Di bawah izin, tempatkan centang di kotak di samping dari perangkat dengan tingkat kepercayaan tertentu
Di bagian bawah, pilih spesifik bergaris bawah
Dari jendela yang muncul, pilih diautentikasi dari menu drop-down. Klik OK.
Di bawah kecuali, letakkan centang di kotak di samping dari perangkat dengan tingkat kepercayaan tertentu
Di bagian bawah di bawah kecuali, pilih garis bawah tertentu
Dari jendela yang muncul, pilih dikelola dari menu drop-down. Klik OK.
Klik OK. Klik OK.
Untuk membuat kebijakan kontrol akses dengan beberapa kondisi izin, gunakan prosedur berikut
Dari Manajemen Layanan Federasi Direktori Aktif di sebelah kiri pilih Kebijakan Kontrol Akses dan di sebelah kanan klik Tambahkan Kebijakan Kontrol Akses.
Masukkan nama dan deskripsi. Misalnya: Mengizinkan pengguna dengan klaim tertentu dan dari grup tertentu.
Di bawah Izinkan akses jika salah satu aturan berikut terpenuhi, klik Tambahkan.
Di bawah izin, tempatkan centang di kotak di samping dari grup tertentu dan dengan klaim tertentu dalam permintaan
Di bagian bawah, pilih garis bawah khusus untuk kondisi pertama, di samping grup
Dari jendela yang muncul, pilih Parameter yang ditentukan saat kebijakan ditetapkan. Klik OK.
Di bagian bawah, pilih garis bawah khusus untuk kondisi kedua, di samping klaim
Dari jendela yang muncul, pilih Parameter yang ditentukan saat kebijakan kontrol akses ditetapkan. Klik OK.
Klik OK. Klik OK.
Menetapkan kebijakan kontrol akses ke aplikasi baru cukup lurus ke depan dan sekarang telah diintegrasikan ke dalam wizard untuk menambahkan RP. Dari Wizard Kepercayaan Pihak yang Mengandalkan, Anda dapat memilih kebijakan kontrol akses yang ingin Anda tetapkan. Ini adalah persyaratan saat membuat kepercayaan pihak yang mengandalkan baru.
Menetapkan kebijakan kontrol akses ke aplikasi yang ada cukup pilih aplikasi dari Kepercayaan Pihak yang Mengandalkan dan klik kanan Edit Kebijakan Kontrol Akses.
Dari sini Anda dapat memilih kebijakan kontrol akses dan menerapkannya ke aplikasi.