Mengelola Risiko dengan Kontrol Akses Bersyarah
Konsep utama - kontrol akses bersyarah di Layanan Federasi Direktori Aktif
Fungsi keseluruhan Layanan Federasi Direktori Aktif adalah mengeluarkan token akses yang berisi serangkaian klaim. Keputusan mengenai klaim apa yang diterima Ad FS dan kemudian masalah diatur oleh aturan klaim.
Kontrol akses di Layanan Federasi Direktori Aktif diimplementasikan dengan aturan klaim otorisasi penerbitan yang digunakan untuk mengeluarkan klaim izin atau penolakan yang akan menentukan apakah pengguna atau sekelompok pengguna akan diizinkan untuk mengakses sumber daya yang diamankan AD FS atau tidak. Aturan otorisasi hanya dapat diatur pada kepercayaan pihak yang mengandalkan.
| Opsi aturan | Logika aturan |
|---|---|
| Mengizinkan semua pengguna | Jika jenis klaim masuk sama dengan jenis klaim dan nilai apa pun yang sama dengan nilai apa pun, maka terbitkan klaim dengan nilai sama dengan Izin |
| Izinkan akses ke pengguna dengan klaim masuk ini | Jika jenis klaim masuk sama dengan jenis klaim dan nilai yang ditentukan sama dengan nilai klaim yang ditentukan, maka terbitkan klaim dengan nilai sama dengan Izin |
| Tolak akses ke pengguna dengan klaim masuk ini | Jika jenis klaim masuk sama dengan jenis klaim dan nilai yang ditentukan sama dengan nilai klaim yang ditentukan, maka terbitkan klaim dengan nilai sama dengan Tolak |
Untuk informasi selengkapnya tentang opsi dan logika aturan ini, lihat Kapan Menggunakan Aturan Klaim Otorisasi.
Di Layanan Federasi Direktori Aktif di Windows Server 2012 R2, kontrol akses ditingkatkan dengan beberapa faktor, termasuk data pengguna, perangkat, lokasi, dan autentikasi. Hal ini dimungkinkan oleh berbagai jenis klaim yang lebih besar yang tersedia untuk aturan klaim otorisasi. Dengan kata lain, dalam Layanan Federasi Direktori Aktif di Windows Server 2012 R2, Anda dapat menerapkan kontrol akses bersuhidan berdasarkan identitas pengguna atau keanggotaan grup, lokasi jaringan, perangkat (apakah tempat kerja bergabung, untuk informasi lebih lanjut, lihat Bergabung ke Tempat Kerja dari Perangkat Apa Pun untuk SSO dan Autentikasi Faktor Kedua Tanpa Hambatan Di Seluruh Aplikasi Perusahaan), dan status autentikasi (apakah autentikasi multifaktor (MFA) dilakukan ).
Kontrol akses berskal di Layanan Federasi Direktori Aktif di Windows Server 2012 R2, menawarkan manfaat berikut:
Kebijakan otorisasi per aplikasi yang fleksibel dan ekspresif, di mana Anda dapat mengizinkan atau menolak akses berdasarkan pengguna, perangkat, lokasi jaringan, dan status autentikasi
Membuat aturan otorisasi penerbitan untuk mengandalkan aplikasi pihak
Pengalaman UI yang kaya untuk skenario kontrol akses bersyariah umum
Bahasa klaim kaya & dukungan Windows PowerShell untuk skenario kontrol akses bersyariah tingkat lanjut
Pesan kustom (per aplikasi pihak yang mengandalkan) 'Akses Ditolak'. Untuk informasi selengkapnya, lihat Mengkustomisasi Halaman Masuk ADFS. Dengan dapat menyesuaikan pesan-pesan ini, Anda dapat menjelaskan mengapa pengguna ditolak akses dan juga memfasilitasi remediasi layanan mandiri jika memungkinkan, misalnya, meminta pengguna untuk bergabung dengan tempat kerja perangkat mereka. Untuk informasi selengkapnya, lihat Bergabung ke Tempat Kerja dari Perangkat Apa Pun untuk SSO dan Autentikasi Faktor Kedua Tanpa Hambatan Di Seluruh Aplikasi Perusahaan.
Tabel berikut ini mencakup semua jenis klaim yang tersedia di Layanan Federasi Direktori Aktif di Windows Server 2012 R2 yang akan digunakan untuk menerapkan kontrol akses bersyarah.
| Jenis klaim | Deskripsi |
|---|---|
| Alamat Email | Alamat email pengguna. |
| Nama Depan | Nama pengguna yang diberikan. |
| Nama | Nama unik pengguna, |
| UPN | Nama prinsipal pengguna (UPN) dari pengguna. |
| Nama Umum | Nama umum pengguna. |
| Ad FS 1 x Alamat Email | Alamat email pengguna saat beroperasi dengan Layanan Federasi Direktori Aktif 1.1 atau Layanan Federasi Direktori Aktif 1.0. |
| Grupkan | Grup tempat pengguna menjadi anggota. |
| LAYANAN Federasi Direktori Aktif 1 x UPN | UPN pengguna saat beroperasi dengan Layanan Federasi Direktori Aktif 1.1 atau Layanan Federasi Direktori Aktif 1.0. |
| Role | Peran yang dimiliki pengguna. |
| Nama Belakang | Nama belakang pengguna. |
| PPID | Pengidentifikasi privat pengguna. |
| ID Nama | Pengidentifikasi nama SAML pengguna. |
| Stempel waktu autentikasi | Digunakan untuk menampilkan waktu dan tanggal pengguna diautentikasi. |
| Metode autentikasi | Metode yang digunakan untuk mengautentikasi pengguna. |
| Tolak hanya SID grup | SID grup khusus tolak pengguna. |
| Tolak hanya SID utama | SID utama khusus tolak pengguna. |
| Tolak hanya SID grup utama | SID grup utama khusus tolak pengguna. |
| SID Grup | SID grup pengguna. |
| SID grup utama | SID grup utama pengguna. |
| SID Utama | SID utama pengguna. |
| Nama akun Windows | Nama akun domain pengguna dalam bentuk domain\user. |
| Adalah Pengguna Terdaftar | Pengguna terdaftar untuk menggunakan perangkat ini. |
| Pengidentifikasi Perangkat | Pengidentifikasi perangkat. |
| Pengidentifikasi Pendaftaran Perangkat | Pengidentifikasi untuk Pendaftaran Perangkat. |
| Nama Tampilan Pendaftaran Perangkat | Nama tampilan Pendaftaran Perangkat. |
| Jenis OS Perangkat | Jenis sistem operasi perangkat. |
| Versi OS Perangkat | Versi sistem operasi perangkat. |
| Perangkat Terkelola | Perangkat dikelola oleh layanan manajemen. |
| IP Klien yang Diteruskan | Alamat IP pengguna. |
| Aplikasi Klien | Jenis aplikasi klien. |
| Agen Pengguna Klien | Jenis perangkat yang digunakan klien untuk mengakses aplikasi. |
| IP Klien | Alamat IP klien. |
| Jalur Titik Akhir | Jalur Titik Akhir Absolut yang dapat digunakan untuk menentukan klien aktif versus pasif. |
| Proksi | Nama DNS proksi server federasi yang meneruskan permintaan. |
| Pengidentifikasi Aplikasi | Pengidentifikasi untuk pihak yang mengandalkan. |
| Kebijakan aplikasi | Kebijakan aplikasi sertifikat. |
| Pengidentifikasi Kunci Otoritas | Ekstensi pengidentifikasi kunci otoritas sertifikat yang menandatangani sertifikat yang diterbitkan. |
| Batasan Dasar | Salah satu batasan dasar sertifikat. |
| Penggunaan Kunci yang Ditingkatkan | Menjelaskan salah satu penggunaan kunci sertifikat yang disempurnakan. |
| Penerbit | Nama otoritas sertifikasi yang mengeluarkan sertifikat X.509. |
| Nama Pengeluar Sertifikat | Nama khusus penerbit sertifikat. |
| Penggunaan Kunci | Salah satu penggunaan utama sertifikat. |
| Tidak Setelah | Tanggal dalam waktu lokal setelah sertifikat tidak lagi valid. |
| Tidak sebelum | Tanggal di waktu lokal di mana sertifikat menjadi valid. |
| Kebijakan Sertifikat | Kebijakan di mana sertifikat telah diterbitkan. |
| Kunci Umum | Kunci umum sertifikat. |
| Data Mentah Sertifikat | Data mentah sertifikat. |
| Nama Alternatif Subjek | Salah satu nama alternatif sertifikat. |
| Nomor Seri | Nomor seri sertifikat. |
| Algoritma Tanda Tangan | Algoritma yang digunakan untuk membuat tanda tangan sertifikat. |
| Subjek | Subjek dari sertifikat. |
| Pengidentifikasi Kunci Subjek | Pengidentifikasi kunci subjek sertifikat. |
| Nama Subjek | Nama yang dibedakan subjek dari sertifikat. |
| Nama Templat V2 | Nama templat sertifikat versi 2 yang digunakan wen mengeluarkan atau memperbarui sertifikat. Ini adalah nilai khusus Microsoft. |
| Nama Templat V1 | Nama templat sertifikat versi 1 yang digunakan saat menerbitkan atau memperbarui sertifikat. Ini adalah nilai khusus Microsoft. |
| Thumbprint | Thumbprint sertifikat. |
| Versi X 509 | Versi format X.509 sertifikat. |
| Dalam Jaringan Perusahaan | Digunakan untuk menunjukkan apakah permintaan berasal dari dalam jaringan perusahaan. |
| Kebijakan kedaluwarsa kata sandi | Digunakan untuk menampilkan waktu ketika kata sandi kedaluwarsa. |
| Hari Kedaluwarsa Kata Sandi | Digunakan untuk menampilkan jumlah hari kedaluwarsa kata sandi. |
| Perbarui URL Kata Sandi | Digunakan untuk menampilkan alamat web layanan kata sandi pembaruan. |
| Referensi Metode Autentikasi | Digunakan untuk menunjukkan metode autentikasi al yang digunakan untuk mengautentikasi pengguna. |
Mengelola Risiko dengan Kontrol Akses Bersyarah
Dengan menggunakan pengaturan yang tersedia, ada banyak cara di mana Anda dapat mengelola risiko dengan menerapkan kontrol akses bersyar.
Skenario Umum
Misalnya, bayangkan skenario sederhana penerapan kontrol akses bersyariah berdasarkan data keanggotaan grup pengguna untuk aplikasi tertentu (mengandalkan kepercayaan pihak). Dengan kata lain, Anda dapat menyiapkan aturan otorisasi penerbitan di server federasi Anda untuk mengizinkan pengguna yang termasuk dalam grup tertentu di akses domain AD Anda ke aplikasi tertentu yang diamankan oleh Layanan Federasi Direktori Aktif. Instruksi langkah demi langkah terperinci (menggunakan UI dan Windows PowerShell) untuk menerapkan skenario ini dibahas dalam Panduan Penelusuran: Mengelola Risiko dengan Kontrol Akses Bersyariah. Untuk menyelesaikan langkah-langkah dalam panduan ini, Anda harus menyiapkan lingkungan lab dan mengikuti langkah-langkah dalam Menyiapkan lingkungan lab untuk Layanan Federasi Direktori Aktif di Windows Server 2012 R2.
Skenario Tingkat Lanjut
Contoh lain menerapkan kontrol akses bersyar di Layanan Federasi Direktori Aktif di Windows Server 2012 R2 meliputi yang berikut ini:
Mengizinkan akses ke aplikasi yang diamankan oleh Layanan Federasi Direktori Aktif hanya jika identitas pengguna ini divalidasi dengan MFA
Anda dapat menggunakan kode berikut:
@RuleTemplate = "Authorization" @RuleName = "PermitAccessWithMFA" c:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)https://schemas\.microsoft\.com/claims/multipleauthn$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");Mengizinkan akses ke aplikasi yang diamankan oleh Layanan Federasi Direktori Aktif hanya jika permintaan akses berasal dari perangkat yang bergabung dengan tempat kerja yang didaftarkan kepada pengguna
Anda dapat menggunakan kode berikut:
@RuleTemplate = "Authorization" @RuleName = "PermitAccessFromRegisteredWorkplaceJoinedDevice" c:[Type == "https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value =~ "^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");Izinkan akses ke aplikasi yang diamankan oleh Layanan Federasi Direktori Aktif hanya jika permintaan akses berasal dari perangkat yang bergabung dengan tempat kerja yang didaftarkan ke pengguna yang identitasnya telah divalidasi dengan MFA
Anda dapat menggunakan kode berikut
@RuleTemplate = "Authorization" @RuleName = "RequireMFAOnRegisteredWorkplaceJoinedDevice" c1:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$"] && c2:[Type == "https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value =~ "^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");Izinkan akses ekstranet ke aplikasi yang diamankan oleh Layanan Federasi Direktori Aktif hanya jika permintaan akses berasal dari pengguna yang identitasnya telah divalidasi dengan MFA.
Anda dapat menggunakan kode berikut:
@RuleTemplate = "Authorization" @RuleName = "RequireMFAForExtranetAccess" c1:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$"] && c2:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value =~ "^(?i)false$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");
Lihat Juga
Panduan Penelusuran: Mengelola Risiko dengan KontrolAkses Bersyarah Menyiapkan lingkungan lab untuk Layanan Federasi Direktori Aktif di Windows Server 2012 R2