Создание правила для разрешения или запрета пользователям на основе входящего утверждения

  • Статья

В Windows Server 2016 можно использовать политику контроль доступа для создания правила, разрешающего или запрещающего пользователей на основе входящего утверждения. В Windows Server 2012 R2 с помощью шаблона правила разрешения или запрета на основе шаблона правила входящего утверждения в службы федерации Active Directory (AD FS) (AD FS) можно создать правило авторизации, которое предоставит или запретит пользователю доступ к проверяющей стороне на основе типа и значения входящего утверждения.

Например, это можно использовать для создания правила, которое позволит только пользователям, имеющим утверждение группы со значением доменных Администратор для доступа к проверяющей стороне. Если вы хотите разрешить всем пользователям доступ к проверяющей стороне, используйте политику "Разрешить всем контроль доступа" или шаблон правила "Разрешить всем пользователям" в зависимости от версии Windows Server. Пользователи, которым разрешен доступ к проверяющей стороне из службы федерации, все еще могут получить отказ в обслуживании проверяющей стороной.

Чтобы создать правило утверждения с оснасткой управления AD FS, можно использовать следующую процедуру.

Для выполнения этой процедуры требуется членство в группе Администраторы или в эквивалентной группе на локальном компьютере. Дополнительные сведения об использовании соответствующих учетных записей и членстве в группах см. в статье Local and Domain Default Groups (Локальные и доменные группы по умолчанию).

Создание правила для разрешения пользователей на основе входящего утверждения в Windows Server 2016

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В дереве консоли в разделе AD FS щелкните контроль доступа политики. Screenshot that highlights Access Control Policies in the console tree.

  3. Щелкните правой кнопкой мыши и выберите "Добавить политику контроль доступа". Screenshot that highlights the Add Access Control Policy menu option.

  4. В поле "Имя" введите имя политики, описание и нажмите кнопку "Добавить". Screenshot that shows where to add an Access Control Policy when you create a rule to permit users based on an incoming claim on Windows Server 2016.

  5. В редакторе правил в разделе "Пользователи" поместите проверка с определенными утверждениями в запросе и щелкните подчеркнутую конкретную в нижней части экрана. Screenshot that highlights where to select the underlined specific.

  6. На экране "Выбор утверждений" нажмите переключатель "Утверждения", выберите тип утверждения, оператор и значение утверждения и нажмите кнопку "ОК". Screenshot that shows where to select the Claims option.

  7. В редакторе правил нажмите кнопку "ОК". На экране "Добавить контроль доступа политика" нажмите кнопку "ОК".

  8. В дереве консоли управления AD FS в разделе AD FS щелкните "Доверие проверяющей стороны". Screenshot that shows where to select Relying Party Trusts.

  9. Щелкните правой кнопкой мыши доверие проверяющей стороны, к которому требуется разрешить доступ, и выберите пункт "Изменить контроль доступа политика". Screenshot that shows where to select the Edit Access Control Policy menu option.

  10. В политике управления доступом выберите политику, а затем нажмите кнопку "Применить" и "ОК". Screenshot that shows where to select Apply and OK.

Создание правила запрета пользователям на основе входящего утверждения в Windows Server 2016

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В дереве консоли в разделе AD FS щелкните контроль доступа политики. Screenshot that shows where to select Access Control Policies.

  3. Щелкните правой кнопкой мыши и выберите "Добавить политику контроль доступа". Screenshot that shows where to add an Access Control Policy.

  4. В поле "Имя" введите имя политики, описание и нажмите кнопку "Добавить". Screenshot that shows where to enter a name for your policy.

  5. В редакторе правил убедитесь, что все выбраны и в разделе "Кроме того, проверка в запросе с определенными утверждениями" и щелкните подчеркнутую конкретную в нижней части экрана. Screenshot that shows where to make sure that the everyone option is selected.

  6. На экране "Выбор утверждений" нажмите переключатель "Утверждения", выберите тип утверждения, оператор и значение утверждения и нажмите кнопку "ОК". Screenshot that shows the Select Claims screen.

  7. В редакторе правил нажмите кнопку "ОК". На экране "Добавить контроль доступа политика" нажмите кнопку "ОК".

  8. В дереве консоли управления AD FS в разделе AD FS щелкните "Доверие проверяющей стороны". create rule

  9. Щелкните правой кнопкой мыши доверие проверяющей стороны, к которому требуется разрешить доступ, и выберите пункт "Изменить контроль доступа политика". Screenshot that shows where to right-click Relying Party Trust to access the Edit Access Control Policy menu option.

  10. В политике управления доступом выберите политику, а затем нажмите кнопку "Применить" и "ОК". Screenshot that shows how go apply the changes to the Access Control Policy.

Создание правила для разрешения или запрета пользователей на основе входящего утверждения в Windows Server 2012 R2

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В дереве консоли в разделе AD FS\Отношения доверия\Отношения доверия проверяющей стороны щелкните определенное доверие в списке, в котором вы хотите создать это правило.

  3. Щелкните правой кнопкой мыши выбранное доверие и выберите команду "Изменить правила утверждения". Screenshot that shows the Edit Claim Rules menu option.

  4. В диалоговом окне "Изменение правил утверждений" откройте вкладку "Правила авторизации выдачи" или вкладку "Правила авторизации делегирования" (в зависимости от типа необходимого правила авторизации), а затем нажмите кнопку "Добавить правило", чтобы запустить мастер добавления правила утверждения авторизации. Screenshot that shows how to start the Add Authorization Claim Rule Wizard.

  5. На странице "Выбор шаблона правила" в разделе "Правило утверждения" выберите "Разрешить или запретить пользователей на основе входящего утверждения" из списка, а затем нажмите кнопку "Далее". Screenshot that shows where to select the Permit or Deny Users Based on an Incoming Claim template.

  6. На странице "Настройка правила" в разделе "Имя правила утверждения" введите отображаемое имя этого правила, в типе входящего утверждения выберите тип утверждения в списке, в разделе "Входящий тип утверждения" или нажмите кнопку "Обзор" (если оно доступно) и выберите значение, а затем выберите один из следующих вариантов в зависимости от потребностей вашей организации:

    • Разрешение доступа к пользователям с помощью этого входящего утверждения

    • Запрет доступа пользователям с этим входящим утверждениемScreenshot that shows where to select the incoming claim type.

  7. Нажмите кнопку Готово.

  8. В диалоговом окне "Изменение правил утверждений" нажмите кнопку "ОК", чтобы сохранить правило.

Дополнительная справка

Настройка правил для утверждения

Контрольный список. Создание правил утверждений для доверия проверяющей стороны

Когда следует использовать правило утверждения авторизации

Роль утверждений

Роль правил утверждений