Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Acerca deste Guia
Este passo a passo fornece instruções para gerenciar o risco com um dos fatores (dados do usuário) disponíveis por meio do mecanismo de controle de acesso condicional nos Serviços de Federação do Active Directory (AD FS) no Windows Server 2012 R2. Para obter mais informações sobre controle de acesso condicional e mecanismos de autorização no AD FS no Windows Server 2012 R2, consulte Gerenciar Risco com Controle de Acesso Condicional.
Este passo a passo consiste nas seguintes seções:
Etapa 2: Verificar o mecanismo de controle de acesso padrão do AD FS
Etapa 3: Configurar a política de controle de acesso condicional com base nos dados do usuário
Etapa 4: verificar o mecanismo de controle de acesso condicional
Etapa 1: Configurando o ambiente de laboratório
Para concluir este passo a passo, você precisa de um ambiente que consista nos seguintes componentes:
Um domínio do Active Directory com um usuário de teste e contas de grupo, em execução no Windows Server 2008, Windows Server 2008 R2 ou Windows Server 2012 com seu esquema atualizado para o Windows Server 2012 R2 ou um domínio do Active Directory em execução no Windows Server 2012 R2
Um servidor de federação em execução no Windows Server 2012 R2
Um servidor Web que hospeda seu aplicativo de exemplo
Um computador cliente do qual você pode acessar o aplicativo de exemplo
Aviso
É altamente recomendável (em ambientes de produção ou teste) que você não use o mesmo computador para ser seu servidor de federação e seu servidor Web.
Nesse ambiente, o servidor de federação emite as declarações necessárias para que os usuários possam acessar o aplicativo de exemplo. O servidor Web hospeda um aplicativo de exemplo que confiará nos usuários que apresentarem as declarações que o servidor de federação emitir.
Para obter instruções sobre como configurar esse ambiente, consulte Configurar o ambiente de laboratório para o AD FS no Windows Server 2012 R2.
Etapa 2: Verificar o mecanismo de controle de acesso padrão do AD FS
Nesta etapa, você verificará o mecanismo de controle de acesso do AD FS padrão, em que o usuário é redirecionado para a página de entrada do AD FS, fornece credenciais válidas e recebe acesso ao aplicativo. Você pode usar a conta do Robert Hatley AD e o aplicativo de exemplo de claimapp que você configurou na Configuração do ambiente de laboratório para o AD FS no Windows Server 2012 R2.
Para verificar o mecanismo de controle de acesso do AD FS padrão
No computador cliente, abra uma janela do navegador e navegue até seu aplicativo de exemplo:
https://webserv1.contoso.com/claimapp.Essa ação redireciona automaticamente a solicitação para o servidor de federação e você será solicitado a entrar com um nome de usuário e uma senha.
Digite as credenciais da conta do Robert Hatley AD que você criou na configuração do ambiente de laboratório para o AD FS no Windows Server 2012 R2.
Você terá acesso ao aplicativo.
Etapa 3: Configurar a política de controle de acesso condicional com base nos dados do usuário
Nesta etapa, você configurará uma política de controle de acesso com base nos dados de associação do grupo de usuários. Em outras palavras, você vai configurar uma Regra de Autorização de Emissão no servidor de federação para uma relação de confiança de terceira parte confiável que representa o aplicativo de exemplo, claimapp. Pela lógica dessa regra, o usuário do AD Eduardo Gomes receberá emissões de declarações necessárias para acessar o aplicativo, uma vez que ele pertence a um grupo Finanças. Você adicionou a conta de Robert Hatley ao grupo Finanças na configuração do ambiente de laboratório para o AD FS no Windows Server 2012 R2.
Você pode concluir essa tarefa usando o Console de Gerenciamento do AD FS ou o Windows PowerShell.
Para configurar a política de controle de acesso condicional com base nos dados do usuário por meio do Console de Gerenciamento do AD FS
No Console de Gerenciamento do AD FS, navegue até Relações de Confiança e depois até Relações de Confiança da Terceira Parte Confiável.
Selecione a confiança da terceira parte confiável que representa seu aplicativo de exemplo (claimapp) e, em seguida, no painel Ações ou clicando com o botão direito do mouse nessa confiança de terceira parte confiável, selecione Editar Regras de Declaração.
Na janela Editar Regras de Declaração para claimapp , selecione a guia Regras de Autorização de Emissão e clique em Adicionar Regra.
No Assistente de Adição de Regra de Declarações de Autorização de Emissão, na página Selecionar Modelo de Regra, selecione o modelo de regra de declaração Permitir ou Negar Usuários Com Base em uma Declaração de Entrada e clique em Avançar.
Na página Configurar Regra , faça todo o seguinte e clique em Concluir:
Insira um nome para a regra de declaração, por exemplo , TestRule.
Selecione SID de Grupo como Tipo de declaração de entrada.
Clique em Procurar, digite Finanças para o nome do seu grupo de teste do AD e resolva-o para o campo Valor de declaração de entrada .
Selecione a opção Negar o acesso a usuários com esta declaração de entrada .
Na janela Editar Regras de Declaração para claimapp, exclua a regra Permitir Acesso a Todos os Usuários, que foi criada por padrão quando você criou essa relação de confiança da terceira parte confiável.
Para configurar a política de controle de acesso condicional com base nos dados do usuário por meio do Windows PowerShell
- No servidor de federação, abra a janela de comando do Windows PowerShell e execute o seguinte comando:
$rp = Get-AdfsRelyingPartyTrust -Name claimapp
- Na mesma janela de comando do Windows PowerShell, execute o seguinte comando:
$GroupAuthzRule = '@RuleTemplate = "Authorization" @RuleName = "Foo" c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value =~ "^(?i)<group_SID>$"] =>issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = "DenyUsersWithClaim");'
Set-AdfsRelyingPartyTrust -TargetRelyingParty $rp -IssuanceAuthorizationRules $GroupAuthzRule
Observação
Não se esqueça de substituir <group_SID> pelo valor do SID do seu grupo Finanças do AD.
Etapa 4: verificar o mecanismo de controle de acesso condicional
Nesta etapa, você verificará a política de controle de acesso condicional configurada na etapa anterior. Você pode usar o procedimento a seguir para verificar se o usuário do Robert Hatley AD pode acessar seu aplicativo de exemplo porque ele pertence ao grupo Finanças e os usuários do AD que não pertencem ao grupo Finanças não podem acessar o aplicativo de exemplo.
No computador cliente, abra uma janela do navegador e navegue até seu aplicativo de exemplo:
https://webserv1.contoso.com/claimappEssa ação redireciona automaticamente a solicitação para o servidor de federação e você será solicitado a entrar com um nome de usuário e uma senha.
Digite as credenciais da conta do Robert Hatley AD que você criou na configuração do ambiente de laboratório para o AD FS no Windows Server 2012 R2.
Você terá acesso ao aplicativo.
Digite as credenciais de outro usuário do AD que não pertence ao grupo Finanças . (Para obter mais informações sobre como criar contas de usuário no AD, consulte https://technet.microsoft.com/library/cc7833232.aspx.
Neste ponto, devido à política de controle de acesso que você configurou na etapa anterior, uma mensagem de "acesso negado" é exibida para esse usuário do AD que não pertence ao grupo Finanças . O texto da mensagem padrão é Que você não está autorizado a acessar este site. Clique aqui para sair e entrar novamente ou contate o administrador para obter permissões. No entanto, esse texto é totalmente personalizável. Para obter mais informações sobre como personalizar a experiência de entrada, consulte Personalizando as Páginas de Entrada do AD FS.
Consulte Também
Gerenciar risco com controle de acesso condicionalConfigure o ambiente de laboratório para o AD FS no Windows Server 2012 R2