Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
À propos de ce guide
Cette procédure pas à pas fournit des instructions pour gérer les risques avec l’un des facteurs (données utilisateur) disponibles via le mécanisme de contrôle d’accès conditionnel dans Les services de fédération Active Directory (AD FS) dans Windows Server 2012 R2. Pour plus d’informations sur le contrôle d’accès conditionnel et les mécanismes d’autorisation dans AD FS dans Windows Server 2012 R2, consultez Gérer les risques avec le contrôle d’accès conditionnel.
Cette procédure pas à pas se compose des sections suivantes :
Étape 2 : Vérifier le mécanisme de contrôle d’accès AD FS par défaut
Étape 4 : Vérifier le mécanisme de contrôle d’accès conditionnel
Étape 1 : Configuration de l’environnement lab
Pour effectuer cette procédure pas à pas, vous avez besoin d’un environnement qui se compose des composants suivants :
Domaine Active Directory avec un compte d’utilisateur et de groupe de test, exécuté sur Windows Server 2008, Windows Server 2008 R2 ou Windows Server 2012 avec son schéma mis à niveau vers Windows Server 2012 R2 ou un domaine Active Directory s’exécutant sur Windows Server 2012 R2
Un serveur de fédération s’exécutant sur Windows Server 2012 R2
Serveur web qui héberge votre exemple d’application
Un ordinateur client à partir duquel vous pouvez accéder à l’exemple d’application
Warning
Il est fortement recommandé (dans les environnements de production ou de test) que vous n’utilisez pas le même ordinateur pour être votre serveur de fédération et votre serveur web.
Dans cet environnement, le serveur de fédération émet les revendications requises afin que les utilisateurs puissent accéder à l’exemple d’application. Le serveur Web héberge un exemple d’application qui approuve les utilisateurs qui présentent les revendications émises par le serveur de fédération.
Pour obtenir des instructions sur la configuration de cet environnement, consultez Configurer l’environnement lab pour AD FS dans Windows Server 2012 R2.
Étape 2 : Vérifier le mécanisme de contrôle d’accès AD FS par défaut
Dans cette étape, vous allez vérifier le mécanisme de contrôle d’accès AD FS par défaut, où l’utilisateur est redirigé vers la page de connexion AD FS, fournit des informations d’identification valides et est autorisé à accéder à l’application. Vous pouvez utiliser le compte Robert Hatley AD et l’exemple d’application claimapp que vous avez configurés dans Configurer l’environnement lab pour AD FS dans Windows Server 2012 R2.
Pour vérifier le mécanisme de contrôle d’accès AD FS par défaut
Sur votre ordinateur client, ouvrez une fenêtre de navigateur et accédez à votre exemple d’application :
https://webserv1.contoso.com/claimapp.Cette action redirige automatiquement la requête vers le serveur de fédération et vous êtes invité à vous connecter avec un nom d’utilisateur et un mot de passe.
Tapez les informations d’identification du compte Robert Hatley AD que vous avez créé dans Configurer l’environnement lab pour AD FS dans Windows Server 2012 R2.
Vous aurez accès à l’application.
Étape 3 : Configurer la stratégie de contrôle d’accès conditionnel en fonction des données utilisateur
Dans cette étape, vous allez configurer une stratégie de contrôle d’accès basée sur les données d’appartenance au groupe d’utilisateurs. Autrement dit, vous allez configurer une règle d’autorisation d’émission sur votre serveur de fédération pour une approbation de partie de confiance qui représente votre exemple d’application claimapp. Par la logique de cette règle, l’utilisateur Robert Hatley AD se verra attribuer des revendications qui sont requises pour accéder à cette application, car il appartient au groupe Finance. Vous avez ajouté le compte Robert Hatley au groupe Finance dans Configurer l’environnement lab pour AD FS dans Windows Server 2012 R2.
Vous pouvez effectuer cette tâche à l’aide de la console de gestion AD FS ou via Windows PowerShell.
Pour configurer la stratégie de contrôle d’accès conditionnel basée sur les données utilisateur via la console de gestion AD FS
Dans la console de gestion AD FS, accédez à Relations d’approbation, puis Approbations de partie de confiance.
Sélectionnez l’approbation de partie de confiance qui représente votre exemple d’application (claimapp), puis dans le volet Actions ou en cliquant avec le bouton droit sur cette approbation de partie de confiance, sélectionnez Modifier les règles de revendication.
Dans la fenêtre Modifier les règles de revendication pour claimapp , sélectionnez l’onglet Règles d’autorisation d’émission , puis cliquez sur Ajouter une règle.
Dans l’ Assistant Ajout de règle de revendication d’autorisation d’émission, dans la page Sélectionner le modèle de règle, sélectionnez le modèle de règle de revendication Autoriser ou refuser l’accès des utilisateurs en fonction d’une revendication entrante et cliquez sur Suivant.
Dans la page Configurer une règle , effectuez l’ensemble des opérations suivantes, puis cliquez sur Terminer :
Entrez un nom pour la règle de revendication, par exemple TestRule.
Sélectionnez SID de groupe comme type de revendication entrante.
Cliquez sur Parcourir, tapez Finance pour le nom de votre groupe de test AD, puis résolvez-le pour le champ valeur de revendication entrante .
Sélectionnez l’option Refuser l’accès aux utilisateurs avec cette revendication entrante.
Dans la fenêtre Modifier les règles de revendication pour claimapp, veillez à supprimer la règle Autoriser l’accès à tous les utilisateurs créée par défaut lorsque vous avez créé cette approbation de partie de confiance.
Pour configurer la stratégie de contrôle d’accès conditionnel basée sur les données utilisateur via Windows PowerShell
- Sur votre serveur de fédération, ouvrez la fenêtre de commande Windows PowerShell et exécutez la commande suivante :
$rp = Get-AdfsRelyingPartyTrust -Name claimapp
- Dans la même fenêtre de commande Windows PowerShell, exécutez la commande suivante :
$GroupAuthzRule = '@RuleTemplate = "Authorization" @RuleName = "Foo" c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value =~ "^(?i)<group_SID>$"] =>issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = "DenyUsersWithClaim");'
Set-AdfsRelyingPartyTrust -TargetRelyingParty $rp -IssuanceAuthorizationRules $GroupAuthzRule
Note
Veillez à remplacer <group_SID> par la valeur du SID de votre groupe Finance AD.
Étape 4 : Vérifier le mécanisme de contrôle d’accès conditionnel
Dans cette étape, vous allez vérifier la stratégie de contrôle d’accès conditionnel que vous avez configurée à l’étape précédente. Vous pouvez utiliser la procédure suivante pour vérifier que l’utilisateur Robert Hatley AD peut accéder à votre exemple d’application, car il appartient au groupe Finance et aux utilisateurs AD qui n’appartiennent pas au groupe Finance ne peuvent pas accéder à l’exemple d’application.
Sur votre ordinateur client, ouvrez une fenêtre de navigateur et accédez à votre exemple d’application :
https://webserv1.contoso.com/claimappCette action redirige automatiquement la requête vers le serveur de fédération et vous êtes invité à vous connecter avec un nom d’utilisateur et un mot de passe.
Tapez les informations d’identification du compte Robert Hatley AD que vous avez créé dans Configurer l’environnement lab pour AD FS dans Windows Server 2012 R2.
Vous aurez accès à l’application.
Tapez les informations d’identification d’un autre utilisateur AD qui n’appartient pas au groupe Finance . (Pour plus d’informations sur la création de comptes d’utilisateur dans AD, consultez https://technet.microsoft.com/library/cc7833232.aspx.
À ce stade, en raison de la stratégie de contrôle d’accès que vous avez configurée à l’étape précédente, un message « accès refusé » s’affiche pour cet utilisateur AD qui n’appartient pas au groupe Finance . Le texte du message par défaut est Vous n’êtes pas autorisé à accéder à ce site. Cliquez ici pour vous déconnecter et vous reconnecter ou contactez votre administrateur pour obtenir des autorisations. Toutefois, ce texte est entièrement personnalisable. Pour plus d’informations sur la personnalisation de l’expérience de connexion, consultez Personnalisation des pages de connexion AD FS.
Voir aussi
Gérer les risques avec le contrôle d’accès conditionnelConfigurer l’environnement lab pour AD FS dans Windows Server 2012 R2