Verwalten von Risiken mit der bedingten Zugriffssteuerung
Wichtige Konzepte – Bedingte Zugriffssteuerung in AD FS
Die allgemeine Funktion von AD FS besteht in der Ausstellung eines Zugriffstokens, das eine Gruppe von Ansprüchen enthält. Die Entscheidung, welche Ansprüche von AD FS akzeptiert und anschließend ausgegeben werden, unterliegt Anspruchsregeln.
Die Zugriffssteuerung in AD FS wird mit Anspruchsregeln für die Ausstellungsautorisierung implementiert, mit denen Zulassungs- oder Verweigerungsansprüche ausgegeben werden. Diese Ansprüche bestimmen, ob ein Benutzer oder eine Benutzergruppe auf mit AD FS gesicherte Ressourcen zugreifen können. Autorisierungsregeln können nur für Vertrauensstellungen der vertrauenden Seite festgelegt werden.
| Regeloption | Regellogik |
|---|---|
| Alle Benutzer zulassen | Wenn der Typ des eingehenden Anspruchs einem beliebigen Anspruchstyp und der Wert einem beliebigen Wert entspricht, wird der Ausstellungsanspruch mit Wert auf Zulassen festgelegt. |
| Benutzern mit diesem eingehenden Anspruch Zugriff gewähren | Wenn der Typ des eingehenden Anspruchs einem angegebenen Anspruchstyp und der Wert einem angegebenen Anspruchswert entspricht, wird der Ausstellungsanspruch mit Wert auf Zulassen festgelegt. |
| Benutzern mit diesem eingehenden Anspruch Zugriff verweigern | Wenn der Typ des eingehenden Anspruchs einem angegebenen Anspruchstyp und der Wert einem angegebenen Anspruchswert entspricht, wird der Ausstellungsanspruch mit Wert auf Verweigern festgelegt. |
Weitere Informationen zu diesen Regeloptionen und der entsprechenden Logik finden Sie unter Verwendung einer Autorisierungsanspruchsregel.
In AD FS unter Windows Server 2012 R2 wurde die Zugriffssteuerung durch mehrere Faktoren, einschließlich Benutzer, Gerät, Standort und Authentifizierungsdaten, verbessert. Dies wird durch eine größere Vielfalt an für die Autorisierungsanspruchsregeln verfügbaren Anspruchstypen ermöglicht. Mit anderen Worten: In AD FS unter Windows Server 2012 R2 können Sie bedingte Zugriffssteuerung auf der Grundlage von Benutzeridentität oder Gruppenmitgliedschaft, Netzwerkadresse, Gerät und Authentifizierungsstatus erzwingen. Bei Verwendung der Geräteoption muss das Gerät mit dem Arbeitsplatz verbunden sein. (Weitere Informationen finden Sie unter Verbinden mit einem Arbeitsplatz von einem beliebigen Gerät für SSO und nahtlose zweistufige Authentifizierung bei allen Unternehmensanwendungen.) Die Verwendung der Authentifizierungsstatusoption setzt voraus, dass die Multi-Faktor-Authentifizierung (Multi-Factor Authentication, MFA) ausgeführt wurde.
Die bedingte Zugriffssteuerung in AD FS unter Windows Server 2012 R2 bietet die folgenden Vorteile:
Flexible und deutliche Autorisierungsrichtlinien pro Anwendung, wodurch der Zugriff basierend auf Benutzer, Gerät, Netzwerkadresse und Authentifizierungsstatus zugelassen oder verweigert werden kann
Erstellen von Ausstellungsautorisierungsregeln für Anwendungen der vertrauenden Seite
Komfortable Benutzeroberfläche für die allgemeinen Szenarien der bedingten Zugriffssteuerung
Umfassende Unterstützung von Anspruchssprachen und Windows PowerShell für erweiterte Szenarien der bedingten Zugriffssteuerung
Benutzerdefinierte Meldungen (pro Anwendung der vertrauenden Seite) des Typs „Zugriff verweigert“. Weitere Informationen finden Sie unter Anpassen der AD FS-Anmeldeseiten. Da diese Meldungen angepasst werden können, können Sie erläutern, warum einem Benutzer der Zugriff verweigert wird und außerdem die eigenständige Wartung dort vereinfachen, wo es möglich ist. Fordern Sie beispielsweise Benutzer dazu auf, eine Verbindung zwischen ihren Geräten und dem Arbeitsplatz herzustellen. Weitere Informationen finden Sie unter Join to Workplace from Any Device for SSO and Seamless Second Factor Authentication Across Company Applications.
Die folgende Tabelle enthält Anspruchstypen, die in AD FS unter Windows Server 2012 R2 verfügbar sind und für die Implementierung der bedingten Zugriffssteuerung verwendet werden sollen.
| Anspruchstyp | BESCHREIBUNG |
|---|---|
| E-Mail-Adresse | Die E-Mail-Adresse des Benutzers. |
| Vorname | Angegebener Name des Benutzers |
| Name | Eindeutiger Name des Benutzers |
| UPN | Der Benutzerprinzipalname (User Principal Name, UPN) des Benutzers. |
| Allgemeiner Name | Allgemeiner Name des Benutzers |
| AD FS 1.x-E-Mail-Adresse | Die E-Mail-Adresse des Benutzers bei der Interaktion mit AD FS 1.1 oder AD FS 1.0 |
| Group | Eine Gruppe, in der der Benutzer Mitglied ist |
| AD FS 1.x UPN | UPN des Benutzers bei der Interaktion mit AD FS 1.1 oder AD FS 1.0 |
| Rolle | Eine Rolle, über die der Benutzer verfügt. |
| Surname | Nachname des Benutzers |
| PPID | Private ID des Benutzers |
| Namens-ID | SAML-Namensbezeichner des Benutzers |
| Zeitstempel der Authentifizierung | Wird zum Anzeigen der Uhrzeit und des Datums der Benutzerauthentifizierung verwendet |
| Authentifizierungsmethode | Zur Authentifizierung des Benutzers verwendete Methode |
| Nur Gruppen-SID verweigern | Die Gruppen-SID %%amp;quot;Nur verweigern%%amp;quot; des Benutzers |
| Nur primäre SID verweigern | Die primäre SID %%amp;quot;Nur verweigern%%amp;quot; des Benutzers |
| Nur primäre Gruppen-SID verweigern | Die primäre Gruppen-SID %%amp;quot;Nur verweigern%%amp;quot; des Benutzers |
| Gruppen-SID | Die Gruppen-SID des Benutzers |
| Primäre Gruppen-SID | Primäre Gruppen-SID des Benutzers |
| Primäre SID | Primäre SID des Benutzers |
| Windows-Kontoname | Domänenkontenname des Benutzers in der Form %%amp;quot;Domäne\Benutzer%%amp;quot;. |
| Ist registrierter Benutzer | Benutzer ist für die Verwendung dieses Geräts registriert |
| Gerätebezeichner | Bezeichner des Geräts |
| Geräteregistrierungsbezeichner | Bezeichner für die Geräteregistrierung |
| Geräteregistrierungs-Anzeigename | Anzeigename der Geräteregistrierung |
| Geräte-BS-Typ | BS-Typ des Geräts |
| Device OS Version | Die Betriebssystemversion des Geräts. |
| Ist verwaltetes Gerät | Gerät wird von einem Verwaltungsdienst verwaltet |
| Weitergeleitete Client-IP | IP-Adresse des Benutzers |
| Clientanwendung | Typ der Clientanwendung |
| Client-Benutzer-Agent | Gerätetyp, mit dem vom Client auf die Anwendung zugegriffen wird |
| Client-IP | IP-Adresse des Clients. |
| Endpunktpfad | Absoluter Endpunktpfad, der zum Bestimmen von aktiven bzw. passiven Clients verwendet werden kann |
| Proxy | DNS-Name des Verbundserverproxys, von dem die Anforderung übergeben wurde |
| Anwendungsbezeichner | Bezeichner für die vertrauende Seite |
| Anwendungsrichtlinien | Anwendungsrichtlinien des Zertifikats |
| Zertifizierungsstellenschlüssel-ID | Erweiterung der Zertifizierungsstellenschlüssel-ID des Zertifikats, von dem ein ausgestelltes Zertifikat signiert wurde |
| Basiseinschränkung | Eine der Basiseinschränkungen des Zertifikats |
| Erweiterte Schlüsselverwendung | Beschreibt eine der erweiterten Schlüsselverwendungen des Zertifikats |
| Issuer (Aussteller) | Der Name der Zertifizierungsstelle, die das X.509-Zertifikat ausgestellt hat. |
| Ausstellername | Definierter Name des Zertifikatausstellers |
| Schlüsselverwendung | Eine der Schlüsselverwendungen des Zertifikats |
| Nicht nach | Datum (lokale Zeit), nach dem ein Zertifikat nicht mehr gültig ist |
| Nicht vor | Datum (lokale Zeit), ab dem ein Zertifikat gültig ist |
| Zertifikatrichtlinien | Die bei der Zertifikatausstellung gültigen Richtlinien |
| Öffentlicher Schlüssel | Öffentlicher Schlüssel des Zertifikats |
| Zertifikatrohdaten | Rohdaten des Zertifikats |
| Alternativer Antragstellername | Einer der alternativen Namen des Zertifikats |
| Seriennummer | Seriennummer des Zertifikats |
| Signaturalgorithmus | Zum Erstellen der Signatur eines Zertifikats verwendeter Algorithmus |
| Subject | Antragsteller des Zertifikats |
| Schlüsselkennung des Antragstellers | Schlüsselkennung des Antragstellers des Zertifikats |
| Antragstellername | Definierter Antragstellername aus einem Zertifikat |
| V2-Vorlagenname | Name der Zertifikatvorlage Version 2, die beim Ausstellen oder Erneuern eines Zertifikats verwendet wird. Dies ist ein Microsoft-spezifischer Wert. |
| V1-Vorlagenname | Name der Zertifikatvorlage Version 1, die beim Ausstellen oder Erneuern eines Zertifikats verwendet wird. Dies ist ein Microsoft-spezifischer Wert. |
| Fingerabdruck | Fingerabdruck des Zertifikats |
| X.509-Version | X.509-Formatversion des Zertifikats |
| Innerhalb des Unternehmensnetzwerks | Wird verwendet, um anzuzeigen, ob eine Anforderung aus dem Unternehmensnetzwerk stammt |
| Kennwortablaufzeit | Zeigt den Zeitpunkt an, zu dem das Kennwort abläuft |
| Tage bis zum Kennwortablauf | Zeigt die Anzahl der Tage bis zum Ablauf des Kennworts an |
| Kennwortaktualisierungs-URL | Zeigt die Webadresse des Kennwortaktualisierungsdiensts an |
| Authentifizierungsmethodenreferenzen | Gibt alle Authentifizierungsmethoden an, die zum Authentifizieren des Benutzers verwendet werden |
Verwalten von Risiken mit der bedingten Zugriffssteuerung
Mithilfe der verfügbaren Einstellungen können Risiken durch Implementierung der bedingten Zugriffssteuerung verwaltet werden.
Häufige Szenarios
Ein einfaches Szenario ist beispielsweise die Implementierung der bedingten Zugriffssteuerung auf Grundlage der Gruppenmitgliedschaftsdaten eines Benutzers für eine bestimmte Anwendung (Vertrauensstellung der vertrauenden Seite). Anders ausgedrückt: Sie können eine Ausstellungsautorisierungsregel auf Ihrem Verbundserver einrichten, um Benutzern aus einer bestimmten Gruppe in Ihrer AD-Domäne Zugriff auf eine bestimmte Anwendung zu gewähren, die durch AD FS geschützt ist. Die ausführlichen Schritte (auf der Benutzeroberfläche und mit Windows PowerShell) zum Implementieren dieses Szenarios werden unter Walkthrough Guide: Manage Risk with Conditional Access Controlbehandelt. Damit die Schritte in dieser exemplarischen Vorgehensweise ausgeführt werden können, müssen Sie eine Testumgebung einrichten und den Anweisungen unter Einrichten der Labumgebung für AD FS unter Windows Server 2012 R2.
Erweiterte Szenarien
Weitere Beispiele für das Implementieren der bedingten Zugriffssteuerung in AD FS unter Windows Server 2012 R2:
Lassen Sie den Zugriff auf eine durch AD FS geschützte Anwendung nur zu, wenn die Identität des Benutzers mit MFA bestätigt wurde.
Sie können den folgenden Code verwenden:
@RuleTemplate = "Authorization" @RuleName = "PermitAccessWithMFA" c:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)https://schemas\.microsoft\.com/claims/multipleauthn$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");Lassen Sie den Zugriff auf eine durch AD FS gesicherte Anwendung nur zu, wenn die Zugriffsanforderung von einem mit dem Arbeitsplatz verbundenen Gerät stammt, das für den Benutzer registriert ist.
Sie können den folgenden Code verwenden:
@RuleTemplate = "Authorization" @RuleName = "PermitAccessFromRegisteredWorkplaceJoinedDevice" c:[Type == "https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value =~ "^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");Lassen Sie den Zugriff auf eine durch AD FS gesicherte Anwendung nur zu, wenn die Zugriffsanforderung von einem mit dem Arbeitsplatz verbundenen Gerät stammt, das für einen Benutzer registriert ist, dessen Identität mit der MFA bestätigt wurde.
Sie können den folgenden Code verwenden:
@RuleTemplate = "Authorization" @RuleName = "RequireMFAOnRegisteredWorkplaceJoinedDevice" c1:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$"] && c2:[Type == "https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value =~ "^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");Lassen Sie den Extranetzugriff auf eine durch AD FS gesicherte Anwendung nur zu, wenn die Zugriffsanforderung von einem Benutzer stammt, dessen Identität mit der MFA bestätigt wurde.
Sie können den folgenden Code verwenden:
@RuleTemplate = "Authorization" @RuleName = "RequireMFAForExtranetAccess" c1:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$"] && c2:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value =~ "^(?i)false$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");
Weitere Informationen
Exemplarische Vorgehensweise: Bewältigen von Risiken mithilfe der bedingten ZugriffssteuerungEinrichten der Labumgebung für AD FS unter Windows Server 2012 R2