Table of contents
TOC
Comprimi il sommario
Espandi il sommario
Bill Mathers|Ultimo aggiornamento: 10/03/2017
|
1 Collaboratore

Si applica a: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Quando utilizzare una regola di autorizzazione richiesta

È possibile utilizzare questa regola in Active Directory Federation Services (ADFS) quando è necessario richiedere un ingresso di tipo attestazione e quindi applicare un'azione che determina se un utente verrà consentito o negato l'accesso in base al valore specificato nella regola. Quando si utilizza questa regola, si attraversano o la trasformazione di attestazioni che soddisfano la seguente logica della regola, in base a una delle opzioni che configurare la regola:

Opzione regolaLogica di regola
Consentire a tutti gli utentiSe il tipo di attestazione in ingresso è uguale a qualsiasi tipo di attestazione e il valore è uguale a qualsiasi valore, quindi problema attestazione con valore uguale a consentire
Consentire l'accesso agli utenti con questa attestazione in ingressoSe il tipo di attestazione in ingresso è uguale a specificato tipo di attestazione e il valore è uguale a specificato il valore dell'attestazione, quindi problema attestazione con valore uguale consentire
Negare l'accesso agli utenti con questa attestazione in ingressoSe il tipo di attestazione in ingresso è uguale a specificato tipo di attestazione e il valore è uguale a specificato il valore dell'attestazione, quindi problema attestazione con valore uguale a Nega

Le sezioni seguenti forniscono un'introduzione di base per richiedere le regole e fornire ulteriori dettagli sull'utilizzo di questa regola.

Informazioni sulle regole attestazione

Una regola attestazione rappresenta un'istanza della logica di business che recupera un'attestazione in ingresso, applicarvi una condizione di (se x quindi y) e produrre un'attestazione in uscita in base ai parametri di condizione. Nell'elenco seguente contorni importanti suggerimenti che è necessario conoscere le regole di attestazioni prima di continuare a leggere questo argomento:

  • Nello snap AD FS Management-, richiedere le regole possono essere create solo utilizzando i modelli di regola attestazione

  • Elaborazione regole attestazione basata su attestazioni direttamente da un provider di attestazioni (come Active Directory o un altro servizio federativo) o dall'output dell'ammissione trasformare le regole in un trust di provider di attestazioni.

  • Attestazione basata su regole vengono elaborate dal motore di rilascio attestazioni in ordine cronologico all'interno di un set di regole specificato. Impostando la precedenza sulle regole, ulteriormente per ridefinire o filtrare i crediti generati da regole precedenti all'interno di un set di regole specificato.

  • Modelli di regola attestazione sempre richiederà di specificare un tipo di attestazione in ingresso. Tuttavia, è possibile elaborare più valori di domanda con lo stesso tipo di attestazione utilizzando una singola regola.

Per ulteriori informazioni sulla richiesta e attestazione basata su set di regole, vedere il ruolo di richiedere le regole di. Per ulteriori informazioni sulle modalità di elaborazione delle regole, vedere il ruolo del motore di attestazioni. Per ulteriori informazioni, la modalità di elaborazione richiesta set di regole, vedere il ruolo della Pipeline di richieste.

Consentire a tutti gli utenti

Quando si utilizza il modello di regola consentire tutti gli utenti, tutti gli utenti avranno accesso al componente di applicazione. Tuttavia, è possibile utilizzare le regole di autorizzazione aggiuntivi per limitare ulteriormente l'accesso. Se una regola consente all'utente di accedere la relying party e un'altra regola impedisce all'utente di accedere al componente di applicazione, il risultato Nega sostituisce il risultato di autorizzazione e l'utente viene negato l'accesso.

Gli utenti autorizzati accesso al componente di applicazione del servizio federativo ancora vedersi dalla controparte.

Consentire l'accesso agli utenti con questa attestazione in ingresso

Quando si utilizza l'autorizzazione o negare agli utenti basato su un modello di regola attestazione in ingresso per creare una regola e impostare la condizione in modo da consentire, per consentire l'accesso dell'utente specifico al componente di applicazione in base al tipo e il valore di un'attestazione in ingresso. Ad esempio, è possibile utilizzare questo modello di regola per creare una regola che consente solo agli utenti che dispongono di un gruppo di attestazioni con un valore del gruppo Domain Admins. Se una regola consente all'utente di accedere la relying party e un'altra regola impedisce all'utente di accedere al componente di applicazione, il risultato Nega sostituisce il risultato di autorizzazione e l'utente viene negato l'accesso.

Gli utenti autorizzati di accedere la relying party dal servizio federativo ancora vedersi dalla controparte. Se si desidera consentire a tutti gli utenti di accedere la relying party, utilizzare il modello di regola consentire tutti gli utenti.

Negare l'accesso agli utenti con questa attestazione in ingresso

Quando si utilizza l'autorizzazione o negare agli utenti basato su un modello di regola attestazione in ingresso per creare una regola e impostare la condizione da negare, è possibile negare accesso l'al componente di applicazione in base al tipo e il valore di un'attestazione in ingresso. Ad esempio, è possibile utilizzare questo modello di regola per creare una regola che neghi l'attestazione di tutti gli utenti che dispongono di un gruppo con un valore di Domain Users.

Se si desidera utilizzare la condizione di negazione, ma anche consentire l'accesso a relying party per utenti specifici, è necessario aggiungere in un secondo momento, in modo esplicito le regole di autorizzazione con la condizione di autorizzazione per attivare tali agli utenti di accedere al componente di applicazione.

Se un utente viene negato l'accesso quando il motore di rilascio attestazioni elabora il set di regole, un'ulteriore elaborazione delle regole viene arrestato e ADFS restituisce un errore "Accesso negato" a richiesta dell'utente.

Autorizzazione degli utenti

In ADFS, le regole di autorizzazione vengono utilizzate per rilasciare un permesso o negare che determina se un utente o un gruppo di utenti (in base al tipo di attestazione utilizzato) potranno accedere a Web-in base alle risorse determinata relying party o non. Le regole di autorizzazione possono essere impostate solo su relying party trust di terze parti.

Set di regole di autorizzazione

Set di regole di autorizzazione diverso esiste in base al tipo di permesso o negare le operazioni che necessarie per configurare. Questi set di regole includono:

  • Le regole di autorizzazione rilascio: queste regole determinano se un utente può ricevere domande di relying party e, pertanto, accedere al componente di applicazione.

  • Le regole di autorizzazione delega: queste regole determinano se un utente può fungere da un altro utente per la relying party. Quando un utente funge da un altro utente, attestazioni relative all'utente richiedente vengono comunque inserite nel token.

  • Le regole di autorizzazione rappresentazione: queste regole determinano se un utente completamente può rappresentare un altro utente per la relying party. La rappresentazione di un altro utente è una funzionalità molto potente, perché la relying party non sapranno che l'utente viene rappresentato.

Per ulteriori informazioni su come il processo di regola di autorizzazione si inserisce nella pipeline di rilascio attestazioni, vedere il ruolo del motore di rilascio attestazioni.

Tipi di attestazione supportati

AD FSdefines due tipi che vengono utilizzati per determinare se un utente è consentito o negato l'attestazione. Questi tipo Uniform Resource Identifier di attestazione (URI) sono i seguenti:

  1. Consentire il: http:\/\/schemas.microsoft.com\/autorizzazione\/crediti\/consentire

  2. Negare: http:\/\/schemas.microsoft.com\/autorizzazione\/crediti\/negare

Creazione di questa regola

È possibile creare le regole di autorizzazione utilizzando linguaggio regola attestazione o la consentire tutti gli utenti modello di regola o il consentire o negare agli utenti basato su un'attestazione in ingresso il modello di regola nello snap AD FS gestione-in. Il modello di regola consentire tutti gli utenti sono disponibili opzioni di configurazione. Tuttavia, l'autorizzazione o negare agli utenti basato su un modello di regola attestazione in ingresso fornisce le seguenti opzioni di configurazione:

  • Specificare un nome di regola attestazione

  • Specificare un tipo di attestazione in ingresso

  • Digitare un valore di attestazione in ingresso

  • Consentire l'accesso agli utenti con questa attestazione in ingresso

  • Negare l'accesso agli utenti con questa attestazione in ingresso

Per ulteriori istruzioni su come creare il modello, vedere creare una regola per consentire a tutti gli utenti o creare una regola per consentire o negare agli utenti basato su un'attestazione in ingresso della Guida alla distribuzione di ADFS Active Directory.

Utilizzando il linguaggio di regola attestazione

Se la richiesta deve essere inviata solo quando il valore dell'attestazione corrisponde a un modello personalizzato, è necessario utilizzare una regola personalizzata. Per ulteriori informazioni, vedere quando utilizzare una regola di attestazione personalizzata.

Esempio di come creare una regola di autorizzazione in base alle attestazioni di più

Quando si utilizza la sintassi del linguaggio di regola attestazione per autorizzare i crediti, anche un'attestazione può essere rilasciata in base alla presenza di più richieste in crediti originale dell'utente. La seguente regola invia una richiesta di autorizzazione solo se l'utente è un membro del gruppo Editor ed è autenticato utilizzando l'autenticazione di Windows:

[type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod",   
value == "urn:federation:authentication:windows" ]  
&& [type == "http://schemas.xmlsoap.org/claims/Group ", value == “editors”]   
=> issue(type = "http://schemas.xmlsoap.org/claims/authZ", value = "Granted");  

Esempio di autorizzazione di creare regole che verrà delegato che è possibile creare o rimuovere relazioni di trust federative server proxy

Prima di un servizio federativo è possibile utilizzare un proxy server federativo per reindirizzare le richieste dei client, è necessario prima stabilire una relazione di trust tra il servizio federativo e il computer proxy server federativo. Per impostazione predefinita, viene stabilita una relazione di trust proxy quando uno dei seguenti credenziali viene fornito correttamente nella configurazione guidata di Active Directory FS Federation Server Proxy:

  • L'account di servizio utilizzato dal servizio federativo, il proxy protetto da

  • Un account di dominio di Active Directory che è un membro del gruppo Administrators locale su tutti i server federativo in una server farm federativa

Quando si desidera specificare quale utente o gli utenti possono creare una relazione di trust proxy per un determinato servizio federativo, è possibile utilizzare uno dei seguenti metodi di delega. L'elenco dei metodi è in ordine di priorità, in base alle raccomandazioni del team del prodotto ADFS dei metodi più sicuri e meno problematici di delega. È necessario utilizzare solo uno di questi metodi, a seconda delle esigenze dell'organizzazione:

  1. Creare un gruppo di protezione di dominio in Active Directory (, ad esempio, FSProxyTrustCreators), aggiungere questo gruppo al gruppo Administrators locale su ogni server federativo della farm e quindi aggiungere solo gli account utente a cui si desidera delegare questo diritto al nuovo gruppo. Questo è il metodo preferito.

  2. Aggiungere l'account di dominio al gruppo Administrators su ciascun server federativo della farm.

  3. Se per qualche motivo non è possibile utilizzare uno di questi metodi, è anche possibile creare una regola di autorizzazione per questo scopo. Sebbene non sia consigliabile, a causa di possibili problemi che possono verificarsi se questa regola non è scritto correttamente, è possibile utilizzare una regola di autorizzazione personalizzati per delegare quali Active Directory gli account utente di dominio è possono inoltre creare o rimuovere anche le relazioni di trust tra tutti i server federativi che sono associati a un determinato servizio federativo.

    Se si sceglie il metodo 3, è possibile utilizzare la seguente sintassi della regola di rilasciare un'attestazione di autorizzazione che consente all'utente specificato (in questo caso, contoso\frankm) per creare relazioni di trust per la federazione a uno o più proxy server per il servizio federativo. È necessario applicare questa regola utilizzando il comando Windows PowerShell Set-ADFSProperties AddProxyAuthorizationRules.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", issuer=~"^AD AUTHORITY$" value == "contoso\frankm" ] => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true")  
    
    exists([Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == "S-1-5-32-544", Issuer =~ "^AD AUTHORITY$"])   
    => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");  
    
    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid", Issuer =~ "^AD AUTHORITY$" ] => issue(store="_ProxyCredentialStore",types=("http://schemas.microsoft.com/authorization/claims/permit"),query="isProxyTrustManagerSid({0})", param= c.Value );  
    
    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/proxytrustid", Issuer =~ "^SELF AUTHORITY$" ] => issue(store="_ProxyCredentialStore",types=("http://schemas.microsoft.com/authorization/claims/permit"),query="isProxyTrustProvisioned({0})", param=c.Value );  
    

    Successivamente, se si desidera rimuovere l'utente in modo che l'utente non è più possibile creare trust proxy, è possibile ripristinare la regola di autorizzazione trust proxy predefinito per rimuovere il diritto all'utente di creare relazioni di trust proxy per il servizio federativo. È inoltre necessario applicare questa regola utilizzando il comando Windows PowerShell Set-ADFSProperties AddProxyAuthorizationRules.

    exists([Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == "S-1-5-32-544", Issuer =~ "^AD AUTHORITY$"])   
    => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");  
    
    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid", Issuer =~ "^AD AUTHORITY$" ] => issue(store="_ProxyCredentialStore",types=("http://schemas.microsoft.com/authorization/claims/permit"),query="isProxyTrustManagerSid({0})", param= c.Value );  
    
    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/proxytrustid", Issuer =~ "^SELF AUTHORITY$" ] => issue(store="_ProxyCredentialStore",types=("http://schemas.microsoft.com/authorization/claims/permit"),query="isProxyTrustProvisioned({0})", param=c.Value );  
    

Per ulteriori informazioni su come utilizzare il linguaggio di regola attestazione, vedere il ruolo del linguaggio di regola attestazione.

© 2017 Microsoft