Políticas de controle de acesso no AD FS para Windows Server 2016
Modelos de políticas de controle de acesso no AD FS
Os Serviços de Federação do Active Directory (AD FS) agora dão suporte ao uso de modelos de política de controle de acesso. Usando modelos de política de controle de acesso, um administrador pode impor configurações de política atribuindo o modelo de política a um grupo de RPs (terceiras partes confiáveis). O administrador também pode fazer atualizações no modelo de política e as alterações serão aplicadas às terceiras partes confiáveis automaticamente se não houver interação do usuário necessária.
Oque são modelos de Políticas de Controle de Acesso?
O pipeline principal do AD FS para processamento de políticas possui três fases: autenticação, autorização e emissão de declarações. Atualmente, os administradores do AD FS precisam configurar uma política para cada fase separadamente. Isso também envolve entender as implicações dessas políticas e se elas são dependentes entre si. Além disso, os administradores precisam entender a linguagem de regra de declaração e criar regras personalizadas para habilitar alguma política simples/comum (por exemplo, bloquear o acesso externo).
O que os modelos de política de controle de acesso fazem é substituir esse modelo antigo em que os administradores precisam configurar regras de autorização de emissão usando a linguagem de declarações. Os cmdlets antigos do PowerShell das regras de autorização de emissão ainda se aplicam, mas são mutuamente exclusivos do modelo novo. Os administradores podem optar por usar o modelo novo ou antigo. O modelo novo permite que os administradores controlem quando conceder acesso, incluindo a imposição da autenticação multifator.
Os modelos de política de controle de acesso usam um modelo de permissão. Isso significa que, por padrão, ninguém tem acesso e esse acesso deve ser concedido explicitamente. No entanto, isso não é apenas uma permissão do tipo "tudo ou nada". Os administradores podem adicionar exceções à regra de permissão. Por exemplo, um administrador pode querer conceder acesso com base em uma rede específica selecionando essa opção e especificando o intervalo de endereços IP. Mas o administrador pode adicionar uma exceção. Por exemplo, o administrador pode adicionar uma exceção de uma rede específica e especificar esse intervalo de endereços IP.
Modelos internos de política de controle de acesso comparados aos modelos de política de controle de acesso personalizado
O AD FS inclui vários modelos internos de política de controle de acesso. Eles visam alguns cenários comuns que têm o mesmo conjunto de requisitos de política como, por exemplo, a política de acesso do cliente para Office 365. Esses modelos não podem ser modificados.
Para fornecer maior flexibilidade para atender às suas necessidades de negócios, os administradores podem criar seus próprios modelos de política de acesso. Eles podem ser modificados após a criação e as alterações no modelo de política personalizada serão aplicadas a todos os RPs controlados por esses modelos de política. Para adicionar um modelo de política personalizado, basta clicar em Adicionar política de controle de acesso no gerenciamento do AD FS.
Para criar um modelo de política, um administrador precisa primeiro especificar sob quais condições uma solicitação será autorizada para emissão de token e/ou delegação. As opções de condição e ação são mostradas na tabela abaixo. As condições em negrito podem ser melhor configuradas pelo administrador com valores diferentes ou novos. O administrador também pode especificar exceções, se houver. Quando uma condição for atendida, uma ação de permissão não será disparada se houver uma exceção especificada e a solicitação de entrada corresponder à condição especificada na exceção.
Permitir usuários | Except |
---|---|
De uma rede específica | De uma rede específica De grupos específicos De dispositivos com níveis de confiança específicos Com declarações específicas na solicitação |
De grupos específicos | De uma rede específica De grupos específicos De dispositivos com níveis de confiança específicos Com declarações específicas na solicitação |
De dispositivos com níveis de confiança específicos | De uma rede específica De grupos específicos De dispositivos com níveis de confiança específicos Com declarações específicas na solicitação |
Com declarações específicas na solicitação | De uma rede específica De grupos específicos De dispositivos com níveis de confiança específicos Com declarações específicas na solicitação |
E exigir autenticação multifator | De uma rede específica De grupos específicos De dispositivos com níveis de confiança específicos Com declarações específicas na solicitação |
Se um administrador selecionar várias condições, elas serão da relação AND. As ações são mutuamente exclusivas e, para uma regra de política, você só pode escolher uma ação. Se o administrador selecionar várias exceções, elas serão de uma relação OR. Alguns exemplos de regra de política são mostrados abaixo:
Política | Regras de política |
---|---|
O acesso à extranet requer MFA Todos os usuários são permitidos |
Regra nº 1 da extranet e com MFA Permitir Regra nº 2 da intranet Permitir |
O acesso externo não é permitido, exceto o não FTE O acesso à intranet para FTE no dispositivo ingressado no local de trabalho é permitido |
Regra nº 1 Da extranet e do grupo não FTE Permitir Regra nº 2 da intranet e do dispositivo ingressado no local de trabalho e do grupo FTE Permitir |
O acesso à extranet requer MFA, exceto "administrador de serviço" Todos os usuários têm permissão para acessar |
Regra nº 1 da extranet e com MFA Permitir Exceto o grupo de administradores de serviços Regra nº 2 always Permitir |
o acesso de dispositivo ingressado fora do local de trabalho da extranet requer MFA Permitir a malha do AD para acesso à intranet e à extranet |
Regra nº 1 da intranet E do grupo do AD Fabric Permitir Regra nº 2 da extranet e do dispositivo não ingressado no local de trabalho e do grupo do AD Fabric e com MFA Permitir Regra nº 3 da extranet e do dispositivo ingressado no local de trabalho e do grupo do AD Fabric Permitir |
Modelo de política parametrizada comparado ao modelo de política não parametrizada
Um modelo de política parametrizado é um modelo de política que tem parâmetros. Um Administrador precisa inserir o valor desses parâmetros ao atribuir esse modelo a RPs. Um administrador não pode fazer alterações no modelo de política parametrizado depois de ter sido criado. Um exemplo de uma política parametrizada é a política interna, Permitir grupo específico. Sempre que essa política for aplicada a um RP, esse parâmetro precisa ser especificado.
Um modelo de política não parametrizado é um modelo de política que não tem parâmetros. Um administrador pode atribuir esse modelo a RPs sem qualquer entrada necessária e pode fazer alterações em um modelo de política não parametrizado depois de criado. Um exemplo disso é a política interna, Permitir todos e exigir MFA.
Como criar uma política de controle de acesso não parametrizada
Para criar uma política de controle de acesso não parametrizada, use o procedimento a seguir
Para criar uma política de controle de acesso não parametrizada
No Gerenciamento do AD FS à esquerda, selecione Políticas de controle de acesso e clique com o botão direito do mouse em Adicionar política de controle de acesso.
Insira um nome e uma descrição. Por exemplo: permitir usuários com dispositivos autenticados.
Em Permitir acesso se qualquer uma das regras a seguir for atendida, clique em Adicionar.
Em permissão, marque a caixa ao lado de de dispositivos com nível de confiança específico
Na parte inferior, selecione o específico sublinhado
Na janela pop-up, selecione autenticado na lista suspensa. Clique em OK.
Clique em OK. Clique em OK.
Como criar uma política de controle de acesso parametrizada
Para criar uma política de controle de acesso parametrizada, use o procedimento a seguir
Para criar uma política de controle de acesso parametrizada
No Gerenciamento do AD FS à esquerda, selecione Políticas de controle de acesso e clique com o botão direito do mouse em Adicionar política de controle de acesso.
Insira um nome e uma descrição. Por exemplo: permitir usuários com uma declaração específica.
Em Permitir acesso se qualquer uma das regras a seguir for atendida, clique em Adicionar.
Em permissão, marque a caixa ao lado de com declarações específicas na solicitação
Na parte inferior, selecione o específico sublinhado
Na janela pop-up, selecione Parâmetro especificado quando a política de controle de acesso é atribuída. Clique em OK.
Clique em OK. Clique em OK.
Como criar uma política de controle de acesso personalizada com uma exceção
Para criar uma política de controle de acesso com uma exceção, use o procedimento a seguir.
Para criar uma política de controle de acesso personalizada com uma exceção
No Gerenciamento do AD FS à esquerda, selecione Políticas de controle de acesso e clique com o botão direito do mouse em Adicionar política de controle de acesso.
Insira um nome e uma descrição. Por exemplo: permitir usuários com dispositivos autenticados, mas não gerenciados.
Em Permitir acesso se qualquer uma das regras a seguir for atendida, clique em Adicionar.
Em permissão, marque a caixa ao lado de de dispositivos com nível de confiança específico
Na parte inferior, selecione o específico sublinhado
Na janela pop-up, selecione autenticado na lista suspensa. Clique em OK.
Em exceto, marque a caixa ao lado de de dispositivos com nível de confiança específico
Selecione o específico sublinhado abaixo de exceto
Na janela pop-up, selecione gerenciado na lista suspensa. Clique em OK.
Clique em OK. Clique em OK.
Como criar uma política de controle de acesso personalizada com várias condições de permissão
Para criar uma política de controle de acesso com várias condições de permissão, use o procedimento a seguir
Para criar uma política de controle de acesso parametrizada
No Gerenciamento do AD FS à esquerda, selecione Políticas de controle de acesso e clique com o botão direito do mouse em Adicionar política de controle de acesso.
Insira um nome e uma descrição. Por exemplo: permitir usuários com uma declaração específica e de um grupo específico.
Em Permitir acesso se qualquer uma das regras a seguir for atendida, clique em Adicionar.
Em permissão, marque a caixa ao lado de de um grupo específico e com declarações específicas na solicitação
Na parte inferior, selecione o específico sublinhado para a primeira condição, ao lado de grupos
Na janela pop-up, selecione Parâmetro especificado quando a política de controle de acesso é atribuída. Clique em OK.
Na parte inferior, selecione o específico sublinhado para a segunda condição, ao lado de declarações
Na janela pop-up, selecione Parâmetro especificado quando a política de controle de acesso é atribuída. Clique em OK.
Clique em OK. Clique em OK.
Como atribuir uma política de controle de acesso a um novo aplicativo
É bem simples atribuir uma política de controle de acesso a um novo aplicativo, tendo agora sido integrado ao assistente para adicionar um RP. No Assistente do objeto de confiança de terceira parte confiável, você pode selecionar a política de controle de acesso que deseja atribuir. Esse é um requisito ao criar um novo objeto de confiança de terceira parte confiável.
Como atribuir uma política de controle de acesso a um aplicativo existente
Para atribuir uma política de controle de acesso a um aplicativo existente, selecione o aplicativo em Objeto de confiança de terceira parte confiável e clique com o botão direito do mouse em Editar Política de Controle de Acesso.
Aqui, você pode selecionar a política de controle de acesso e aplicá-la ao aplicativo.