Partager via

Créer une règle pour autoriser ou refuser des utilisateurs en fonction d’une demande entrante

Dans Windows Server 2016, vous pouvez utiliser une stratégie de contrôle d’accès pour créer une règle qui autorise ou refuse les utilisateurs en fonction d’une revendication entrante. Dans Windows Server 2012 R2, à l’aide du modèle de règle Autoriser ou refuser des utilisateurs en fonction d’une revendication entrante dans les services AD FS (Active Directory Federation Services), vous pouvez créer une règle d’autorisation qui accorde ou refuse l’accès de l’utilisateur à la partie de confiance, selon le type et la valeur d’une revendication entrante.

Par exemple, vous pouvez vous en servir pour créer une règle qui autorise uniquement les utilisateurs dotés d’une revendication de groupe, avec la valeur d’administrateurs du domaine, à accéder à la partie de confiance. Si vous souhaitez autoriser tous les utilisateurs à accéder à la partie de confiance, utilisez la stratégie de contrôle d’accès Autoriser tout le monde ou le modèle de règle Autoriser tous les utilisateurs selon votre version de Windows Server. Les utilisateurs dont l’accès à la partie de confiance est autorisé par le service de fédération peuvent se voir refuser le service par la partie de confiance.

Vous pouvez utiliser la procédure suivante pour créer une règle de revendication avec le composant logiciel enfichable Gestion AD FS.

Pour effectuer cette procédure, vous devez au minimum être membre du groupe Administrateurs ou d'un groupe équivalent sur l'ordinateur local. Examinez les informations relatives à l’utilisation des comptes et des appartenances de groupe appropriés dans la page consacrée aux Groupes de domaine et locaux par défaut.

Pour créer une règle qui autorise les utilisateurs en fonction d’une revendication entrante sur Windows Server 2016

  1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sélectionnez Gestion AD FS.

  2. Dans l’arborescence de la console, sous AD FS, cliquez sur Stratégies de contrôle d’accès. Screenshot that highlights Access Control Policies in the console tree.

  3. Cliquez avec le bouton droit et sélectionnez Ajouter une stratégie de contrôle d’accès. Screenshot that highlights the Add Access Control Policy menu option.

  4. Dans la zone Nom, entrez le nom de votre stratégie, puis indiquez une description et cliquez sur Ajouter. Screenshot that shows where to add an Access Control Policy when you create a rule to permit users based on an incoming claim on Windows Server 2016.

  5. Dans l’Éditeur de règles, sous Utilisateurs, cochez la case avec des revendications spécifiques dans la demande, puis cliquez sur spécifique souligné en bas. Screenshot that highlights where to select the underlined specific.

  6. Dans l’écran Sélectionner des revendications, cliquez sur la case d’option Revendications, sélectionnez le Type de revendication, l’Opérateur et la Valeur de la revendication, puis cliquez sur OK. Screenshot that shows where to select the Claims option.

  7. Dans l’Éditeur de règles, cliquez sur OK. Dans l’écran Ajouter une stratégie de contrôle d’accès, cliquez sur OK.

  8. Dans l’arborescence de la console Gestion AD FS, sous AD FS, cliquez sur Approbations de partie de confiance. Screenshot that shows where to select Relying Party Trusts.

  9. Cliquez avec le bouton droit sur l’approbation de partie de confiance pour laquelle vous souhaitez autoriser l’accès, puis sélectionnez Modifier la stratégie de contrôle d’accès. Screenshot that shows where to select the Edit Access Control Policy menu option.

  10. Dans la stratégie de contrôle d’accès, sélectionnez votre stratégie, cliquez sur Appliquer puis sur OK. Screenshot that shows where to select Apply and OK.

Pour créer une règle qui refuse les utilisateurs en fonction d’une revendication entrante sur Windows Server 2016

  1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sélectionnez Gestion AD FS.

  2. Dans l’arborescence de la console, sous AD FS, cliquez sur Stratégies de contrôle d’accès. Screenshot that shows where to select Access Control Policies.

  3. Cliquez avec le bouton droit et sélectionnez Ajouter une stratégie de contrôle d’accès. Screenshot that shows where to add an Access Control Policy.

  4. Dans la zone Nom, entrez le nom de votre stratégie, puis indiquez une description et cliquez sur Ajouter. Screenshot that shows where to enter a name for your policy.

  5. Dans l’Éditeur de règles, vérifiez que l’option tout le monde est sélectionnée et, sous Sauf pour, cochez la case avec des revendications spécifiques dans la demande, puis cliquez sur spécifique, souligné en bas. Screenshot that shows where to make sure that the everyone option is selected.

  6. Dans l’écran Sélectionner des revendications, cliquez sur la case d’option Revendications, sélectionnez le Type de revendication, l’Opérateur et la Valeur de la revendication, puis cliquez sur OK. Screenshot that shows the Select Claims screen.

  7. Dans l’Éditeur de règles, cliquez sur OK. Dans l’écran Ajouter une stratégie de contrôle d’accès, cliquez sur OK.

  8. Dans l’arborescence de la console Gestion AD FS, sous AD FS, cliquez sur Approbations de partie de confiance. create rule

  9. Cliquez avec le bouton droit sur l’approbation de partie de confiance pour laquelle vous souhaitez autoriser l’accès, puis sélectionnez Modifier la stratégie de contrôle d’accès. Screenshot that shows where to right-click Relying Party Trust to access the Edit Access Control Policy menu option.

  10. Dans la stratégie de contrôle d’accès, sélectionnez votre stratégie, cliquez sur Appliquer puis sur OK. Screenshot that shows how go apply the changes to the Access Control Policy.

Pour créer une règle qui autorise ou refuse les utilisateurs en fonction d’une revendication entrante sur Windows Server 2012 R2

  1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sélectionnez Gestion AD FS.

  2. Dans l’arborescence de la console, sous AD FS\Relations d’approbation\Approbations de partie de confiance, cliquez dans la liste sur l’approbation spécifique pour laquelle vous souhaitez créer cette règle.

  3. Cliquez avec le bouton droit sur l’approbation sélectionnée, puis sélectionnez Modifier les règles de revendication. Screenshot that shows the Edit Claim Rules menu option.

  4. Dans la boîte de dialogue Modifier les règles de revendication, cliquez sur l’onglet Règles d’autorisation d’émission ou sur l’onglet Règles d’autorisation de délégation (selon le type de règle d’autorisation dont vous avez besoin), puis cliquez sur Ajouter une règle pour démarrer l’Assistant Ajout d’une règle de revendication d’autorisation. Screenshot that shows how to start the Add Authorization Claim Rule Wizard.

  5. Sur la page Sélectionner un modèle de règle, sous Modèle de règle de revendication sélectionnez dans la liste Autoriser ou refuser des utilisateurs en fonction d’une revendication entrante, puis cliquez sur Suivant. Screenshot that shows where to select the Permit or Deny Users Based on an Incoming Claim template.

  6. Dans la page Configurer la règle, sous Nom de la règle de revendication, tapez le nom complet de cette règle, puis dans Type de revendication entrante, sélectionnez un type de revendication dans la liste ; sous Valeur de revendication entrante, tapez une valeur ou cliquez sur Parcourir (si disponible) et sélectionnez une valeur, puis sélectionnez l’une des options suivantes, en fonction des besoins de votre organisation :

    • Autoriser l’accès aux utilisateurs avec cette revendication entrante

    • Refuser l’accès aux utilisateurs avec cette revendication entranteScreenshot that shows where to select the incoming claim type.

  7. Cliquez sur Terminer.

  8. Dans la boîte de dialogue Modifier les règles de revendication, cliquez sur OK pour enregistrer la règle.

Références supplémentaires

Configurer les règles de revendication

Check-list : création de règles de revendication pour une approbation de partie de confiance

Quand utiliser une règle de revendication d’autorisation

Rôle des revendications

Rôle des règles de revendication