Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Conceitos-chave - controlo de acesso condicional no AD FS
A função geral do AD FS é emitir um token de acesso que contenha um conjunto de declarações. A decisão sobre quais declarações o AD FS aceita e, em seguida, emite é regida pelas regras de reivindicação.
O controle de acesso no AD FS é implementado com regras de declaração de autorização de emissão que são usadas para emitir uma permissão ou negar declarações que determinarão se um usuário ou um grupo de usuários terá permissão para acessar recursos protegidos pelo AD FS ou não. As regras de autorização só podem ser definidas em confianças de partes confiáveis.
| Opção de regra | Lógica da regra |
|---|---|
| Permitir que todos os usuários | Se o tipo de declaração de entrada for igual a qualquer tipo de declaração e o valor for igual a qualquer valor, então emita uma declaração com valor igual a Permissão |
| Permitir o acesso a utilizadores com esta reivindicação recebida | Se tipo de declaração de entrada for igual tipo de declaração especificado e o valor for igual valor de declaração especificado, emita uma declaração com valor igual Permissão |
| Negar acesso a utilizadores com esta reivindicação de entrada | Se o tipo de declaração de entrada for igual ao tipo de declaração especificado e o valor for igual ao valor de declaração especificado , então emita uma declaração com o valor e negue. |
Para obter mais informações sobre essas opções de regra e lógica, consulte Quando usar uma regra de declaração de autorização.
No AD FS no Windows Server 2012 R2, o controle de acesso é aprimorado com vários fatores, incluindo dados de usuário, dispositivo, local e autenticação. Isso é possível graças a uma maior variedade de tipos de declaração disponíveis para as regras de solicitação de autorização. Em outras palavras, no AD FS no Windows Server 2012 R2, pode impor o controlo de acesso condicional com base na identidade do utilizador ou na associação a um grupo, localização de rede, dispositivo (caso esteja associado ao local de trabalho, para obter mais informações, consulte Associar ao Local de Trabalho a Partir de Qualquer Dispositivo para SSO e Autenticação Segura de Segundo Fator em Aplicações da Empresa) e o estado de autenticação (se a autenticação multifator (MFA) foi realizada).
O controle de acesso condicional no AD FS no Windows Server 2012 R2 oferece os seguintes benefícios:
Políticas de autorização flexíveis e expressivas por aplicativo, nas quais você pode permitir ou negar acesso com base no usuário, dispositivo, local de rede e estado de autenticação
Criação de regras de autorização de emissão para aplicações de parte confiável
Experiência avançada de interface do usuário para os cenários comuns de controle de acesso condicional
Linguagem de declarações avançada & suporte ao Windows PowerShell para cenários avançados de controle de acesso condicional
Mensagens de 'Acesso Negado' personalizadas (por aplicação confiável). Para obter mais informações, consulte Personalizando as páginas de entrada do AD FS. Ao ter a capacidade de personalizar estas mensagens, pode explicar por que razão a um utilizador lhe está a ser negado o acesso e também facilitar a remediação de autosserviço onde for possível, por exemplo, pedir aos utilizadores para associarem os seus dispositivos ao local de trabalho. Para obter mais informações, consulte ingressar no Workplace de qualquer dispositivo para SSO e autenticação de segundo fator transparente em aplicações empresariais.
A tabela a seguir inclui todos os tipos de declaração disponíveis no AD FS no Windows Server 2012 R2 para serem usados para implementar o controle de acesso condicional.
| Tipo de reclamação | Description |
|---|---|
| Endereço de E-mail | O endereço de e-mail do usuário. |
| Nome Próprio | O nome próprio do utilizador. |
| Name | O nome exclusivo do usuário, |
| UPN | O nome principal do usuário (UPN) do usuário. |
| Nome comum | O nome comum do usuário. |
| AD FS 1 x Endereço de Correio Eletrónico | O endereço de email do usuário ao interoperar com o AD FS 1.1 ou AD FS 1.0. |
| Group | Um grupo do qual o utilizador é membro. |
| AD FS 1 x UPN | O UPN do usuário ao interoperar com o AD FS 1.1 ou AD FS 1.0. |
| Role | Uma função que o usuário tem. |
| Surname | O apelido do utilizador. |
| PPID | O identificador privado do usuário. |
| Identificador de Nome | O identificador de nome SAML do usuário. |
| Carimbo de data/hora de autenticação | Usado para exibir a hora e a data em que o usuário foi autenticado. |
| Método de autenticação | O método usado para autenticar o usuário. |
| Negar apenas o SID do grupo | O SID do grupo de apenas negação do utilizador. |
| Negar apenas o SID primário | O SID primário somente de negação do usuário. |
| Negar apenas SID de grupo primário | O SID do grupo primário somente de negação do usuário. |
| SID do Grupo | O SID do grupo do usuário. |
| SID do grupo primário | O SID do grupo primário do utilizador. |
| SID primário | O SID primário do usuário. |
| Nome da conta do Windows | O nome da conta de domínio do usuário na forma de domínio\usuário. |
| É Utilizador Registado | O utilizador está registado para utilizar este dispositivo. |
| Identificador do dispositivo | Identificador do dispositivo. |
| Identificador de registro do dispositivo | Identificador para Registro de Dispositivo. |
| Nome de exibição de registro do dispositivo | Nome para exibição do Registro do dispositivo. |
| Tipo de SO do dispositivo | Tipo de sistema operacional do dispositivo. |
| Versão do SO do dispositivo | Versão do sistema operacional do dispositivo. |
| É dispositivo gerenciado | O dispositivo é gerenciado por um serviço de gerenciamento. |
| IP do cliente reencaminhado | Endereço IP do utilizador. |
| Aplicação Cliente | Tipo de aplicativo cliente. |
| Agente de Usuário Cliente | Tipo de dispositivo que o cliente está usando para acessar o aplicativo. |
| IP do cliente | Endereço IP do cliente. |
| Caminho do ponto de extremidade | Caminho absoluto do ponto final que pode ser usado para determinar clientes ativos versus passivos. |
| Proxy | Nome DNS do proxy do servidor de federação que passou a solicitação. |
| Identificador do aplicativo | Identificador da parte confiável. |
| Políticas de aplicação | Políticas de aplicação do certificado. |
| Identificador de chave de autoridade | A extensão do identificador da chave de autoridade do certificado utilizado para assinar um certificado emitido. |
| Restrição básica | Uma das restrições básicas do certificado. |
| Uso aprimorado de chaves | Descreve um dos usos de chave aprimorados do certificado. |
| Issuer | O nome da autoridade de certificação que emitiu o certificado X.509. |
| Nome do emissor | O nome distinto do emissor do certificado. |
| Utilização da chave | Um dos principais usos do certificado. |
| Não Depois | Data na hora local após a qual um certificado deixa de ser válido. |
| Não antes | A data na hora local em que um certificado se torna válido. |
| Políticas de Certificado | As políticas sob as quais o certificado foi emitido. |
| Chave Pública | Chave pública do certificado. |
| Dados brutos do certificado | Os dados brutos do certificado. |
| Nome alternativo do assunto | Um dos nomes alternativos do certificado. |
| Número de série | O número de série do certificado. |
| Algoritmo de assinatura | O algoritmo usado para criar a assinatura de um certificado. |
| Subject | O assunto do certificado. |
| Identificador de Chave do Sujeito | O identificador de chave de assunto do certificado. |
| Nome do assunto | O nome distinto do assunto de um certificado. |
| Nome do modelo V2 | O nome do modelo de certificado usado da versão 2 ao emitir ou renovar um certificado. Este é um valor específico da Microsoft. |
| Nome do Template V1 | O nome do modelo de certificado da versão 1 usado ao emitir ou renovar um certificado. Este é um valor específico da Microsoft. |
| Thumbprint | Impressão digital do certificado. |
| Versão X 509 | A versão de formato X.509 do certificado. |
| Dentro da Rede Corporativa | Usado para indicar se uma solicitação se originou de dentro da rede corporativa. |
| Tempo de expiração da palavra-passe | Usado para exibir a hora em que a senha expira. |
| Dias de expiração da palavra-passe | Usado para exibir o número de dias até a expiração da senha. |
| Atualizar URL da palavra-passe | Usado para exibir o endereço da Web do serviço de senha de atualização. |
| Referências de métodos de autenticação | Usado para indicar todos os métodos de autenticação usados para autenticar o usuário. |
Gerenciando o risco com o controle de acesso condicional
Usando as configurações disponíveis, há muitas maneiras de gerenciar o risco implementando o controle de acesso condicional.
Cenários comuns
Por exemplo, imagine um cenário simples de implementação de controle de acesso condicional com base nos dados de associação de grupo do usuário para um aplicativo específico (confiança de terceira parte confiável). Em outras palavras, você pode configurar uma regra de autorização de emissão em seu servidor de federação para permitir que usuários que pertencem a um determinado grupo em seu domínio do AD acessem um aplicativo específico protegido pelo AD FS. As instruções detalhadas passo a passo (usando a interface do usuário e o Windows PowerShell) para implementar esse cenário são abordadas em Guia passo a passo: Gerenciar riscos com controle de acesso condicional. Para concluir as etapas neste passo a passo, você deve configurar um ambiente de laboratório e seguir as etapas em Configurar ambiente de laboratório para AD FS no Windows Server 2012 R2.
Cenários avançados
Outros exemplos de implementação do controle de acesso condicional no AD FS no Windows Server 2012 R2 incluem o seguinte:
Permitir o acesso a uma aplicação protegida pelo AD FS apenas se a identidade deste utilizador tiver sido validada com MFA
Você pode usar o seguinte código:
@RuleTemplate = "Authorization" @RuleName = "PermitAccessWithMFA" c:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)https://schemas\.microsoft\.com/claims/multipleauthn$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");Permitir o acesso a uma aplicação protegida pelo AD FS apenas se o pedido de acesso for proveniente de um dispositivo associado ao local de trabalho registado para o utilizador
Você pode usar o seguinte código:
@RuleTemplate = "Authorization" @RuleName = "PermitAccessFromRegisteredWorkplaceJoinedDevice" c:[Type == "https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value =~ "^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");Permitir o acesso a uma aplicação protegida pelo AD FS apenas se o pedido de acesso for proveniente de um dispositivo associado ao local de trabalho registado para um utilizador cuja identidade tenha sido validada com MFA
Você pode usar o seguinte código
@RuleTemplate = "Authorization" @RuleName = "RequireMFAOnRegisteredWorkplaceJoinedDevice" c1:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$"] && c2:[Type == "https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value =~ "^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");Permita o acesso à extranet a uma aplicação protegida pelo AD FS apenas se o pedido de acesso for proveniente de um utilizador cuja identidade tenha sido validada com MFA.
Você pode usar o seguinte código:
@RuleTemplate = "Authorization" @RuleName = "RequireMFAForExtranetAccess" c1:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$"] && c2:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value =~ "^(?i)false$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");
Ver também
Guia passo a passo: Gerenciar riscos com controle de acesso condicionalConfigurar o ambiente de laboratório para AD FS no Windows Server 2012 R2