Управление рисками с использованием условного управления доступом

Ключевые понятия. Условное управление доступом в AD FS

Общая функция AD FS — выдача маркера доступа, содержащего набор утверждений. Решение о том, какие утверждения AD FS принимают, а затем проблемы определяются правилами утверждений.

Управление доступом в AD FS реализуется с помощью правил утверждения авторизации выдачи, которые используются для выдачи утверждений или отказов, которые определяют, будет ли пользователю или группе пользователей разрешен доступ к ресурсам, защищенным AD FS. Правила авторизации можно настроить только в отношениях доверия с проверяющей стороной.

Параметр правила Логика правила
Разрешить всем пользователям Если входящее утверждение имеет тип любой тип утверждения и значение равно любое значение, выдается утверждение со значением Разрешить.
Разрешить доступ пользователям с данным входящим утверждением Если входящее утверждение имеет тип заданный тип утверждения и значение равно заданное значение утверждения, выдается утверждение со значением Разрешить.
Отказать в доступе пользователям с данным входящим утверждением Если входящее утверждение имеет тип заданный тип утверждения и значение равно заданное значение утверждения, выдается утверждение со значением Отказать.

Дополнительные сведения об этих параметрах и логике правил см. в статье об использовании правил утверждения авторизации.

в AD FS в Windows Server 2012 R2 управление доступом улучшено с использованием нескольких факторов, в том числе пользователей, устройств, местоположений и данных проверки подлинности. Это стало возможно благодаря множеству типов утверждений, доступных для правил утверждений авторизации. другими словами, в AD FS в Windows Server 2012 R2 можно обеспечить контроль условного доступа на основе удостоверения пользователя или членства в группе, сетевого расположения, устройства (если оно присоединено к рабочей области. дополнительные сведения см. в разделе присоединение к рабочему месту с любого устройства для единого входа и однофакторная проверкаподлинности в приложениях компании) и состояние проверки подлинности (многофакторная проверка подлинности

управление условным доступом в AD FS в Windows Server 2012 R2 обеспечивает следующие преимущества:

  • Гибкие и ясные политики авторизации для каждого приложения, благодаря которым можно разрешить или отказать в доступе на основе пользователя, устройства, сетевого расположения и состояния проверки подлинности.

  • Создание правил авторизации выдачи для приложений проверяющей стороны.

  • Широкий набор средств взаимодействия пользователей для общих сценариев условного управления доступом.

  • расширенный язык & утверждений Windows PowerShell поддержка расширенных сценариев управления условным доступом

  • Пользовательские (для приложения с проверяющей стороной) "отказано в доступе". Дополнительные сведения см. в статье о настройке страниц входа AD FS. С помощью этих сообщений можно объяснить, почему пользователю отказано в доступе, и по возможности ускорить процесс самостоятельного устранения ошибок, например напомнить пользователю о необходимости присоединиться к рабочему месту на устройстве. Дополнительные сведения см. в разделе Join to Workplace from Any Device for SSO and Seamless Second Factor Authentication Across Company Applications.

в следующей таблице перечислены все типы утверждений, доступные в AD FS в Windows Server 2012 R2, которые будут использоваться для реализации условного контроля доступа.

Тип утверждения Описание
Электронная почта Адрес электронной почты пользователя.
Заданное имя Заданное имя пользователя.
Name (Имя) Уникальное имя пользователя.
UPN Имя участника-пользователя (UPN) этого пользователя.
Общее имя Общее имя пользователя.
AD FS 1 x адрес электронной почты Адрес электронной почты пользователя при взаимодействии с AD FS 1.1 или AD FS 1.0.
Группа Группа, членом которой является пользователь.
AD FS 1 x имя участника-пользователя Имя участника-пользователя при взаимодействии с AD FS 1.1 или AD FS 1.0.
Роль Роль пользователя.
Surname Фамилия пользователя.
PPID Частный идентификатор пользователя.
Идентификатор имени Идентификатор имени SAML пользователя.
Метка времени проверки подлинности Используется для отображения даты и времени проверки подлинности пользователя.
Метод проверки подлинности Метод, используемый для проверки подлинности пользователя.
SID группы "только запрет" ИД безопасности (SID) группы "только запрет" пользователя.
Основной SID "только запрет" Основной ИД безопасности (SID) "только запрет" пользователя.
SID основной группы "только запрет" ИД безопасности (SID) основной группы "только запрет" пользователя.
SID группы ИД безопасности (SID) группы пользователя.
SID основной группы ИД безопасности (SID) основной группы пользователя.
Основной SID Основной ИД безопасности (SID) пользователя.
Имя учетной записи Windows Имя учетной записи домена пользователя в виде "домен\пользователь".
Зарегистрированный пользователь Пользователь зарегистрирован для использования данного устройства.
Идентификатор устройства Идентификатор устройства.
Регистрационный номер устройства Идентификатор для регистрации устройства.
Отображаемое регистрационное имя устройства Отображаемое имя при регистрации устройства.
Тип ОС устройства Тип операционной системы устройства.
Версия ОС устройства Версия операционной системы устройства.
Управляемое устройство Устройство управляется службой управления.
Перенаправленный IP-адрес клиента IP-адрес пользователя.
Клиентское приложение Тип клиентского приложения.
Агент пользователя клиента Тип устройства, используемого клиентом для доступа к приложению.
IP-адрес клиента IP-адрес клиента.
Путь к конечной точке Абсолютный путь к конечной точке, который можно использовать для определения активных и пассивных клиентов.
Proxy (Прокси) Имя DNS прокси-сервера федерации, передавшего запрос.
Идентификатор приложения Идентификатор проверяющей стороны.
Политики приложений Политики применения сертификата.
Идентификатор ключа центра сертификации Расширение сертификата, которым подписан выданный сертификат.
Основное ограничение Одно из основных ограничений сертификата.
Расширенное использование ключа Описывает один из вариантов расширенного использования ключа сертификата.
Издатель Имя центра сертификации, выдавшего сертификат X.509.
Имя издателя Различающееся имя издателя сертификата.
Использование ключа Один из вариантов использования сертификата.
Не позднее Дата окончания срока действия сертификата по местному времени.
До Дата вступления в силу сертификата по местному времени.
Политики сертификата Политики, согласно которым выдается сертификат.
Открытый ключ Открытый ключ сертификата.
Необработанные данные сертификата Необработанные данные сертификата.
Альтернативное имя субъекта Одно из альтернативных имен сертификата.
Серийный номер Серийный номер сертификата.
Алгоритм подписи Алгоритм, используемый для создания подписи сертификата.
Субъект Субъект сертификата.
Идентификатор ключа субъекта Идентификатор ключа субъекта сертификата.
Имя субъекта Различающееся имя субъекта сертификата.
Имя шаблона V2 Имя шаблона сертификата версии 2, используемое при выдаче или обновлении сертификата. Это значение характерно для продуктов Майкрософт.
Имя шаблона V1 Имя шаблона сертификата версии 1, используемое при выдаче или обновлении сертификата. Это значение характерно для продуктов Майкрософт.
Отпечаток Отпечаток сертификата.
Версия X 509 Версия сертификата в формате X.509.
В корпоративной сети Используется для указания того, что запрос отправлен из корпоративной сети.
Срок действия пароля Используется для указания времени истечения срока действия пароля.
Истечение срока действия пароля — дни Используется для указания количества дней, оставшихся до истечения срока действия пароля.
URL-адрес для обновления пароля Используется для отображения веб-адреса службы обновления паролей.
Ссылки на методы проверки подлинности Используются для указания всех методов проверки подлинности, используемых для проверки подлинности пользователя.

Управление рисками с использованием условного управления доступом

Благодаря разнообразию параметров существует множество способов управления рисками путем реализации условного управления доступом.

Распространенные сценарии

Например, представьте себе простой сценарий реализации управления условным доступом на основе данных членства пользователя в группе для конкретного приложения (отношение доверия с проверяющей стороной). Иными словами, можно настроить правило авторизации выдачи на сервере федерации, чтобы предоставить пользователям, которые принадлежат определенной группе в домене AD, доступ к конкретному приложению, которое защищено AD FS. Подробные пошаговые инструкции (для пользовательского интерфейса и Windows PowerShell) по реализации этого сценария описаны в Walkthrough Guide: Manage Risk with Conditional Access Control. чтобы выполнить действия, описанные в этом пошаговом руководстве, необходимо настроить лабораторную среду и выполнить действия, описанные в разделе настройка лабораторной среды для AD FS в Windows Server 2012 R2.

Сложные сценарии

ниже приведены другие примеры реализации условного контроля доступа в AD FS в Windows Server 2012 R2.

  • Разрешение доступа к приложению, защищенному AD FS, только если удостоверение этого пользователя было проверено с помощью MFA

    Можно использовать следующий код.

    @RuleTemplate = "Authorization"
    @RuleName = "PermitAccessWithMFA"
    c:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)https://schemas\.microsoft\.com/claims/multipleauthn$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");
    
    
  • Разрешение доступа к приложению, защищенному AD FS только в том случае, если запрос на доступ поступает с подключенного к рабочему месту устройства, зарегистрированного для пользователя.

    Можно использовать следующий код.

    @RuleTemplate = "Authorization"
    @RuleName = "PermitAccessFromRegisteredWorkplaceJoinedDevice"
    c:[Type == "https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value =~ "^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");
    
    
  • Разрешение доступа к приложению, защищенному AD FS только в том случае, если запрос на доступ поступает с подключенного к рабочему месту устройства, зарегистрированного для пользователя, удостоверение которого было проверено с помощью MFA.

    Можно использовать следующий код.

    @RuleTemplate = "Authorization"
    @RuleName = "RequireMFAOnRegisteredWorkplaceJoinedDevice"
    c1:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$"] &&
    c2:[Type == "https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value =~ "^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");
    
    
  • Разрешите доступ в экстрасети к приложению, защищенному AD FS только в том случае, если запрос на доступ поступает от пользователя, удостоверение которого проверено с помощью MFA.

    Можно использовать следующий код.

    @RuleTemplate = "Authorization"
    @RuleName = "RequireMFAForExtranetAccess"
    c1:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$"] &&
    c2:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value =~ "^(?i)false$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");
    
    

См. также:

пошаговое руководство. управление рисками с помощью управления условным доступомнастройка лабораторной среды для AD FS в Windows Server 2012 R2