Guía de tutorial: Administración del riesgo con el control de acceso condicional

Acerca de esta guía

En este tutorial se proporcionan instrucciones para administrar el riesgo con uno de los factores (datos de usuario) disponibles a través del mecanismo de control de acceso condicional en Servicios de federación de Active Directory (AD FS) en Windows Server 2012 R2. Para obtener más información sobre los mecanismos de autorización y control de acceso condicional en AD FS en Windows Server 2012 R2, vea Administrar el riesgo con control de acceso condicional.

Este tutorial consta de las secciones siguientes:

• Paso 1: Configuración del entorno de laboratorio

• Paso 2: Comprobar el mecanismo de control de acceso predeterminado de AD FS

• Paso 3: Configurar la directiva de control de acceso condicional basada en datos de usuario

• Paso 4: Comprobación del mecanismo de control de acceso condicional

Paso 1: Configuración del entorno de laboratorio

Para completar este tutorial, necesita un entorno que consta de los siguientes componentes:

• Un dominio de Active Directory con cuentas de usuario y grupo de prueba, que se ejecutan en Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012 con su esquema actualizado a Windows Server 2012 R2 o un dominio de Active Directory que se ejecuta en Windows Server 2012 R2

• Un servidor de federación que se ejecuta en Windows Server 2012 R2

• Un servidor web que hospeda la aplicación de ejemplo

• Un equipo cliente desde el que puede acceder a la aplicación de ejemplo

En este entorno, el servidor de federación emite las notificaciones necesarias para que los usuarios puedan acceder a la aplicación de ejemplo. El servidor web hospeda una aplicación de ejemplo que confiará en los usuarios que presenten las notificaciones emitidas por el servidor de federación.

Para obtener instrucciones sobre cómo configurar este entorno, consulte Configuración del entorno de laboratorio para AD FS en Windows Server 2012 R2.

Paso 2: Comprobar el mecanismo de control de acceso predeterminado de AD FS

En este paso comprobará el mecanismo de control de acceso de AD FS predeterminado, donde el usuario se redirige a la página de inicio de sesión de AD FS, proporciona credenciales válidas y se concede acceso a la aplicación. Puede usar la cuenta de Robert Hatley AD y la aplicación de ejemplo claimapp que configuró en Configuración del entorno de laboratorio para AD FS en Windows Server 2012 R2.

Para comprobar el mecanismo de control de acceso predeterminado de AD FS

1. En el equipo cliente, abra una ventana del explorador y vaya a la aplicación de ejemplo: https://webserv1.contoso.com/claimapp.

   Esta acción redirige automáticamente la solicitud al servidor de federación y se le pide que inicie sesión con un nombre de usuario y una contraseña.

2. Escriba las credenciales de la cuenta de Robert Hatley AD que creó en Configuración del entorno de laboratorio para AD FS en Windows Server 2012 R2.

   Se le concederá acceso a la aplicación.

Paso 3: Configurar la directiva de control de acceso condicional basada en datos de usuario

En este paso configurará una directiva de control de acceso basada en los datos de pertenencia a grupos de usuarios. Es decir, configurará una Regla de autorización de emisión en el servidor de federación para una relación de confianza para usuario autenticado que represente a la aplicación de ejemplo claimapp. Mediante la lógica de esta regla, se le emitirán reclamaciones al usuario de AD Robert Hatley que son necesarias para acceder a esta aplicación porque pertenece a un grupo de finanzas. Ha agregado la cuenta de Robert Hatley al grupo Finance en Configuración del entorno de laboratorio para AD FS en Windows Server 2012 R2.

Puede completar esta tarea mediante AD FS Management Console o a través de Windows PowerShell.

Para configurar la directiva de control de acceso condicional basada en los datos de usuario a través de la Consola de administración de AD FS

1. En la Consola de administración de AD FS, vaya a Relaciones de confianza y, a continuación, Confianzas de partes confiables.

2. Seleccione la relación de confianza que representa la aplicación de ejemplo (claimapp) y, a continuación, en el panel Acciones o haciendo clic con el botón derecho en esta relación de confianza, seleccione Editar reglas de declaraciones.

3. En la ventana Editar reglas de notificación para claimapp , seleccione la pestaña Reglas de autorización de emisión y haga clic en Agregar regla.

4. En la página Seleccionar plantilla de regla del Asistente para agregar reglas de notificación de autorización de emisión, seleccione la plantilla de regla de notificación Permitir o denegar el acceso a los usuarios según una notificación entrante y haga clic en Siguiente.

5. En la página Configurar regla , haga lo siguiente y, a continuación, haga clic en Finalizar:

   1. Escriba un nombre para la regla de declaración, por ejemplo TestRule.

   2. Seleccione SID de grupo como Tipo de notificación entrante.

   3. Haga clic en Examinar, escriba Finanzas como nombre del grupo de prueba de AD y resuélvalo para el campo Valor de notificación entrante.

   4. Seleccione la opción Denegar acceso a los usuarios con esta notificación entrante .

6. En la ventana Editar reglas de notificación para claimapp, asegúrese de eliminar la regla Permitir el acceso a todos los usuarios que se creó de manera predeterminada al crear esta relación de confianza para usuario autenticado.

Para configurar la directiva de control de acceso condicional basada en datos de usuario a través de Windows PowerShell

1. En el servidor de federación, abra la ventana de comandos de Windows PowerShell y ejecute el siguiente comando:

$rp = Get-AdfsRelyingPartyTrust -Name claimapp

2. En la misma ventana de comandos de Windows PowerShell, ejecute el siguiente comando:

$GroupAuthzRule = '@RuleTemplate = "Authorization" @RuleName = "Foo" c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value =~ "^(?i)<group_SID>$"] =>issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = "DenyUsersWithClaim");'
Set-AdfsRelyingPartyTrust -TargetRelyingParty $rp -IssuanceAuthorizationRules $GroupAuthzRule

Paso 4: Comprobación del mecanismo de control de acceso condicional

En este paso comprobará la directiva de control de acceso condicional que configuró en el paso anterior. Puede usar el procedimiento siguiente para comprobar que el usuario de Robert Hatley AD puede acceder a la aplicación de ejemplo porque pertenece al grupo Finance y a los usuarios de AD que no pertenecen al grupo Finance no pueden acceder a la aplicación de ejemplo.

1. En el equipo cliente, abra una ventana del explorador y vaya a la aplicación de ejemplo: https://webserv1.contoso.com/claimapp

   Esta acción redirige automáticamente la solicitud al servidor de federación y se le pide que inicie sesión con un nombre de usuario y una contraseña.

2. Escriba las credenciales de la cuenta de Robert Hatley AD que creó en Configuración del entorno de laboratorio para AD FS en Windows Server 2012 R2.

   Se le concederá acceso a la aplicación.

3. Escriba las credenciales de otro usuario de AD que no pertenece al grupo Finance . (Para obtener más información sobre cómo crear cuentas de usuario en AD, vea https://technet.microsoft.com/library/cc7833232.aspx.

   En este momento, debido a la directiva de control de acceso que configuró en el paso anterior, se muestra un mensaje "acceso denegado" para este usuario de AD que no pertenece al grupo Finance . El texto del mensaje predeterminado es No está autorizado para acceder a este sitio. Haga clic aquí para cerrar sesión e iniciar sesión de nuevo o póngase en contacto con el administrador para obtener permisos. Sin embargo, este texto es totalmente personalizable. Para obtener más información sobre cómo personalizar la experiencia de inicio de sesión, consulte Personalización de las páginas de inicio de sesión de AD FS.

Véase también

Administrar el riesgo con el control de acceso condicionalConfigurar el entorno de laboratorio para AD FS en Windows Server 2012 R2