Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Schlüsselkonzepte – bedingte Zugriffssteuerung in AD FS
Die allgemeine Funktion von AD FS besteht darin, ein Zugriffstoken auszustellen, das eine Gruppe von Ansprüchen enthält. Die Entscheidung darüber, welche Ansprüche AD FS akzeptiert und ausstellt, wird von Anspruchsregeln bestimmt.
Die Zugriffssteuerung in AD FS wird mit Ausstellungsautorisierungsanspruchsregeln implementiert, die zum Ausgeben einer Genehmigung oder Ablehnung von Ansprüchen verwendet werden, die bestimmen, ob ein Benutzer oder eine Gruppe von Benutzern auf AD FS-gesicherte Ressourcen zugreifen darf oder nicht. Autorisierungsregeln können nur für Vertrauensstellungen der vertrauenden Seite festgelegt werden.
| Regeloption | Regellogik |
|---|---|
| Alle Benutzer zulassen | Wenn der Typ des eingehenden Anspruchs gleich einem beliebigen Anspruchstyp und Wert gleich einem beliebigen Wert ist, geben Sie einen Anspruch mit dem Wert Permit aus. |
| Benutzern mit diesem eingehenden Anspruch Zugriff gewähren | Wenn der eingehende Anspruchstyp dem angegebenen Anspruchstyp entspricht und der Wert dem angegebenen Anspruchswert entspricht, geben Sie den Anspruch mit dem Wert "Permit" aus. |
| Verweigern Sie den Zugriff für Benutzer mit diesem eingehenden Anspruch | Wenn der eingehende Anspruchstyp dem angegebenen Anspruchstyp entspricht und der Wert dem angegebenen Anspruchswert entspricht, geben Sie den Anspruch mit dem Wert "Deny" aus. |
Weitere Informationen zu diesen Regeloptionen und -logik finden Sie unter Verwendung einer Autorisierungsanspruchsregel.
In AD FS in Windows Server 2012 R2 wird die Zugriffssteuerung um mehrere Faktoren erweitert, einschließlich Benutzer-, Geräte-, Standort- und Authentifizierungsdaten. Dies wird durch eine größere Vielfalt von Anspruchstypen ermöglicht, die für die Autorisierungsanspruchsregeln verfügbar sind. Mit anderen Worten: In AD FS unter Windows Server 2012 R2 können Sie bedingte Zugriffssteuerung auf der Grundlage von Benutzeridentität oder Gruppenmitgliedschaft, Netzwerkadresse, Gerät und Authentifizierungsstatus erzwingen. Bei Verwendung der Geräteoption muss das Gerät mit dem Arbeitsplatz verbunden sein. (Weitere Informationen finden Sie unter Verbinden mit einem Arbeitsplatz von einem beliebigen Gerät für SSO und nahtlose zweistufige Authentifizierung bei allen Unternehmensanwendungen.) Die Verwendung der Authentifizierungsstatusoption setzt voraus, dass die Multi-Faktor-Authentifizierung (Multi-Factor Authentication, MFA) ausgeführt wurde.
Die bedingte Zugriffssteuerung in AD FS in Windows Server 2012 R2 bietet die folgenden Vorteile:
Flexible und ausdrucksstarke Autorisierungsrichtlinien pro Anwendung, mit denen Sie den Zugriff basierend auf Benutzer, Gerät, Netzwerkstandort und Authentifizierungsstatus zulassen oder verweigern können
Erstellen von Ausstellungsautorisierungsregeln für Anwendungen der vertrauenden Seite
Umfassende Ui-Erfahrung für die gängigen Szenarien für die bedingte Zugriffssteuerung
Umfassende Anspruchssprache und Windows PowerShell-Unterstützung für erweiterte Szenarien für die bedingte Zugriffssteuerung
Benutzerdefinierte Meldungen (pro Anwendung der vertrauenden Seite) des Typs „Zugriff verweigert“. Weitere Informationen finden Sie unter Anpassen der AD FS-Anmeldeseiten. Da diese Meldungen angepasst werden können, können Sie erläutern, warum einem Benutzer der Zugriff verweigert wird und außerdem die eigenständige Wartung dort vereinfachen, wo es möglich ist. Fordern Sie beispielsweise Benutzer dazu auf, eine Verbindung zwischen ihren Geräten und dem Arbeitsplatz herzustellen. Weitere Informationen finden Sie unter „Verbinden Sie sich mit Workplace von jedem Gerät aus für SSO und nahtlose Zwei-Faktor-Authentifizierung in Unternehmensanwendungen“.
Die folgende Tabelle enthält alle Anspruchstypen, die in AD FS in Windows Server 2012 R2 zur Implementierung der Bedingten Zugriffssteuerung verfügbar sind.
| Anspruchstyp | BESCHREIBUNG |
|---|---|
| E-Mail-Adresse | Die E-Mail-Adresse des Benutzers. |
| Vorname | Der Angegebene Name des Benutzers. |
| Name | Der eindeutige Name des Benutzers, |
| UPN | Der Benutzerprinzipalname (UPN) des Benutzers. |
| Gängiger Name | Der allgemeine Name des Benutzers. |
| AD FS 1.x-E-Mail-Adresse | Die E-Mail-Adresse des Benutzers bei der Zusammenarbeit mit AD FS 1.1 oder AD FS 1.0. |
| Gruppe | Eine Gruppe, in der der Benutzer Mitglied ist. |
| AD FS 1.x UPN | Der UPN des Benutzers bei der Zusammenarbeit mit AD FS 1.1 oder AD FS 1.0. |
| Rolle | Eine Rolle, die der Benutzer hat. |
| Familienname | Nachname des Benutzers |
| PPID | Der private Bezeichner des Benutzers. |
| Namens-ID | Der SAML-Namensbezeichner des Benutzers. |
| Authentifizierungszeitstempel | Wird verwendet, um die Uhrzeit und das Datum anzuzeigen, zu der der Benutzer authentifiziert wurde. |
| Authentifizierungsmethode | Die Methode, die zum Authentifizieren des Benutzers verwendet wird. |
| Nur Gruppen-SID verweigern | Die Gruppen-SID %%amp;quot;Nur verweigern%%amp;quot; des Benutzers |
| Nur primäre SID verweigern | Die primäre SID %%amp;quot;Nur verweigern%%amp;quot; des Benutzers |
| Nur primäre Gruppen-SID verweigern | Die primäre Gruppen-SID %%amp;quot;Nur verweigern%%amp;quot; des Benutzers |
| Gruppen-SID | Die Gruppen-SID des Benutzers. |
| Primäre Gruppen-SID | Die primäre Gruppen-SID des Benutzers. |
| Primäre SID | Die primäre SID des Benutzers. |
| Windows-Kontoname | Der Domänenkontoname des Benutzers in Form von Domäne\Benutzer. |
| Ist registrierter Benutzer | Der Benutzer ist für die Verwendung dieses Geräts registriert. |
| Gerätebezeichner | Bezeichner des Geräts. |
| Geräteregistrierungs-ID | Bezeichner für die Geräteregistrierung. |
| Geräteregistrierungs-Anzeigename | Anzeigename der Geräteregistrierung |
| Gerätebetriebssystemtyp | Betriebssystemtyp des Geräts. |
| Gerätebetriebssystemversion | Betriebssystemversion des Geräts. |
| Ist verwaltetes Gerät | Das Gerät wird von einem Verwaltungsdienst verwaltet. |
| Weitergeleitete Client-IP | IP-Adresse des Benutzers. |
| Clientanwendung | Typ der Clientanwendung. |
| Client-Benutzer-Agent | Gerätetyp, den der Client für den Zugriff auf die Anwendung verwendet. |
| Client-IP-Adresse | IP-Adresse des Clients. |
| Endpunktpfad | Absoluter Endpunktpfad, der verwendet werden kann, um aktive und passive Clients zu bestimmen. |
| Stellvertreter | DNS-Name des Verbundserverproxys, der die Anforderung übergeben hat. |
| Anwendungsbezeichner | Bezeichner für die vertrauende Seite. |
| Anwendungsrichtlinien | Anwendungsrichtlinien des Zertifikats. |
| Zertifizierungsstellenschlüssel-ID | Erweiterung der Zertifizierungsstellenschlüssel-ID des Zertifikats, von dem ein ausgestelltes Zertifikat signiert wurde |
| Grundlegende Einschränkung | Eine der grundlegenden Einschränkungen des Zertifikats. |
| Erweiterte Schlüsselverwendung | Beschreibt eine der erweiterten Schlüsselverwendungen des Zertifikats. |
| Emittent | Der Name der Zertifizierungsstelle, die das X.509-Zertifikat ausgestellt hat. |
| Ausstellername | Definierter Name des Zertifikatausstellers |
| Schlüsselverwendung | Eine der wichtigsten Verwendungen des Zertifikats. |
| Nicht nach | Datum in der Ortszeit, nach der ein Zertifikat nicht mehr gültig ist. |
| Nicht vor | Das Datum in der Ortszeit, für das ein Zertifikat gültig wird. |
| Zertifikatrichtlinien | Die Richtlinien, unter denen das Zertifikat ausgestellt wurde. |
| Öffentlicher Schlüssel | Öffentlicher Schlüssel des Zertifikats. |
| Rohdaten des Zertifikats | Die Rohdaten des Zertifikats. |
| Alternativer Antragstellername | Einer der alternativen Namen des Zertifikats. |
| Seriennummer | Die Seriennummer des Zertifikats. |
| Signaturalgorithmus | Der Algorithmus, der zum Erstellen der Signatur eines Zertifikats verwendet wird. |
| Betreff | Das Thema des Zertifikats. |
| Schlüssel-ID des Antragstellers | Schlüsselkennung des Antragstellers des Zertifikats |
| Betreffname | Definierter Antragstellername aus einem Zertifikat |
| V2 Vorlagenname | Der Name der Zertifikatvorlage version 2, die verwendet wurde, um ein Zertifikat auszustellen oder zu erneuern. Dies ist ein microsoftspezifischer Wert. |
| V1 Vorlagenname | Der Name der Zertifikatvorlage der Version 1, die beim Ausgeben oder Erneuern eines Zertifikats verwendet wird. Dies ist ein microsoftspezifischer Wert. |
| Fingerabdruck | Fingerabdruck des Zertifikats. |
| X 509-Version | Die X.509-Formatversion des Zertifikats. |
| Innerhalb des Unternehmensnetzwerks | Wird verwendet, um anzugeben, ob eine Anforderung aus dem Unternehmensnetzwerk stammt. |
| Kennwortablaufzeit | Wird verwendet, um die Uhrzeit anzuzeigen, zu der das Kennwort abläuft. |
| Ablauftage für Kennwörter | Wird verwendet, um die Anzahl der Tage bis zum Ablauf des Kennworts anzuzeigen. |
| Kennwort-URL aktualisieren | Wird verwendet, um die Webadresse des Updatekennwortdiensts anzuzeigen. |
| Verweise auf Authentifizierungsmethoden | Wird verwendet, um alle Authentifizierungsmethoden anzugeben, die zum Authentifizieren des Benutzers verwendet werden. |
Verwalten von Risiken mit bedingter Zugriffssteuerung
Mithilfe der verfügbaren Einstellungen gibt es viele Möglichkeiten, risiken zu verwalten, indem Sie die bedingte Zugriffssteuerung implementieren.
Allgemeine Szenarien
Ein einfaches Szenario ist beispielsweise die Implementierung der bedingten Zugriffssteuerung auf Grundlage der Gruppenmitgliedschaftsdaten eines Benutzers für eine bestimmte Anwendung (Vertrauensstellung der vertrauenden Seite). Mit anderen Worten, Sie können eine Ausstellungsautorisierungsregel auf Ihrem Verbundserver einrichten, um Benutzern, die einer bestimmten Gruppe in Ihrer AD-Domäne angehören, zugriff auf eine bestimmte Anwendung zu ermöglichen, die durch AD FS gesichert ist. Die detaillierten Anleitungsschritte zur Implementierung dieses Szenarios (Verwendung der Benutzeroberfläche und von Windows PowerShell) werden im Leitfaden behandelt: Verwalten von Risiken mit bedingter Zugriffssteuerung. Um die Schritte in dieser exemplarischen Vorgehensweise auszuführen, müssen Sie eine Lab-Umgebung einrichten und die Schritte in der Einrichtung der Lab-Umgebung für AD FS in Windows Server 2012 R2 ausführen.
Erweiterte Szenarien
Weitere Beispiele für die Implementierung der Bedingten Zugriffssteuerung in AD FS in Windows Server 2012 R2:
Zugriff auf eine von AD FS gesicherte Anwendung nur zulassen, wenn die Identität dieses Benutzers mit MFA überprüft wurde
Sie können den folgenden Code verwenden:
@RuleTemplate = "Authorization" @RuleName = "PermitAccessWithMFA" c:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)https://schemas\.microsoft\.com/claims/multipleauthn$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");Lassen Sie den Zugriff auf eine durch AD FS gesicherte Anwendung nur zu, wenn die Zugriffsanforderung von einem mit dem Arbeitsplatz verbundenen Gerät stammt, das für den Benutzer registriert ist.
Sie können den folgenden Code verwenden:
@RuleTemplate = "Authorization" @RuleName = "PermitAccessFromRegisteredWorkplaceJoinedDevice" c:[Type == "https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value =~ "^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");Lassen Sie den Zugriff auf eine durch AD FS gesicherte Anwendung nur zu, wenn die Zugriffsanforderung von einem mit dem Arbeitsplatz verbundenen Gerät stammt, das für einen Benutzer registriert ist, dessen Identität mit der MFA bestätigt wurde.
Sie können den folgenden Code verwenden.
@RuleTemplate = "Authorization" @RuleName = "RequireMFAOnRegisteredWorkplaceJoinedDevice" c1:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$"] && c2:[Type == "https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value =~ "^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");Zulassen des Extranetzugriffs auf eine von AD FS gesicherte Anwendung nur, wenn die Zugriffsanforderung von einem Benutzer stammt, dessen Identität mit MFA überprüft wurde.
Sie können den folgenden Code verwenden:
@RuleTemplate = "Authorization" @RuleName = "RequireMFAForExtranetAccess" c1:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$"] && c2:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value =~ "^(?i)false$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");
Siehe auch
Exemplarische Vorgehensweise: Bewältigen von Risiken mithilfe der bedingten ZugriffssteuerungEinrichten der Lab-Umgebung für AD FS unter Windows Server 2012 R2