在 Windows Server 2016 中,可以使用 访问控制策略 创建基于传入声明允许或拒绝用户的规则。 在 Windows Server 2012 R2 中,使用基于 Active Directory 联合身份验证服务(AD FS)中的传入声明规则模板的 “允许或拒绝用户 ”,可以创建一个授权规则,根据传入声明的类型和值授予或拒绝用户对信赖方的访问权限。
例如,可以使用它创建如下规则:仅允许具有值为“域管理员”的组声明的用户访问信赖方。 如果要允许所有用户访问信赖方,请使用 “允许所有人 访问控制策略”或 “允许所有用户 ”规则模板,具体取决于你的 Windows Server 版本。 有权从联合身份验证服务访问信赖方的用户可能仍会被信赖方拒绝服务。
可以使用以下过程通过 AD FS 管理单元创建声明规则。
若要完成此过程,至少需要是本地计算机上的管理员组或等效组中的成员。 查看有关在本地和域默认组中使用合适帐户和组成员身份的详细信息。
创建规则以基于 Windows Server 2016 上的传入声明允许用户
在服务器管理器中,单击“工具”,选择“AD FS 管理”。
在控制台树的 AD FS 下,单击“ 访问控制策略”。
右键单击并选择“ 添加访问控制策略”。
在名称框中,输入策略的名称,说明并单击“ 添加”。
在“规则编辑器”的用户下,选中“请求中包含特定声明”,然后单击底部带有下划线的“特定”。
在“选择声明”屏幕上,单击“声明”单选按钮,选择声明类型、操作员和声明值,然后单击“确定”。
在 规则编辑器 上,单击“ 确定”。 在 “添加访问控制策略 ”屏幕上,单击“ 确定”。
在 AD FS 管理控制台 树的 AD FS 下,单击 用户方信任关系。
右键单击要允许访问的 信赖方信任 ,然后选择 “编辑访问控制策略”。
在访问控制策略上,选择策略,然后单击“ 应用 ”和“ 确定”。
创建规则以基于 Windows Server 2016 上的传入声明拒绝用户
在服务器管理器中,单击“工具”,选择“AD FS 管理”。
在控制台树的 AD FS 下,单击“ 访问控制策略”。
右键单击并选择“ 添加访问控制策略”。
在名称框中,输入策略的名称,说明并单击“ 添加”。
在“规则编辑器”上,确保已选中“任何人”,并在“例外”下选中“请求中包含特定声明”,然后单击底部带有下划线的“具体内容”。
在“选择声明”屏幕上,单击“声明”单选按钮,选择声明类型、操作员和声明值,然后单击“确定”。
在 规则编辑器 上,单击“ 确定”。 在 “添加访问控制策略 ”屏幕上,单击“ 确定”。
在 AD FS 管理控制台 树的 AD FS 下,单击 用户方信任关系。
右键单击要允许访问的 信赖方信任 ,然后选择 “编辑访问控制策略”。
在访问控制策略上,选择策略,然后单击“ 应用 ”和“ 确定”。
在 Windows Server 2012 R2 上创建基于传入声明允许或拒绝用户的规则
在服务器管理器中,单击“工具”,选择“AD FS 管理”。
在控制台树中的 AD FS\Trust Relationships\Relying Party Trusts 下,单击要在其中创建此规则的列表中的特定信任。
右键单击所选信任,然后单击“编辑声明规则”。
在 “编辑声明规则 ”对话框中,单击“ 颁发授权规则 ”选项卡或 “委派授权规则 ”选项卡(根据所需的授权规则类型),然后单击“ 添加规则 ”以启动 “添加授权声明规则向导”。
在 “选择规则模板 ”页上的 “声明规则模板”下, 从列表中选择“允许”或“拒绝基于传入声明的用户 ”,然后单击“ 下一步”。
在声明规则名称下的“配置规则”页上,在“传入声明类型”中选择列表中的声明类型,在“传入声明值”下键入值或单击“浏览”(如果可用),然后选择以下选项之一,具体取决于组织的需求:
允许具有此传入声明的用户访问
拒绝访问具有此传入声明
单击“完成”。
在“编辑声明规则”对话框中,单击“确定”以保存规则。