Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Conceptos clave: control de acceso condicional en AD FS
La función principal de AD FS es emitir un token de acceso que contiene un conjunto de afirmaciones. La decisión sobre qué declaraciones acepta AD FS y luego emite se rige por las reglas de declaraciones.
El control de acceso en AD FS se implementa mediante reglas de autorización de emisión que se usan para permitir o denegar reclamos, determinando si un usuario o un grupo de usuarios podrán acceder a recursos protegidos por AD FS o no. Las reglas de autorización solo se pueden establecer en relaciones de confianza para usuario autenticado.
| Opción de regla | Lógica de reglas |
|---|---|
| Permitir a todos los usuarios | Si el tipo de reclamación entrante es igual a cualquier tipo de reclamación y el valor es igual a cualquier valor, entonces emita la reclamación con valor igual a Permitir. |
| Permitir acceso a los usuarios con esta notificación entrante | Si el tipo de notificación entrante es igual al tipo de notificación especificado y el valor es igual al valor de notificación especificado, emita la notificación con el valor igual a Permitir. |
| Denegar el acceso a los usuarios con esta reclamación entrante | Si el tipo de notificación entrante es igual al tipo de notificación especificado y el valor es igual al valor de notificación especificado, emita la notificación con un valor igual a Deny. |
Para obtener más información sobre estas opciones de regla y la lógica, vea Cuándo usar una regla de notificación de autorización.
En AD FS en Windows Server 2012 R2, el control de acceso se mejora con varios factores, incluidos los datos de usuario, dispositivo, ubicación y autenticación. Esto es posible mediante una mayor variedad de tipos de reclamaciones disponibles para las reglas de autorización de reclamaciones. En otras palabras, en AD FS en Windows Server 2012 R2, puede aplicar el control de acceso condicional en función de la identidad de usuario o la pertenencia a grupos, la ubicación de red, el dispositivo (si está unido al área de trabajo, para obtener más información, vea Unirse al área de trabajo desde cualquier dispositivo para SSO y Autenticación de segundo factor de conexión directa entre aplicaciones de empresa) y el estado de autenticación (si se realizó la autenticación multifactor (MFA).
El control de acceso condicional en AD FS en Windows Server 2012 R2 ofrece las siguientes ventajas:
Directivas de autorización flexibles y expresivas por aplicación, en las que puede permitir o denegar el acceso en función del usuario, el dispositivo, la ubicación de red y el estado de autenticación.
Creación de reglas de autorización de emisión para aplicaciones de confianza para usuario autenticado
Experiencia de interfaz de usuario enriquecida para los escenarios comunes de control de acceso condicional
Lenguaje de declaraciones enriquecido y compatibilidad de Windows PowerShell con escenarios avanzados de control de acceso condicional
Mensajes de "Acceso denegado" personalizados (por aplicación de confianza para usuario autenticado). Para obtener más información, consulte Personalización de las páginas de inicio de sesión de AD FS. Al poder personalizar estos mensajes, puede explicar por qué se deniega el acceso a un usuario y, además, facilitar una corrección de autoservicio cuando sea posible, por ejemplo, solicitar a los usuarios que unan sus dispositivos al área de trabajo. Para obtener más información, consulte Unirse a Workplace desde cualquier dispositivo para Single Sign-On (SSO) y autenticación de segundo factor sin interrupciones en las aplicaciones de la empresa.
En la tabla siguiente se incluyen todos los tipos de notificación disponibles en AD FS en Windows Server 2012 R2 para implementar el control de acceso condicional.
| Tipo de reclamación | Descripción |
|---|---|
| Dirección de correo electrónico | La dirección de correo electrónico del usuario. |
| Nombre propio | Nombre especificado del usuario. |
| Nombre | Nombre único del usuario, |
| UPN | Nombre principal de usuario (UPN) del usuario. |
| Nombre común | Nombre común del usuario. |
| Dirección de correo electrónico para AD FS 1 | Dirección de correo electrónico del usuario al interoperar con AD FS 1.1 o AD FS 1.0. |
| Grupo | Grupo al que pertenece el usuario |
| UPN para AD FS 1 | UpN del usuario al interoperar con AD FS 1.1 o AD FS 1.0. |
| Rol | Rol que tiene el usuario. |
| Apellido | Apellido del usuario |
| PPID | Identificador privado del usuario. |
| Identificador de nombre | Identificador de nombre SAML del usuario. |
| Marca de tiempo de autenticación | Se usa para mostrar la hora y la fecha en que se ha autenticado el usuario. |
| Método de autenticación | Método usado para autenticar al usuario. |
| SID de grupo de solo denegación | SID de grupo usado solo para denegar del usuario. |
| SID principal de solo denegación | SID principal usado solo para denegar del usuario. |
| SID de grupo principal de solo denegación | SID de grupo principal usado solo para denegar del usuario. |
| Grupo SID | SID de grupo del usuario. |
| SID de grupo principal | SID de grupo principal del usuario. |
| SID principal | El SID principal del usuario. |
| Nombre de la cuenta de Windows | Nombre de cuenta de dominio del usuario en forma de dominio\usuario. |
| Usuario registrado | El usuario está registrado para usar este dispositivo. |
| Identificador de dispositivo | Identificador del dispositivo. |
| Identificador de registro de dispositivos | Identificador para el registro de dispositivos |
| Nombre para mostrar de registro de dispositivo | Nombre para mostrar del registro de dispositivo. |
| Tipo de sistema operativo del dispositivo | Tipo de sistema operativo del dispositivo. |
| Versión del sistema operativo del dispositivo | Versión del sistema operativo del dispositivo. |
| Dispositivo administrado | Un servicio de administración administra el dispositivo. |
| IP del cliente reenviado | Dirección IP del usuario. |
| Aplicación cliente | Tipo de la aplicación cliente. |
| Agente de usuario cliente | Tipo de dispositivo que usa el cliente para acceder a la aplicación. |
| IP del cliente | Dirección IP del cliente. |
| Ruta de acceso de extremo | Ruta absoluta del punto de conexión que se puede utilizar para identificar clientes activos y pasivos. |
| Intermediario | Nombre DNS del proxy del servidor de federación que pasó la solicitud. |
| Identificador de aplicación | Identificador de la parte dependiente. |
| Directivas de aplicación | Directivas de aplicación del certificado. |
| Identificador de clave de autoridad | Extensión de identificador de clave de entidad emisora del certificado que firmó un certificado emitido. |
| Restricción básica | Una de las restricciones básicas del certificado. |
| Uso mejorado de claves | Describa uno de los usos mejorados de las claves del certificado. |
| Emisor | Nombre de la entidad de certificación que emitió el certificado X.509. |
| Nombre del emisor | Nombre distintivo del emisor del certificado. |
| Uso de claves | Uno de los usos clave del certificado. |
| No después de | Fecha en hora local después de la cual un certificado ya no es válido. |
| No antes de | Fecha en hora local en la que un certificado es válido. |
| Políticas de certificado | Políticas bajo las cuales se ha emitido el certificado. |
| Clave pública | Clave pública del certificado. |
| Datos sin procesar del certificado | Datos sin procesar del certificado. |
| Nombre Alternativo del Sujeto | Uno de los nombres alternativos del certificado. |
| Número de serie | Número de serie del certificado. |
| Algoritmo de firma | Algoritmo usado para crear la firma de un certificado. |
| Asunto | Asunto del certificado. |
| Identificador de clave de asunto | Identificador de clave del firmante del certificado. |
| Nombre del sujeto | Nombre distintivo del firmante de un certificado. |
| Nombre de plantilla V2 | El nombre de la plantilla de certificado de la versión 2 usada al emitir o renovar un certificado. Se trata de un valor específico de Microsoft. |
| Nombre de plantilla V1 | Nombre de la plantilla de certificado de la versión 1 que se usa al emitir o renovar un certificado. Se trata de un valor específico de Microsoft. |
| Huella digital | Huella digital del certificado |
| Versión X 509 | La versión de formato X.509 del certificado. |
| Dentro de red corporativa | Se usa para indicar si una solicitud se originó desde dentro de la red corporativa. |
| Tiempo de expiración de la contraseña | Se usa para mostrar la hora en que expira la contraseña. |
| Días de expiración de contraseña | Se usa para mostrar el número de días a la expiración de la contraseña. |
| Actualizar la dirección URL de contraseña | Se usa para mostrar la dirección web del servicio de actualización de contraseñas. |
| Referencias a métodos de autenticación | Se usa para indicar los métodos de autenticación utilizados para autenticar al usuario. |
Administración de riesgos con control de acceso condicional
Con la configuración disponible, hay muchas maneras en las que puede administrar el riesgo mediante la implementación del control de acceso condicional.
Escenarios comunes
Por ejemplo, imagina un escenario sencillo en el que se implementa el control de acceso condicional basado en los datos de membresía de grupo del usuario para una aplicación determinada (confianza de un tercero). En otras palabras, puede configurar una regla de autorización de emisión en el servidor de federación para permitir que los usuarios que pertenecen a un grupo determinado del dominio de AD accedan a una aplicación determinada protegida por AD FS. Las instrucciones detalladas paso a paso (con la interfaz de usuario y Windows PowerShell) para implementar este escenario se tratan en la Guía del tutorial: Administración de riesgos con control de acceso condicional. Para completar los pasos de este tutorial, debe configurar un entorno de laboratorio y seguir los pasos descritos en Configuración del entorno de laboratorio para AD FS en Windows Server 2012 R2.
Escenarios avanzados
Otros ejemplos de implementación del control de acceso condicional en AD FS en Windows Server 2012 R2 son los siguientes:
Permitir el acceso a una aplicación protegida por AD FS solo si la identidad de este usuario se validó con MFA
Puede usar el código siguiente:
@RuleTemplate = "Authorization" @RuleName = "PermitAccessWithMFA" c:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)https://schemas\.microsoft\.com/claims/multipleauthn$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");Permitir acceso a una aplicación protegida por AD FS solo si la solicitud de acceso procede de un dispositivo unido al área de trabajo registrado a nombre del usuario
Puede usar el código siguiente:
@RuleTemplate = "Authorization" @RuleName = "PermitAccessFromRegisteredWorkplaceJoinedDevice" c:[Type == "https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value =~ "^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");Permitir el acceso a una aplicación protegida por AD FS solo si la solicitud de acceso procede de un dispositivo unido al área de trabajo que está registrado en un usuario cuya identidad se ha validado con MFA
Puede usar el código siguiente.
@RuleTemplate = "Authorization" @RuleName = "RequireMFAOnRegisteredWorkplaceJoinedDevice" c1:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$"] && c2:[Type == "https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value =~ "^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");Permitir el acceso de extranet a una aplicación protegida por AD FS solo si la solicitud de acceso procede de un usuario cuya identidad se ha validado con MFA.
Puede usar el código siguiente:
@RuleTemplate = "Authorization" @RuleName = "RequireMFAForExtranetAccess" c1:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$"] && c2:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value =~ "^(?i)false$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");
Véase también
Guía de tutorial: Administrar el riesgo con el control de acceso condicionalConfigurar el entorno de laboratorio para AD FS en Windows Server 2012 R2