Guía de tutorial: Administración de riesgos con control de acceso condicional

Artículo
03/09/2023

Acerca de esta guía

En este tutorial se proporcionan instrucciones para administrar los riesgos con uno de los factores (datos de usuario) disponibles mediante el mecanismo de control de acceso condicional de los Servicios de federación de Active Directory (AD FS) en Windows Server 2012 R2. Para más información sobre los mecanismos de autorización y control de acceso condicional en AD FS en Windows Server 2012 R2, consulte Administración de riesgos con control de acceso condicional.

Este tutorial incluye las secciones siguientes:

Paso 1: Configuración del entorno de laboratorio

Para completar este tutorial, necesita un entorno con los siguientes componentes:

Un dominio de Active Directory con cuentas de grupo y usuario de prueba que se ejecute en Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012 con su esquema actualizado a Windows Server 2012 R2, o un dominio de Active Directory que se ejecute en Windows Server 2012 R2.
Un servidor de federación que se ejecute en Windows Server 2012 R2.
Un servidor web que hospede la aplicación de ejemplo
Un equipo cliente desde el que pueda obtener acceso a la aplicación de ejemplo

Advertencia

Se recomienda (tanto en entornos de producción como de prueba) no usar el mismo equipo como servidor de federación y servidor web.

En este entorno, el servidor de federación emite las notificaciones necesarias para que los usuarios puedan tener acceso a la aplicación de ejemplo. El servidor web hospeda una aplicación de ejemplo que confiará en los usuarios que presenten las notificaciones emitidas por el servidor de federación.

Para instrucciones sobre cómo configurar este entorno, consulte Configuración del entorno de laboratorio para AD FS en Windows Server 2012 R2.

Paso 2: comprobar el mecanismo de control de acceso predeterminado de AD FS

En este paso comprobará el mecanismo de control de acceso predeterminado de AD FS, en el que se redirige al usuario a la página de inicio de sesión de AD FS, el usuario proporciona credenciales válidas y se le concede acceso a la aplicación. Puede usar la cuenta de AD de Robert Hatley y la aplicación de ejemplo claimapp que configuró en Configuración del entorno de laboratorio para AD FS en Windows Server 2012 R2.

Para comprobar el mecanismo de control de acceso predeterminado de AD FS

En el equipo cliente, abra una ventana del explorador y navegue hasta la aplicación de ejemplo: https://webserv1.contoso.com/claimapp.

Esta acción redirige automáticamente la solicitud al servidor de federación y se le solicita que inicie sesión con un nombre de usuario y una contraseña.
Escriba las credenciales de la cuenta de AD de Robert Hatley que creó en Configuración del entorno de laboratorio para AD FS en Windows Server 2012 R2.

Se le concederá acceso a la aplicación.

Paso 3: configurar la directiva de control de acceso condicional según los datos de usuario

En este paso configurará una directiva de control de acceso basándose en los datos de pertenencia a grupos del usuario. Es decir, configurará una Regla de autorización de emisión en el servidor de federación para una relación de confianza para usuario autenticado que represente a la aplicación de ejemplo claimapp. Según la lógica de esta regla, se emitirán al usuario de AD Robert Hatley las notificaciones necesarias para tener acceso a esta aplicación, ya que este individuo pertenece a un grupo Finance. Ha agregado la cuenta de Robert Hatley al grupo Finance en Configuración del entorno de laboratorio para AD FS en Windows Server 2012 R2.

Puede completar esta tarea mediante la Consola de administración de AD FS o Windows PowerShell.

Para configurar la directiva de control de acceso condicional según los datos de usuario mediante la Consola de administración de AD FS

En la Consola de administración de AD FS, vaya a Relaciones de confianza y, a continuación, a Relaciones de confianza para usuario autenticado.
Seleccione la relación de confianza para usuario autenticado que represente a la aplicación de ejemplo (claimapp) y, a continuación, en el panel Acciones o haciendo clic con el botón secundario en esta relación de confianza para usuario autenticado, seleccione Editar reglas de notificación.
En la ventana Editar reglas de notificación para claimapp, seleccione la pestaña Reglas de autorización de emisión y haga clic en Agregar regla.
En la página Seleccionar plantilla de regla del Asistente para agregar reglas de notificación de autorización de emisión, seleccione la plantilla de regla de notificación Permitir o denegar el acceso a los usuarios según una notificación entrante y haga clic en Siguiente.
En la página Configurar regla, realice todas las acciones siguientes y, a continuación, haga clic en Finalizar:
1. Escriba un nombre para la regla de notificación, por ejemplo, TestRule.
2. Seleccione SID de grupo como Tipo de notificación entrante.
3. Haga clic en Examinar, escriba Finance como nombre del grupo de prueba de AD y resuélvalo para el campo Valor de notificación entrante.
4. Seleccione la opción Denegar acceso a los usuarios con esta notificación entrante.
En la ventana Editar reglas de notificación para claimapp, asegúrese de eliminar la regla Permitir el acceso a todos los usuarios que se creó de manera predeterminada al crear esta relación de confianza para usuario autenticado.

Para configurar la directiva de control de acceso condicional según los datos de usuario mediante Windows PowerShell

En el servidor de federación, abra la ventana de comandos de Windows PowerShell y ejecute el siguiente comando:

$rp = Get-AdfsRelyingPartyTrust -Name claimapp

En la misma ventana de Windows PowerShell, ejecute el siguiente comando:

$GroupAuthzRule = '@RuleTemplate = "Authorization" @RuleName = "Foo" c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value =~ "^(?i)<group_SID>$"] =>issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = "DenyUsersWithClaim");'
Set-AdfsRelyingPartyTrust -TargetRelyingParty $rp -IssuanceAuthorizationRules $GroupAuthzRule

Nota

Asegúrese de reemplazar <group_SID> por el valor del SID de grupo Finance de AD.

Paso 4: comprobar el mecanismo de control de acceso condicional

En este paso comprobará la directiva de control de acceso condicional que configuró en el paso anterior. Puede usar el siguiente procedimiento para comprobar que el usuario de AD Robert Hatley puede tener acceso a la aplicación de ejemplo porque pertenece al grupo Finance y que los usuarios de AD que no pertenecen al grupo Finance no pueden tener acceso a la aplicación de ejemplo.

En el equipo cliente, abra una ventana del explorador y navegue hasta la aplicación de ejemplo: https://webserv1.contoso.com/claimapp.

Esta acción redirige automáticamente la solicitud al servidor de federación y se le solicita que inicie sesión con un nombre de usuario y una contraseña.
Escriba las credenciales de la cuenta de AD de Robert Hatley que creó en Configuración del entorno de laboratorio para AD FS en Windows Server 2012 R2.

Se le concederá acceso a la aplicación.
Escriba las credenciales de otro usuario de AD que no pertenezca al grupo Finance. (Para más información sobre la creación de cuentas de usuario en AD, consulte https://technet.microsoft.com/library/cc7833232.aspx.

En este punto, a causa de la directiva de control de acceso que configuró en el paso anterior, se muestra un mensaje de "acceso denegado" para este usuario de AD, que NO pertenece al grupo Finance. El texto del mensaje predeterminado es You are not authorized to access this site. Click here to sign out and sign in again or contact your administrator for permissions. Sin embargo, este texto es totalmente personalizable. Para obtener más información sobre cómo personalizar la experiencia de inicio de sesión, consulte Customizing the AD FS Sign-in Pages.

Consulte también

Administración de riesgos con control de acceso condicional Configuración del entorno de laboratorio para AD FS en Windows Server 2012 R2

Share via