Panduan Penelusuran: Mengelola Risiko dengan Kontrol Akses Bersyarah

• Berlaku untuk:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Tentang Panduan Ini

Panduan ini memberikan instruksi untuk mengelola risiko dengan salah satu faktor (data pengguna) yang tersedia melalui mekanisme kontrol akses bersangka di Layanan Federasi Direktori Aktif (AD FS) di Windows Server 2012 R2. Untuk informasi selengkapnya tentang kontrol akses bersyarat dan mekanisme otorisasi di Layanan Federasi Direktori Aktif di Windows Server 2012 R2, lihat Mengelola Risiko dengan Kontrol Akses Bersyarat.

Panduan ini terdiri dari bagian berikut:

• Langkah 1: Menyiapkan lingkungan lab

• Langkah 2: Verifikasi mekanisme kontrol akses AD FS default

• Langkah 3: Mengonfigurasi kebijakan kontrol akses bersyarar berdasarkan data pengguna

• Langkah 4: Memverifikasi mekanisme kontrol akses bersyar

Langkah 1: Menyiapkan lingkungan lab

Untuk menyelesaikan panduan ini, Anda memerlukan lingkungan yang terdiri dari komponen berikut:

• Domain Direktori Aktif dengan pengguna uji dan akun grup, berjalan di Windows Server 2008, Windows Server 2008 R2, atau Windows Server 2012 dengan skemanya ditingkatkan ke Windows Server 2012 R2 atau domain Direktori Aktif yang berjalan di Windows Server 2012 R2

• Server federasi yang berjalan di Windows Server 2012 R2

• Server web yang menghosting aplikasi sampel Anda

• Komputer klien tempat Anda dapat mengakses aplikasi sampel

Peringatan

Sangat disarankan (baik di lingkungan produksi atau pengujian) bahwa Anda tidak menggunakan komputer yang sama untuk menjadi server federasi dan server web Anda.

Di lingkungan ini, server federasi mengeluarkan klaim yang diperlukan sehingga pengguna dapat mengakses aplikasi sampel. Server Web menghosting aplikasi sampel yang akan mempercayai pengguna yang menyajikan klaim bahwa masalah server federasi.

Untuk petunjuk tentang cara menyiapkan lingkungan ini, lihat Menyiapkan lingkungan lab untuk Layanan Federasi Direktori Aktif di Windows Server 2012 R2.

Langkah 2: Verifikasi mekanisme kontrol akses AD FS default

Dalam langkah ini Anda akan memverifikasi mekanisme kontrol akses Layanan Federasi Direktori Aktif default, di mana pengguna dialihkan ke halaman masuk Layanan Federasi Direktori Aktif, memberikan kredensial yang valid, dan diberikan akses ke aplikasi. Anda dapat menggunakan akun Robert Hatley AD dan aplikasi sampel claimapp yang Anda konfigurasi di Menyiapkan lingkungan lab untuk Layanan Federasi Direktori Aktif di Windows Server 2012 R2.

Untuk memverifikasi mekanisme kontrol akses AD FS default

1. Di komputer klien Anda, buka jendela browser, dan navigasikan ke aplikasi sampel Anda: https://webserv1.contoso.com/claimapp.

   Tindakan ini secara otomatis mengalihkan permintaan ke server federasi dan Anda diminta untuk masuk dengan nama pengguna dan kata sandi.

2. Ketik kredensial akun Robert Hatley AD yang Anda buat di Menyiapkan lingkungan lab untuk Layanan Federasi Direktori Aktif di Windows Server 2012 R2.

   Anda akan diberikan akses ke aplikasi.

Langkah 3: Mengonfigurasi kebijakan kontrol akses bersyarar berdasarkan data pengguna

Dalam langkah ini Anda akan menyiapkan kebijakan kontrol akses berdasarkan data keanggotaan grup pengguna. Dengan kata lain, Anda akan mengonfigurasi Aturan Otorisasi Penerbitan di server federasi Anda untuk kepercayaan pihak yang mengandalkan yang mewakili aplikasi sampel Anda - claimapp. Dengan logika aturan ini, pengguna Robert Hatley AD akan dikeluarkan klaim yang diperlukan untuk mengakses aplikasi ini karena ia termasuk dalam grup Keuangan . Anda telah menambahkan akun Robert Hatley ke grup Keuangan di Menyiapkan lingkungan lab untuk Layanan Federasi Direktori Aktif di Windows Server 2012 R2.

Anda dapat menyelesaikan tugas ini menggunakan Ad FS Management Console atau melalui Windows PowerShell.

Untuk mengonfigurasi kebijakan kontrol akses bersyarar berdasarkan data pengguna melalui Konsol Manajemen Layanan Federasi Direktori Aktif

1. Di Konsol Manajemen Layanan Federasi Direktori Aktif, navigasikan ke Hubungan Kepercayaan, lalu Mengandalkan Kepercayaan Pihak.

2. Pilih kepercayaan pihak yang mengandalkan yang mewakili aplikasi sampel Anda (claimapp), lalu di panel Tindakan atau dengan mengklik kanan kepercayaan pihak yang mengandalkan ini, pilih Edit Aturan Klaim.

3. Di jendela Edit Aturan Klaim untuk claimapp , pilih tab Aturan Otorisasi Penerbitan dan klik Tambahkan Aturan.

4. Di Wizard Tambahkan Aturan Klaim Otorisasi Penerbitan, pada halaman Pilih Templat Aturan, pilih Izinkan atau Tolak Pengguna Berdasarkan templat aturan klaim Klaim Masuk lalu klik Berikutnya.

5. Pada halaman Konfigurasi aturan , lakukan semua hal berikut ini lalu klik Selesai:

   1. Masukkan nama untuk aturan klaim, misalnya TestRule.

   2. Pilih SID Grup sebagai Jenis klaim masuk.

   3. Klik Telusuri, ketik Keuangan untuk nama grup pengujian AD Anda, dan atasi untuk bidang Nilai klaim masuk.

   4. Pilih opsi Tolak akses ke pengguna dengan klaim masuk ini.

6. Di jendela Edit Aturan Klaim untuk claimapp , pastikan untuk menghapus aturan Izinkan Akses ke Semua Pengguna yang dibuat secara default saat Anda membuat kepercayaan pihak yang mengandalkan ini.

Untuk mengonfigurasi kebijakan kontrol akses bersyarar berdasarkan data pengguna melalui Windows PowerShell

1. Di server federasi Anda, buka jendela perintah Windows PowerShell dan jalankan perintah berikut:

$rp = Get-AdfsRelyingPartyTrust -Name claimapp

2. Di jendela perintah Windows PowerShell yang sama, jalankan perintah berikut:

$GroupAuthzRule = '@RuleTemplate = "Authorization" @RuleName = "Foo" c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value =~ "^(?i)<group_SID>$"] =>issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = "DenyUsersWithClaim");'
Set-AdfsRelyingPartyTrust -TargetRelyingParty $rp -IssuanceAuthorizationRules $GroupAuthzRule

Catatan

Pastikan untuk mengganti <group_SID> dengan nilai SID grup Ad Finance Anda.

Langkah 4: Memverifikasi mekanisme kontrol akses bersyar

Dalam langkah ini Anda akan memverifikasi kebijakan kontrol akses bersyarat yang Anda siapkan di langkah sebelumnya. Anda dapat menggunakan prosedur berikut untuk memverifikasi bahwa pengguna Robert Hatley AD dapat mengakses aplikasi sampel Anda karena ia termasuk dalam grup Keuangan dan pengguna AD yang bukan termasuk dalam grup Keuangan tidak dapat mengakses aplikasi sampel.

1. Di komputer klien Anda, buka jendela browser, dan navigasikan ke aplikasi sampel Anda: https://webserv1.contoso.com/claimapp

   Tindakan ini secara otomatis mengalihkan permintaan ke server federasi dan Anda diminta untuk masuk dengan nama pengguna dan kata sandi.

2. Ketik kredensial akun Robert Hatley AD yang Anda buat di Menyiapkan lingkungan lab untuk Layanan Federasi Direktori Aktif di Windows Server 2012 R2.

   Anda akan diberikan akses ke aplikasi.

3. Ketik kredensial pengguna AD lain yang BUKAN milik grup Keuangan . (Untuk informasi selengkapnya tentang cara membuat akun pengguna di AD, lihat https://technet.microsoft.com/library/cc7833232.aspx.

   Pada titik ini, karena kebijakan kontrol akses yang Anda siapkan di langkah sebelumnya, pesan 'akses ditolak' ditampilkan untuk pengguna AD ini yang BUKAN milik grup Keuangan . Teks pesan default adalah Anda tidak berwenang untuk mengakses situs ini. Klik di sini untuk keluar dan masuk lagi atau hubungi administrator Anda untuk mendapatkan izin. Namun, teks ini sepenuhnya dapat disesuaikan. Untuk informasi selengkapnya tentang cara mengkustomisasi pengalaman masuk, lihat Menyesuaikan Halaman Masuk Layanan Federasi Direktori Aktif.

Lihat Juga

Mengelola Risiko dengan KontrolAkses Bersyarah Menyiapkan lingkungan lab untuk Layanan Federasi Direktori Aktif di Windows Server 2012 R2