Identificare gli obiettivi di distribuzione di AD FS
L'identificazione corretta degli obiettivi di distribuzione di Active Directory Federation Services (AD FS) è essenziale per la riuscita di un progetto di progettazione di Active Directory Federation Services (AD FS). Classificare in ordine di priorità e, se possibile, combinare gli obiettivi di distribuzione in modo che sia possibile progettare e distribuire AD FS con un approccio iterativo. È possibile usare gli obiettivi di distribuzione di AD FS esistenti, documentati e predefiniti attinenti alle progettazioni di AD FS e sviluppare una soluzione appropriata per la situazione specifica.
Le versioni precedenti di AD FS in genere erano distribuite per ottenere quanto segue:
Fornire ai dipendenti o ai clienti un'esperienza SSO basata su Web per l'accesso alle applicazioni basate su attestazioni all'interno dell'azienda.
Fornire ai dipendenti o ai clienti un'esperienza SSO basata su Web per l'accesso alle risorse di qualsiasi organizzazione del partner federativo.
Fornire ai dipendenti o ai clienti un'esperienza SSO basata su Web per l'accesso remoto ai siti Web o ai servizi ospitati internamente.
Fornire ai dipendenti o ai clienti un'esperienza SSO basata su Web per l'accesso alle risorse o ai servizi nel cloud.
Inoltre, AD FS in Windows Server® 2012 R2 aggiunge funzionalità in grado di aiutare gli utenti a ottenere quanto segue:
Aggiunta dei dispositivi all'area di lavoro per l'accesso SSO e l'autenticazione a due fattori trasparente. In questo modo, le organizzazioni possono consentire l'accesso dai dispositivi personali degli utenti e gestire i rischi correlati.
Gestione dei rischi con il controllo degli accessi a più fattori. AD FS fornisce un elevato livello di autorizzazioni per controllare a chi viene concesso l'accesso e per quali applicazioni. La concessione di autorizzazioni può basarsi sugli attributi dell'utente (UPN, posta elettronica, appartenenza al gruppo di sicurezza, complessità dell'autenticazione e così via), sugli attributi del dispositivo (se il dispositivo è aggiunto all'area di lavoro) o sugli attributi della richiesta (percorso di rete, indirizzo IP o agente utente).
Gestione dei rischi con l'autenticazione a più fattori aggiuntiva per le applicazioni sensibili. AD FS consente di controllare i criteri che permettono, potenzialmente, di richiedere l'autenticazione a più fattori a livello globale per ogni singola applicazione. Inoltre, AD FS fornisce dei punti di estendibilità che consentono una profonda integrazione di tutti i fornitori a più fattori al fine di fornire agli utenti finali un'esperienza sicura e trasparente dell'autenticazione a più fattori.
Disponibilità di capacità di autenticazione e autorizzazione per l'accesso alle risorse Web della Extranet protette da Proxy applicazione Web.
In breve, AD FS in Windows Server 2012 R2 può essere distribuito per raggiungere gli obiettivi seguenti nella tua organizzazione:
Consentire agli utenti di accedere alle risorse dai propri dispositivi personali da qualsiasi posizione
Aggiunta all'area di lavoro che consente agli utenti di aggiungere i propri dispositivi personali ad Active Directory dell'azienda e, di conseguenza, ottenere l'accesso e un'esperienza trasparente quando accedono alle risorse aziendali da tali dispositivi.
Preautenticazione delle risorse nella rete aziendale protette da Proxy applicazione Web e a cui si accede tramite Internet.
Modifica della password per consentire agli utenti di modificare la password alla scadenza da qualsiasi dispositivo aggiunto all'area di lavoro così da poter continuare ad accedere alle risorse.
Ottimizzare gli strumenti per la gestione dei rischi del controllo degli accessi
La gestione dei rischi è un aspetto importante della governance e della conformità di ogni organizzazione IT. Sono disponibili numerose migliorie alla gestione dei rischi del controllo degli accessi in ADFS di Windows Server 2012 R2, incluse le seguenti:
Controlli flessibili in base al percorso di rete per definire la modalità di autenticazione dell'utente per l'accesso a un'applicazione protetta con AD FS.
Criteri flessibili per determinare se un utente deve eseguire l'autenticazione a più fattori in base ai dati dell'utente, ai dati del dispositivo e al percorso di rete.
Controlli in base all'applicazione che consentono di ignorare SSO e richiedono all'utente di fornire le credenziali ogni volta che accede a un'applicazione riservata.
Criteri di accesso in base all'applicazione flessibili basati sui dati dell'utente, i dati del dispositivo o il percorso di rete.
Il blocco della Extranet di AD FS consente agli amministratori di proteggere gli account di Active Directory da attacchi di forza bruta da Internet.
Revoca dell'accesso per qualsiasi dispositivo aggiunto all'area di lavoro disabilitato o eliminato in Active Directory.
Usare AD FS per ottimizzare l'esperienza di accesso
Di seguito vengono descritte le nuove capacità di AD FS in Windows Server® 2012 R2 che consentono all'amministratore di personalizzare e migliorare l'esperienza di accesso:
Personalizzazione unificata del servizio AD FS, in cui le modifiche vengono apportate una sola volta, quindi propagate automaticamente al resto dei server federativi AD FS in una specifica farm.
Pagine di accesso aggiornate dall'aspetto moderno che soddisfano automaticamente i diversi fattori di forma.
Supporto per il fallback automatico nell'autenticazione basata su moduli per i dispositivi non aggiunti al dominio aziendale, ma ancora usati per generare richieste di accesso dall'interno della rete aziendale (Intranet).
Controlli semplici per personalizzare il logo dell'azienda, l'immagine di illustrazione, i collegamenti standard per il supporto IT, la home page, la privacy e così via.
Personalizzazione dei messaggi di descrizione nelle pagina di accesso.
Personalizzazione dei temi Web.
Individuazione dell'area di autenticazione principale (HRD) basata sul suffisso aziendale dell'utente per una privacy avanzata dei partner aziendali.
Filtro HRD in base all'applicazione per individuare automaticamente un'area di autenticazione in base all'applicazione.
Segnalazione errori con un clic per una risoluzione dei problemi IT semplificata.
Messaggi di errore personalizzabili.
Scelta dell'autenticazione utente quando sono disponibili più provider di autenticazione.