Gestire i rischi con il controllo di accesso condizionale
Concetti fondamentali - Controllo di accesso condizionale in AD FS
Gestione dei rischi con il controllo di accesso condizionale
Concetti fondamentali - Controllo di accesso condizionale in AD FS
La funzione generale di AD FS consiste nel rilasciare un token di accesso che contiene un set di attestazioni. La decisione che riguarda le attestazioni ADFS accetta e quindi invia è disciplinata dalle regole attestazione.
Il controllo di accesso in AD FS è implementato con regole attestazione di autorizzazione di rilascio usate per rilasciare attestazioni per consentire o negare l'accesso, che determineranno se a un utente o a un gruppo di utenti verrà concesso o meno l'accesso alle risorse protette con AD FS. Le regole di autorizzazione possono essere impostate solo per attendibilità di relying party.
| Opzione della regola | Logica della regola |
|---|---|
| Consentire l'accesso a tutti gli utenti | Se il tipo di attestazione in ingresso è uguale a qualsiasi tipo di attestazione e il valore è uguale a qualsiasi valore, rilasciare un'attestazione con valore uguale a Consenti |
| Consenti accesso agli utenti con questa attestazione in ingresso | Se il tipo di attestazione in ingresso è uguale a tipo di attestazione specificato e il valore è uguale a valore di attestazione specificato, rilasciare un'attestazione con valore uguale a Consenti |
| Nega accesso agli utenti con questa attestazione in ingresso | Se il tipo di attestazione in ingresso è uguale a tipo di attestazione specificato e il valore è uguale a valore di attestazione specificato, rilasciare un'attestazione con valore uguale a Nega |
Per altre informazioni sulle opzioni e sulla logica di queste regole, vedere When to Use an Authorization Claim Rule.
In AD FS in Windows Server 2012 R2, il controllo degli accessi è stato ottimizzato con il supporto di più fattori, inclusi i dati relativi a utente, dispositivo, posizione e autenticazione. Ciò è possibile grazie alla disponibilità di una più ampia gamma di tipi di attestazione per le regole attestazione di autorizzazione. In altri termini, in AD FS in Windows Server 2012 R2, è possibile applicare il controllo degli accessi condizionale in base all'identità o all'appartenenza a gruppi dell'utente, alla posizione in rete, al dispositivo (se unito all'area di lavoro, per ulteriori informazioni vedere Accedere a una rete aziendale da qualsiasi dispositivo per SSO e l'autenticazione a due fattori trasparente per tutte le applicazioni aziendali) e allo stato di autenticazione (se viene eseguita l'autenticazione a più fattori).
Il controllo di accesso condizionale in AD FS in Windows Server 2012 R2 offre i vantaggi seguenti:
Criteri di autorizzazione per applicazione flessibili ed espressivi, con i quali è possibile concedere o negare l'accesso in base a utente, dispositivo, posizione in rete e stato di autenticazione
Creazione di regole di autorizzazione di rilascio per le applicazioni relying party
Interfaccia utente completa per gli scenari comuni di controllo di accesso condizionale
Linguaggio esteso per le attestazioni e supporto di Windows PowerShell per gli scenari avanzati di controllo di accesso condizionale
Messaggi personalizzati di 'Accesso negato' (per ogni applicazione relying party). Per altre informazioni, vedere Customizing the AD FS Sign-in Pages. La possibilità di personalizzare questi messaggi consente di spiegare i motivi per cui viene negato l'accesso e facilita inoltre la risoluzione autonoma del problema nei casi in cui è possibile, ad esempio richiedendo agli utenti di unire i loro dispositivi all'area di lavoro. Per ulteriori informazioni, vedere accedere a una rete aziendale da qualsiasi dispositivo per SSO e trasparente secondo fattore di autenticazione di applicazioni aziendali.
La tabella seguente include tutti i tipi di attestazione disponibili in AD FS in Windows Server 2012 R2 da usare per l'implementazione del controllo di accesso condizionale.
| Tipo di attestazione | Descrizione |
|---|---|
| Indirizzo di posta elettronica | Indirizzo di posta elettronica dell'utente. |
| Nome | Nome (di battesimo) dell'utente. |
| Nome | Nome univoco dell'utente. |
| UPN | Nome dell'entità utente (UPN) dell'utente. |
| Nome comune | Nome comune dell'utente. |
| Indirizzo di posta elettronica AD FS 1.x | Indirizzo di posta elettronica dell'utente quando interagisce con AD FS 1.1 o AD FS 1.0. |
| Raggruppa | Gruppo a cui appartiene l'utente. |
| UPN AD FS 1.x | UPN dell'utente quando interagisce con AD FS 1.1 o AD FS 1.0. |
| Ruolo | Ruolo dell'utente. |
| Surname | Cognome dell'utente. |
| PPID | Identificatore privato dell'utente. |
| ID nome | Identificatore nome SAML dell'utente. |
| Timestamp autenticazione | Utilizzato per visualizzare l'ora e la data in cui l'utente è stato autenticato. |
| Authentication method | Metodo utilizzato per autenticare l'utente. |
| SID gruppo di sola negazione | SID di gruppo di sola negazione dell'utente. |
| SID primario di sola negazione | SID primario di sola negazione dell'utente. |
| SID gruppo primario di sola negazione | SID di gruppo primario di sola negazione dell'utente. |
| SID gruppo | SID di gruppo dell'utente. |
| SID gruppo primario | SID di gruppo primario dell'utente. |
| SID primario | SID primario dell'utente. |
| Nome account Windows | Nome account di dominio dell'utente in formato dominio\utente. |
| È un utente registrato | L'utente è registrato per utilizzare il dispositivo. |
| Identificatore dispositivo | Identificatore del dispositivo. |
| Identificatore di registrazione del dispositivo | Identificatore per la registrazione del dispositivo. |
| Nome visualizzato registrazione dispositivo | Nome visualizzato della registrazione del dispositivo. |
| Tipo di sistema operativo del dispositivo | Tipo di sistema operativo del dispositivo. |
| Versione del sistema operativo del dispositivo | Versione del sistema operativo del dispositivo. |
| È un dispositivo gestito | Il dispositivo è gestito da un servizio di gestione. |
| IP client inoltrato | Indirizzo IP dell'utente. |
| Applicazione client | Tipo di applicazione client. |
| Agente utente del client | Tipo di dispositivo utilizzato dal client per accedere all'applicazione. |
| IP client | Indirizzo IP del client. |
| Percorso endpoint | Percorso endpoint assoluto che può essere utilizzato per distinguere i client attivi dai client passivi. |
| Proxy | Nome DNS del proxy server federativo che ha trasmesso la richiesta. |
| Identificatore applicazione | Identificatore componente. |
| Criteri di applicazione | Criteri applicazione del certificato. |
| Identificatore di chiave dell'autorità | Estensione identificatore di chiave dell'autorità del certificato che ha firmato un certificato emesso. |
| Vincoli base | Uno dei vincoli base del certificato. |
| Utilizzo chiavi avanzato | Descrive uno degli utilizzi chiavi avanzati del certificato. |
| Autorità di certificazione | Nome dell'autorità di certificazione che ha emesso il certificato X.509. |
| Nome dell'autorità di certificazione | Nome distinto dell'autorità di certificazione. |
| Utilizzo chiavi | Uno degli utilizzi chiavi del certificato. |
| Non dopo | Data nell'ora locale dopo la quale un certificato non è più valido. |
| Non prima | Data nell'ora locale in cui un certificato diventa valido. |
| Criteri certificato | Criteri secondo i quali è stato emesso il certificato. |
| Chiave pubblica | Chiave pubblica del certificato. |
| Dati non elaborati certificato | Dati non elaborati del certificato. |
| Nome alternativo soggetto | Uno dei nomi alternativi del certificato. |
| Numero di serie | Numero di serie di un certificato. |
| Algoritmo di firma | Algoritmo utilizzato per creare la firma di un certificato. |
| Oggetto | Soggetto del certificato. |
| Identificatore della chiave del soggetto | Identificatore della chiave del soggetto del certificato. |
| Nome soggetto | Nome distinto del soggetto di un certificato. |
| Nome modello V2 | Nome del modello di certificato versione 2 utilizzato per emettere o rinnovare un certificato. Il valore è specifico di Microsoft. |
| Nome modello V1 | Nome del modello di certificato versione 1 utilizzato per emettere o rinnovare un certificato. Il valore è specifico di Microsoft. |
| Identificazione personale | Identificazione personale del certificato. |
| Versione X.509 | Versione formato X.509 di un certificato. |
| All'interno della rete aziendale | Consente di indicare se una richiesta proviene dalla rete aziendale. |
| Ora scadenza password | Consente di visualizzare l'ora di scadenza della password. |
| Giorni a scadenza password | Consente di visualizzare il numero di giorni che mancano alla scadenza della password. |
| URL aggiornamento password | Consente di visualizzare l'indirizzo Web del servizio di aggiornamento password. |
| Riferimenti dei metodi di autenticazione | Consente di indicare tutti i metodi di autenticazione utilizzati per autenticare l'utente. |
Gestione dei rischi con il controllo di accesso condizionale
Le impostazioni disponibili offrono numerose soluzioni per gestire i rischi grazie all'implementazione del controllo di accesso condizionale.
Scenari comuni
Un possibile scenario è, ad esempio, l'implementazione del controllo di accesso condizionale sulla base dei dati relativi all'appartenenza a gruppi dell'utente per una particolare applicazione (attendibilità di relying party). In altri termini, è possibile configurare una regola di autorizzazione di rilascio nel server federativo per permettere agli utenti che appartengono a un determinato gruppo nel dominio di Active Directory di accedere a una specifica applicazione protetta da AD FS. Le istruzioni dettagliate per l'implementazione di questo scenario tramite l'interfaccia utente e Windows PowerShell sono disponibili in Walkthrough Guide: Manage Risk with Conditional Access Control. Per eseguire i passaggi descritti nella guida, è necessario configurare un ambiente di testing e seguire le istruzioni riportate in Configurare l'ambiente di testing per AD FS in Windows Server 2012 R2.
Scenari avanzati
Altri esempi di implementazione del controllo di accesso condizionale in AD FS in Windows Server 2012 R2 includono i seguenti:
Consentire l'accesso a un'applicazione protetta da AD FS solo se l'identità dell'utente viene convalidata con l'autenticazione a più fattori
È possibile usare il codice seguente:
@RuleTemplate = "Authorization" @RuleName = "PermitAccessWithMFA" c:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)https://schemas\.microsoft\.com/claims/multipleauthn$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");Consentire l'accesso a un'applicazione protetta da AD FS solo se la richiesta proviene da un dispositivo aggiunto all'area di lavoro e registrato per l'utente
È possibile usare il codice seguente:
@RuleTemplate = "Authorization" @RuleName = "PermitAccessFromRegisteredWorkplaceJoinedDevice" c:[Type == "https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value =~ "^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");Consentire l'accesso a un'applicazione protetta da AD FS solo se la richiesta di accesso proviene da un dispositivo unito all'area di lavoro registrato per un utente la cui identità viene convalidata con l'autenticazione a più fattori
È possibile usare il codice seguente:
@RuleTemplate = "Authorization" @RuleName = "RequireMFAOnRegisteredWorkplaceJoinedDevice" c1:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$"] && c2:[Type == "https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value =~ "^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");Consentire l'accesso all'Extranet a un'applicazione protetta da AD FS solo se la richiesta di accesso proviene da un utente la cui identità viene convalidata con l'autenticazione a più fattori.
È possibile usare il codice seguente:
@RuleTemplate = "Authorization" @RuleName = "RequireMFAForExtranetAccess" c1:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$"] && c2:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value =~ "^(?i)false$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");
Vedi anche
Guida dettagliata: Gestire i rischi con il controllo di accesso condizionaleConfigurare l'ambiente di testing per AD FS in Windows Server 2012 R2