Guida allo scenario: Gestire i rischi con il controllo di accesso condizionale

Articolo
10/06/2023

Informazioni sulla guida

Questa procedura dettagliata fornisce istruzioni per la gestione dei rischi con uno dei fattori (dati utente) disponibili tramite il meccanismo di controllo dell'accesso condizionale in Active Directory Federation Services (AD FS) in Windows Server 2012 R2. Per altre informazioni sul controllo dell'accesso condizionale e sui meccanismi di autorizzazione in AD FS in Windows Server 2012 R2, vedere Gestire i rischi con il controllo dell'accesso condizionale.

Questo scenario è suddiviso nelle sezioni seguenti:

Passaggio 1: Configurazione dell'ambiente di testing

Per eseguire le procedure descritte in questo scenario, è necessario un ambiente con i componenti seguenti:

Un dominio di Active Directory con account utente e gruppo di test, in esecuzione in Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012 con lo schema aggiornato a Windows Server 2012 R2 o un dominio di Active Directory in esecuzione in Windows Server 2012 R2
Un server federativo in esecuzione in Windows Server 2012 R2
Un server Web che ospita l'applicazione di esempio
Un computer client da cui è possibile accedere all'applicazione di esempio

Avviso

Sia negli ambienti di produzione che in quelli di testing è consigliabile evitare di utilizzare lo stesso computer come server federativo e come server Web.

In questo ambiente, il server federativo rilascia le attestazioni richieste affinché gli utenti possano accedere all'applicazione di esempio. Il server Web ospita un'applicazione di esempio che considererà attendibili gli utenti che presentano le attestazioni rilasciate dal server federativo.

Per istruzioni su come configurare questo ambiente, vedere Configurare l'ambiente lab per AD FS in Windows Server 2012 R2.

Passaggio 2: Verificare il meccanismo di controllo di accesso AD FS predefinito

In questo passaggio verrà verificato il meccanismo di controllo degli accessi predefinito di ADFS, in base al quale l'utente viene reindirizzato alla pagina di accesso ad ADFS, specifica le credenziali valide e ottiene l'accesso all'applicazione. È possibile usare l'account Robert Hatley AD e l'applicazione di esempio claimapp configurata in Configurare l'ambiente lab per AD FS in Windows Server 2012 R2.

Per verificare il meccanismo di controllo degli accessi predefinito di ADFS

Nel computer client aprire una finestra del browser e passare all'applicazione di esempio: https://webserv1.contoso.com/claimapp.

Questa azione reindirizza automaticamente la richiesta al server federativo e viene richiesto di eseguire l'accesso specificando nome utente e password.
Digitare le credenziali dell'account AD Robert Hatley creato in Configurare l'ambiente lab per AD FS in Windows Server 2012 R2.

Verrà concesso l'accesso all'applicazione.

Passaggio 3: Configurare i criteri di controllo di accesso condizionale in base ai dati utente

In questo passaggio verranno configurati i criteri di controllo degli accessi in base ai dati sull'appartenenza a gruppi dell'utente. In altri termini, verrà configurata una regola di autorizzazione di rilascio nel server federativo per un trust della relying party che rappresenta l'applicazione di esempio - claimapp. In base alla logica di questa regola, all'utente di Active Directory Robert Hatley verranno rilasciate le attestazioni necessarie per accedere all'applicazione perché appartiene a un gruppo Finance. È stato aggiunto l'account Robert Hatley al gruppo Finance in Configurare l'ambiente lab per AD FS in Windows Server 2012 R2.

È possibile eseguire questa attività tramite la console di gestione di ADFS o con Windows PowerShell.

Per configurare i criteri di controllo di accesso condizionale in base ai dati utente tramite la console di gestione AD FS

Nella console di gestione di ADFS passare a Relazioni di attendibilità, e quindi a Attendibilità componente.
Selezionare un trust della relying party che rappresenta l'applicazione di esempio (claimapp), quindi selezionare Modifica regole attestazione nel riquadro Azionio facendo clic con il pulsante destro del mouse su questo trust della replying party.
Nella finestra Modifica regole attestazione per claimapp selezionare la scheda Regole di autorizzazione rilascio e fare clic su Aggiungi regola.
Nella pagina Seleziona modello di regoladell' Aggiunta guidata regole attestazione di autorizzazione di rilascioselezionare il modello di regola attestazione Consentire o negare l'accesso agli utenti in base a un'attestazione in ingresso e quindi fare clic su Avanti.
Nella pagina Configura regola eseguire tutte le operazioni seguenti e quindi fare clic su Fine:
1. Immettere un nome per la regola attestazioni, ad esempio TestRule.
2. Selezionare SID gruppo come Tipo di attestazione in ingresso.
3. Fare clic su Sfoglia, digitare in Finance il nome del gruppo di test di Active Directory, quindi risolverlo per il campo Valore Attestazione in ingresso .
4. Selezionare l'opzione Nega accesso agli utenti con questa attestazione in ingresso .
Nella finestra Modifica regole attestazione per claimapp assicurarsi di eliminare la regola Consenti accesso a tutti gli utenti creata per impostazione predefinita al momento della creazione di questa attendibilità del componente.

Per configurare criteri di controllo di accesso condizionale in base ai dati utente tramite Windows PowerShell

Nel server federativo aprire la finestra di comando di Windows PowerShell ed eseguire il comando seguente:

$rp = Get-AdfsRelyingPartyTrust -Name claimapp

Nella stessa finestra di comando di Windows PowerShell eseguire il comando seguente:

$GroupAuthzRule = '@RuleTemplate = "Authorization" @RuleName = "Foo" c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value =~ "^(?i)<group_SID>$"] =>issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = "DenyUsersWithClaim");'
Set-AdfsRelyingPartyTrust -TargetRelyingParty $rp -IssuanceAuthorizationRules $GroupAuthzRule

Nota

Assicurarsi di sostituire <group_SID> con il valore del SID del gruppo AD Finance.

Passaggio 4: Verificare il meccanismo di controllo di accesso condizionale

In questo passaggio verranno verificati i criteri di controllo di accesso condizionale impostati nel passaggio precedente. È possibile usare la procedura seguente per verificare che l'utente di Active Directory Robert Hatley possa accedere all'applicazione di esempio perché appartiene al gruppo Finance e che gli utenti di Active Directory che non appartengono al gruppo Finance non possano accedere all'applicazione di esempio.

Nel computer client aprire una finestra del browser e passare all'applicazione di esempio: https://webserv1.contoso.com/claimapp

Questa azione reindirizza automaticamente la richiesta al server federativo e viene richiesto di eseguire l'accesso specificando nome utente e password.
Digitare le credenziali dell'account AD Robert Hatley creato in Configurare l'ambiente lab per AD FS in Windows Server 2012 R2.

Verrà concesso l'accesso all'applicazione.
Digitare le credenziali di un altro utente di Active Directory che NON appartiene al gruppo Finance . Per altre informazioni su come creare account utente in Active Directory, vedere https://technet.microsoft.com/library/cc7833232.aspx.

A questo punto, tenendo conto dei criteri di controllo di accesso configurati nei passaggi precedenti, viene visualizzato un messaggio di accesso negato per questo utente di Active Directory che NON appartiene al gruppo Finance. Il testo predefinito del messaggio è Non sei autorizzato ad accedere a questo sito. Fare clic qui per disconnettersi e accedere di nuovo o contattare l'amministratore per le autorizzazioni. . Tuttavia, questo testo è completamente personalizzabile. Per altre informazioni su come personalizzare l'esperienza di accesso, vedere Customizing the AD FS Sign-in Pages.

Vedi anche

Gestire i rischi con il controllo di accesso condizionale Configurare l'ambiente lab per AD FS in Windows Server 2012 R2