Guia Passo a passo: gerenciar riscos com controle de acesso condicional

Sobre este guia

Este passo a passo fornece instruções sobre como gerenciar riscos com um dos fatores (dados do usuário) disponíveis por meio do mecanismo de controle de acesso condicional no Serviços de Federação do Active Directory (AD FS) no Windows Server 2012 R2. Para saber mais sobre mecanismos de autorização e controle de acesso condicional no AD FS no Windows Server 2012 R2, confira Gerenciar risco com controle de acesso condicional.

Este passo a passo consiste nas seguintes seções:

• Etapa 1: Configuração do ambiente de laboratório

• Etapa 2: verificar o mecanismo de controle de acesso do AD FS padrão

• Etapa 3: configurar política de controle de acesso condicional com base nos dados do usuário

• Etapa 4: verificar o mecanismo de controle de acesso condicional

Etapa 1: Configuração do ambiente de laboratório

Para concluir este passo a passo, é necessário um ambiente que consiste nos seguintes componentes:

• Um domínio do Active Directory com um usuário de teste e contas de grupo, em execução no Windows Server 2008, Windows Server 2008 R2 ou Windows Server 2012 com seu esquema atualizado para o Windows Server 2012 R2 ou um domínio do Active Directory em execução no Windows Server 2012 R2

• Um servidor de federação em execução no Windows Server 2012 R2

• Um servidor Web que hospede o aplicativo de exemplo

• Um computador cliente do qual é possível acessar o aplicativo de exemplo

Aviso

É altamente recomendável (em ambientes de produção ou de teste) que você não use o mesmo computador para ser o servidor de federação e o servidor Web.

Nesse ambiente, o servidor de federação emite as declarações que são necessárias para que os usuários possam acessar o aplicativo de exemplo. O servidor Web hospeda um aplicativo de exemplo que confiará nos usuários que apresentarem as declarações que o servidor de federação emitir.

Para obter instruções sobre como configurar esse ambiente, confira Configurar o ambiente de laboratório para o AD FS no Windows Server 2012 R2.

Etapa 2: verificar o mecanismo de controle de acesso do AD FS padrão

Nesta etapa, você verificará o mecanismo de controle de acesso do AD FS padrão, no qual o usuário é redirecionado para a página de entrada do AD FS, fornece credenciais válidas e recebe o acesso ao aplicativo. Use a conta do AD de Robert Hatley e o aplicativo de exemplo claimapp configurado em na Configurar o ambiente de laboratório para o AD FS no Windows Server 2012 R2.

Para verificar o mecanismo de controle de acesso do AD FS padrão

1. No computador cliente, abra uma janela do navegador e navegue até o aplicativo de exemplo: https://webserv1.contoso.com/claimapp.

   Essa ação automaticamente redireciona a solicitação ao servidor de federação, e você será solicitado a entrar com um nome de usuário e uma senha.

2. Digite as credenciais da conta do Robert Hatley AD criadas em Configurar o ambiente de laboratório para o AD FS no Windows Server 2012 R2.

   Você receberá acesso ao aplicativo.

Etapa 3: configurar política de controle de acesso condicional com base nos dados do usuário

Nesta etapa, você configurará uma política de controle de acesso com base nos dados de associação de grupo do usuário. Em outras palavras, você configurará uma Regra de Autorização de Emissão no servidor de federação para um objeto de confiança da terceira parte confiável que representa o aplicativo de exemplo - claimapp. Pela lógica dessa regra, o usuário do AD Eduardo Gomes receberá emissões de declarações necessárias para acessar o aplicativo, uma vez que ele pertence a um grupo Finanças. Você adicionou a conta de Robert Hatley ao grupo Finanças em Configurar o ambiente de laboratório para o AD FS no Windows Server 2012 R2.

É possível concluir essa tarefa usando o Console de gerenciamento do AD FS ou o Windows PowerShell.

Para configurar a política de controle de acesso condicional com base nos dados do usuário por meio do Console de Gerenciamento do AD FS

1. No Console de Gerenciamento do AD FS, navegue até Relações de Confiança e depois Objetos de Confiança da Terceira Parte Confiável.

2. Selecione o objeto de confiança da terceira parte confiável que representa o aplicativo de exemplo (claimapp) e depois, no painel Ações ou clicando com o botão direito do mouse nesse objeto de confiança da terceira parte confiável, selecione Editar Regras de Declaração.

3. Na janela Editar Regras de Declaração para claimapp, selecione a guia Regra de Autorização de Emissão e clique em Adicionar Regra.

4. No Assistente de Adição de Regra de Declarações de Autorização de Emissão, na página Selecionar Modelo de Regra, selecione o modelo de regra de declaração Permitir ou Negar Usuários Com Base em uma Declaração de Entrada e clique em Avançar.

5. Na página Configurar Regra, execute todos os itens a seguir e clique em Concluir:

   1. Digite um nome para a regra de declaração, por exemplo, TestRule.

   2. Selecione SID de Grupo como Tipo de declaração de entrada.

   3. Clique em Procurar, digite Finanças para o nome do seu grupo de teste do AD e resolva-o para o campo Valor de declaração de entrada.

   4. Selecione a opção Negar o acesso a usuários com esta declaração de entrada.

6. Na janela Editar Regras de Declaração para claimapp, exclua a regra Permitir o Acesso a Todos os Usuários, que foi criada por padrão quando você criou esse objeto de confiança da terceira parte confiável.

Para configurar a política de controle de acesso condicional com base nos dados do usuário por meio do Windows PowerShell

1. No servidor de federação, abra a janela de comando do Windows PowerShell e execute o seguinte comando:

$rp = Get-AdfsRelyingPartyTrust -Name claimapp

2. Na mesma janela de comando do Windows PowerShell, execute o seguinte comando:

$GroupAuthzRule = '@RuleTemplate = "Authorization" @RuleName = "Foo" c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value =~ "^(?i)<group_SID>$"] =>issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = "DenyUsersWithClaim");'
Set-AdfsRelyingPartyTrust -TargetRelyingParty $rp -IssuanceAuthorizationRules $GroupAuthzRule

Observação

Não se esqueça de substituir <SID_do_grupo> pelo valor da SID do seu grupo Finanças do AD.

Etapa 4: verificar o mecanismo de controle de acesso condicional

Nesta etapa, você verificará a política de controle de acesso condicional configurada na etapa anterior. É possível usar o procedimento a seguir para verificar se o usuário do AD Eduardo Gomes pode acessar o aplicativo de exemplo, uma vez que ele pertence ao grupo Finanças, bem como se os usuários do AD que não pertencem ao grupo Finanças não podem acessar o aplicativo de exemplo.

1. No computador cliente, abra uma janela do navegador e navegue até o aplicativo de exemplo: https://webserv1.contoso.com/claimapp

   Essa ação automaticamente redireciona a solicitação ao servidor de federação, e você será solicitado a entrar com um nome de usuário e uma senha.

2. Digite as credenciais da conta do Robert Hatley AD criadas em Configurar o ambiente de laboratório para o AD FS no Windows Server 2012 R2.

   Você receberá acesso ao aplicativo.

3. Digite as credenciais de um outro usuário do AD que NÃO pertence ao grupo Finance. (Para saber mais sobre como criar contas de usuário no AD, confira https://technet.microsoft.com/library/cc7833232.aspx).

   Neste ponto, devido à política de controle de acesso configurada na etapa anterior, uma mensagem de "acesso negado" será exibida para o usuário do AD que NÃO pertence ao grupo Finanças. O texto da mensagem padrão é Você não tem autorização para acessar este site. Clique aqui para sair e entrar novamente ou contate o administrador para obter permissões. No entanto, esse texto é totalmente personalizável. Para obter mais informações sobre como personalizar a experiência de entrada, consulte Customizing the AD FS Sign-in Pages.

Consulte Também

Gerenciar riscos com Controle de Acesso CondicionalConfigurar o ambiente de laboratório do AD FS no Windows Server 2012 R2