AD FS 中的访问控制策略模板
Active Directory 联合身份验证服务现在支持使用访问控制策略模板。 通过使用访问控制策略模板,管理员可以通过将策略模板分配给一组信赖方(RP)来强制实施策略设置。 如果不需要用户交互,管理员还可以对策略模板进行更新,并且更改将自动应用于信赖方。
什么是访问控制策略模板?
用于策略处理的 AD FS 核心管道有三个阶段:身份验证、授权和声明颁发。 目前,AD FS 管理员必须单独为每个阶段配置策略。 这也涉及了解这些策略的影响,以及这些策略是否具有依赖关系。 此外,管理员必须了解声明规则语言和创作自定义规则,才能启用一些简单/通用策略(例如阻止外部访问)。
访问控制策略模板执行的作是替换此旧模型,管理员必须使用声明语言配置颁发授权规则。 颁发授权规则的旧 PowerShell cmdlet 仍然适用,但它们与新模型互斥。 管理员可以选择使用新模型或旧模型。 新模型允许管理员控制何时授予访问权限,包括强制实施多重身份验证。
访问控制策略模板使用许可证模型。 这意味着默认情况下,没有人有权访问,并且必须显式授予该访问权限。 但是,这不仅仅是一种“全有或全无”的允许模式。 管理员可以向允许规则添加例外。 例如,管理员可能希望通过选择此选项并指定 IP 地址范围来基于特定网络授予访问权限。 但管理员可以添加和例外,例如,管理员可能会从特定网络添加异常并指定 IP 地址范围。
内置访问控制策略模板与自定义访问控制策略模板
AD FS 包括多个内置访问控制策略模板。 这些方案面向一些具有相同策略要求的常见方案,例如 Office 365 的客户端访问策略。 无法修改这些模板。
为了提高满足业务需求的灵活性,管理员可以创建自己的访问策略模板。 创建后可以修改这些策略模板,并且自定义策略模板的更改将应用于这些策略模板控制的所有 RP。 若要添加自定义策略模板,只需单击 AD FS 管理中的“添加访问控制策略”。
为了创建策略模板,管理员首先需要指定在何种条件下请求将被授权用于令牌的签发和/或委派。 下表显示了条件和作选项。 管理员可以使用不同值或新值进一步配置粗体条件。 管理员还可以在有任何例外的情况下指定例外。 当满足一个条件时,如果指定了一个异常,并且传入请求符合异常中指定的条件,则不会触发允许操作。
| 允许用户 | 除了 |
|---|---|
| 来自特定网络 | 来自特定网络 来自特定组 来自具有特定信任级别的设备 在请求中包含特定声明 |
| 来自特定组 | 来自特定网络 来自特定组 来自具有特定信任级别的设备 请求中包含 特定 要求 |
| 来自具有特定信任级别的设备 | 来自特定网络 来自特定组 来自具有特定信任级别的设备 在请求中包含特定声明 |
| 在请求中包含特定声明 | 来自特定网络 来自特定组 来自具有特定信任级别的设备 在请求中包含特定声明 |
| 需要多重身份验证 | 来自特定网络 来自特定组 来自具有特定信任级别的设备 请求中含有特定声明 |
如果管理员选择多个条件,则它们属于 AND 关系。 动作是互斥的,对于一个策略规则,你只能选择一个动作。 如果管理员选择多个异常,则它们属于 OR 关系。 下面显示了几个策略规则示例:
| 策略 | 策略规则 |
|---|---|
| Extranet 访问需要 MFA 允许所有用户 |
规则 #1 从 Extranet 并且使用 MFA 许可证 Rule#2 从 Intranet 许可证 |
| 不允许外部访问,但非 FTE 除外 允许在已加入工作区的设备上对 FTE 进行 Intranet 访问 |
规则 #1 从 Extranet 以及从非 FTE 组 许可证 规则 #2 从 Intranet 以及从已加入工作区的设备 以及从 FTE 组 许可证 |
| 访问外网需要多因素身份验证,"服务管理员"除外。 允许所有用户访问 |
规则 #1 从 Extranet 并且使用 MFA 许可证 服务管理员组除外 规则 #2 始终 许可证 |
| 未加入工作区的设备从 Extranet 进行访问需要 MFA 允许 AD 架构用于内部网和外部网访问 |
规则 #1 从 Intranet 以及从 AD Fabric 组 许可证 规则 #2 从 Extranet 以及从未加入工作区的设备 以及从 AD Fabric 组 并且使用 MFA 许可证 规则 #3 从 Extranet 以及从已加入工作区的设备 以及从 AD Fabric 组 许可证 |
参数化策略模板与非参数化策略模板
参数化策略模板是具有参数的策略模板。 管理员在将此模板分配给 RPs 时需要输入这些参数的值。管理员在创建参数化策略模板后无法更改参数化策略模板。 参数化策略的示例是内置策略“允许特定组”。 每当将此策略应用于 RP 时,都需要指定此参数。
非参数化策略模板是没有参数的策略模板。 管理员可以将此模板分配给 RP,而无需任何输入,并且可以在创建非参数化策略模板后对模板进行更改。 例如,内置策略“允许所有人并要求多重身份验证 (MFA)”就是一个示例。
如何创建非参数化访问控制策略
若要创建非参数化访问控制策略,请使用以下过程
创建非参数化访问控制策略
在左侧的 AD FS 管理中,选择“访问控制策略”,然后在右键单击“添加访问控制策略”。
输入名称和说明。 例如:允许用户使用经过身份验证的设备。
如果 满足以下任一规则,请在“允许访问”下,单击“ 添加”。
在“允许”下,选中“来自具有特定信任级别的设备”旁边的框
在底部,选择带下划线的“特定”
从弹出的窗口中,从下拉列表中选择 经过身份验证 。 单击 “确定” 。
单击 “确定” 。 单击 “确定” 。
如何创建参数化访问控制策略
若要创建参数化访问控制策略,请使用以下过程
创建参数化访问控制策略
在左侧的 AD FS 管理中,选择“访问控制策略”,然后在右键单击“添加访问控制策略”。
输入名称和说明。 例如:允许具有特定声明的用户。
如果 满足以下任一规则,请在“允许访问”下,单击“ 添加”。
在“允许”下,选中“在请求中具有特定声明”旁边的框
在底部,选择带下划线的“特定”
从弹出的窗口中,选择 在分配访问控制策略时指定的参数。 单击 “确定” 。
单击 “确定” 。 单击 “确定” 。
如何创建自定义访问控制策略,但有例外
若要创建访问控制策略并例外,请使用以下过程。
创建包含例外的自定义访问控制策略
在左侧的 AD FS 管理中,选择“访问控制策略”,然后在右键单击“添加访问控制策略”。
输入名称和说明。 例如:允许用户使用经过身份验证的设备,但不允许管理。
如果 满足以下任一规则,请在“允许访问”下,单击“ 添加”。
在“允许”下,选中“来自具有特定信任级别的设备”旁边的框
在底部,选择带下划线的“特定”
从弹出的窗口中,从下拉列表中选择 经过身份验证 。 单击 “确定” 。
在“例外”下,选中“来自具有特定信任级别的设备”旁边的框
在底部的“例外”下,选择带下划线的“特定”
在弹出的窗口中,从下拉列表中选择“托管”。 单击 “确定” 。
单击 “确定” 。 单击 “确定” 。
如何创建具有多个允许条件的自定义访问控制策略
若要创建具有多个允许条件的访问控制策略,请使用以下过程
创建参数化访问控制策略
在左侧的 AD FS 管理中,选择“访问控制策略”,然后在右键单击“添加访问控制策略”。
输入名称和说明。 例如:允许具有特定声明和来自特定组的用户。
如果 满足以下任一规则,请在“允许访问”下,单击“ 添加”。
在“允许”下,选中“来自特定组”和“在请求中具有特定声明”旁边的框
在底部,为组旁边的第一个条件选择带下划线的“特定”
从弹出的窗口中,选择 在分配策略时指定的参数。 单击 “确定” 。
在底部,为声明旁边的第二个条件选择带下划线的“特定”
从弹出的窗口中,选择 在分配访问控制策略时指定的参数。 单击 “确定” 。
单击 “确定” 。 单击 “确定” 。
如何将访问控制策略分配给新应用程序
将访问控制策略分配给新应用程序的过程非常简单,并且此过程现已集成到用于添加 RP 的向导中。 从信赖方信任向导中,可以选择要分配的访问控制策略。 这是创建新的信赖方信任时的要求。
如何将访问控制策略分配给现有应用程序
将访问控制策略分配给现有应用程序只需从信赖方信任中选择应用程序,然后单击“ 编辑访问控制策略”。
在此处,可以选择访问控制策略并将其应用于应用程序。
