Controlli dell'autenticazione del dispositivo in AD FS
Il documento seguente illustra come abilitare i controlli di autenticazione del dispositivo in Windows Server 2016 e 2012 R2.
Controlli dell'autenticazione del dispositivo in AD FS 2012 R2
Originariamente in AD FS 2012 R2 c'era una proprietà di autenticazione globale denominata DeviceAuthenticationEnabled autenticazione controllata del dispositivo.
Per configurare l'impostazione, il cmdlet Set-AdfsGlobalAuthenticationPolicy è stato usato come illustrato di seguito:
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true
Per disabilitare l'autenticazione del dispositivo, è stato usato lo stesso cmdlet per impostare il valore su $false.
Controlli dell'autenticazione del dispositivo in AD FS 2016
L'unico tipo di autenticazione del dispositivo supportato nel 2012 R2 è clientTLS. In AD FS 2016, oltre a clientTLS sono disponibili due nuovi tipi di autenticazione del dispositivo per l'autenticazione moderna dei dispositivi. Sono inclusi:
- PKeyAuth
- PRT
Per controllare il nuovo comportamento, la proprietà DeviceAuthenticationEnabled viene usata in combinazione con una nuova proprietà denominata DeviceAuthenticationMethod.
Il metodo di autenticazione del dispositivo determina il tipo di autenticazione del dispositivo che verrà eseguita: PRT, PKeyAuth, clientTLS o una combinazione. Ha i valori seguenti:
- SignedToken: solo PRT
- PKeyAuth: PRT + PKeyAuth
- ClientTLS: PRT + clientTLS
- All: tutti gli elementi elencati sopra
Come si può notare, prt fa parte di tutti i metodi di autenticazione del dispositivo, rendendolo effettivo il metodo predefinito sempre abilitato quando DeviceAuthenticationEnabled è impostato su $true.
Esempio: per configurare i metodi, usare il cmdlet DeviceAuthenticationEnabled come sopra, insieme alla nuova proprietà:
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true
Nota
In AD FS 2019 è possibile usare DeviceAuthenticationMethod con il comando Set-AdfsRelyingPartyTrust.
PS:\>Set-AdfsRelyingPartyTrust -DeviceAuthenticationMethod ClientTLS
Nota
L'abilitazione dell'autenticazione del dispositivo (impostazione DeviceAuthenticationEnabled su $true) indica che DeviceAuthenticationMethod è impostato in modo implicito su SignedToken, che equivale a PRT.
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationMethod All
Nota
Il metodo di autenticazione del dispositivo predefinito è SignedToken. Altri valori sono PKeyAuth,ClientTLS e All.
I significati dei valori DeviceAuthenticationMethod sono cambiati leggermente dopo il rilascio di AD FS 2016. Vedere la tabella seguente per il significato di ogni valore, a seconda del livello di aggiornamento:
| Versione di AD FS | Valore DeviceAuthenticationMethod | Significa |
|---|---|---|
| 2016 RTM | SignedToken | PRT + PkeyAuth |
| clientTLS | clientTLS | |
| Tutti | PRT + PkeyAuth + clientTLS | |
| 2016 RTM + aggiornato con Windows Update | SignedToken (significato modificato) | PRT (solo) |
| PkeyAuth (nuovo) | PRT + PkeyAuth | |
| clientTLS | PRT + clientTLS | |
| Tutti | PRT + PkeyAuth + clientTLS |