Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In deze handleiding
Deze handleiding bevat de volgende informatie:
verificatiemechanismen in AD FS - beschrijving van de verificatiemechanismen die beschikbaar zijn in Active Directory Federation Services (AD FS) in Windows Server 2012 R2
Scenario overview - een beschrijving van een scenario waarin u Active Directory Federation Services (AD FS) gebruikt om meervoudige verificatie (MFA) in te schakelen op basis van het groepslidmaatschap van de gebruiker.
Notitie
In AD FS in Windows Server 2012 R2 kunt u MFA inschakelen op basis van de netwerklocatie, apparaatidentiteit en gebruikersidentiteit of groepslidmaatschap.
Raadpleeg de gedetailleerde stapsgewijze handleiding voor het configureren en verifiëren van dit scenario in de Walkthrough Guide: Manage Risk with Additional Multi-Factor Authentication for Sensitive Applications.
Belangrijkste concepten - Verificatiemechanismen in AD FS
Voordelen van verificatiemechanismen in AD FS
Active Directory Federation Services (AD FS) in Windows Server 2012 R2 biedt IT-beheerders een uitgebreidere, flexibelere set hulpprogramma's voor het verifiëren van gebruikers die toegang willen tot bedrijfsresources. Het biedt beheerders flexibele controle over de primaire en de aanvullende verificatiemethoden, biedt een uitgebreide beheerervaring voor het configureren van verificatiebeleid (zowel via de gebruikersinterface als Windows PowerShell) en verbetert de ervaring voor de eindgebruikers die toegang hebben tot toepassingen en services die worden beveiligd door AD FS. Hieronder volgen enkele voordelen van het beveiligen van uw toepassing en services met AD FS in Windows Server 2012 R2:
Globaal verificatiebeleid: een centrale beheermogelijkheid, waaruit een IT-beheerder kan kiezen welke verificatiemethoden worden gebruikt om gebruikers te verifiëren op basis van de netwerklocatie waaruit ze toegang hebben tot beveiligde resources. Hierdoor kunnen beheerders het volgende doen:
Het gebruik van veiligere verificatiemethoden voor toegangsaanvragen van het extranet verplicht stellen.
Schakel apparaatverificatie in voor naadloze tweedeledige verificatie. Hiermee wordt de identiteit van de gebruiker gekoppeld aan het geregistreerde apparaat dat wordt gebruikt voor toegang tot de resource, waardoor er veiligere verificatie van samengestelde identiteit wordt geboden voordat beveiligde resources worden geopend.
Notitie
Zie voor meer informatie over het apparaatobject, de Device Registration Service, Workplace Join en het apparaat als naadloze tweede factor-authenticatie en SSO Inloggen op Workplace vanaf elk apparaat voor SSO en naadloze tweede factor-authenticatie binnen bedrijfsapplicaties.
Stel MFA-vereiste in voor alle extranettoegang of voorwaardelijk op basis van de identiteit, netwerklocatie of een apparaat dat wordt gebruikt voor toegang tot beveiligde resources.
Meer flexibiliteit bij het configureren van verificatiebeleid: u kunt aangepast verificatiebeleid configureren voor met AD FS beveiligde resources met verschillende bedrijfswaarden. U kunt bijvoorbeeld MFA vereisen voor toepassingen met een hoge bedrijfsimpact.
Gebruiksgemak: eenvoudige en intuïtieve beheerhulpprogramma's zoals de MMC-module AD FS-beheer op basis van GUI en de Windows PowerShell-cmdlets stellen IT-beheerders in staat om verificatiebeleid met relatief gemak te configureren. Met Windows PowerShell kunt u uw oplossingen scripten voor gebruik op schaal en voor het automatiseren van alledaagse beheertaken.
Meer controle over bedrijfsactiva: aangezien u als beheerder AD FS kunt gebruiken om een verificatiebeleid te configureren dat van toepassing is op een specifieke resource, hebt u meer controle over hoe bedrijfsresources worden beveiligd. Toepassingen kunnen het verificatiebeleid dat is opgegeven door IT-beheerders niet overschrijven. Voor gevoelige toepassingen en services kunt u MFA-vereisten, apparaatverificatie en eventueel nieuwe verificatie inschakelen telkens wanneer de resource wordt geopend.
Ondersteuning voor aangepaste MFA-providers: voor organisaties die gebruikmaken van MFA-methoden van derden, biedt AD FS de mogelijkheid om deze verificatiemethoden naadloos op te nemen en te gebruiken.
Verificatiebereik
In AD FS in Windows Server 2012 R2 kunt u een verificatiebeleid opgeven op een globaal bereik dat van toepassing is op alle toepassingen en services die worden beveiligd door AD FS. U kunt ook verificatiebeleid instellen voor specifieke toepassingen en services (relying party trusts) die worden beveiligd door AD FS. Een verificatiebeleid opgeven voor een bepaalde toepassing (per relatie met een relying party) overschrijft het globale verificatiebeleid niet. Als het verificatiebeleid voor wereldwijde of specifieke vertrouwen in een entiteit meerfactorauthenticatie (MFA) vereist, wordt MFA geactiveerd wanneer de gebruiker probeert te verifiëren bij deze vertrouwensrelatie met de entiteit. Het globale verificatiebeleid is een terugval voor relying party-vertrouwensrelaties (toepassingen en services) waarvoor geen specifiek verificatiebeleid is geconfigureerd.
Een globaal verificatiebeleid is van toepassing op alle relying party's die worden beveiligd door AD FS. U kunt de volgende instellingen configureren als onderdeel van het globale verificatiebeleid:
Verificatiemethoden die moeten worden gebruikt voor primaire verificatie
Instellingen en methoden voor MFA
Of apparaatverificatie is ingeschakeld. Zie voor meer informatie Join to Workplace vanaf elk apparaat voor SSO (Single Sign-On) en naadloze tweefactorauthenticatie binnen bedrijfstoepassingen.
Authenticatiebeleid per relying-party vertrouwensrelatie is specifiek van toepassing op pogingen om toegang te krijgen tot die relying-party vertrouwensrelatie (toepassing of service). U kunt de volgende instellingen configureren als onderdeel van het authenticatiebeleid voor de vertrouwende partij:
Of gebruikers hun referenties elke keer moeten opgeven bij het aanmelden
MFA-instellingen op basis van de locatiegegevens van de gebruiker/groep, apparaatregistratie en toegangsaanvraag
Primaire en aanvullende verificatiemethoden
Met AD FS in Windows Server 2012 R2, naast het primaire verificatiemechanisme, kunnen beheerders aanvullende verificatiemethoden configureren. Primaire verificatiemethoden zijn ingebouwd en zijn bedoeld om identiteiten van gebruikers te valideren. U kunt aanvullende verificatiefactoren configureren om aan te vragen dat er meer informatie over de identiteit van de gebruiker wordt opgegeven en daarom sterkere verificatie garanderen.
Met primaire verificatie in AD FS in Windows Server 2012 R2 hebt u de volgende opties:
Formulierenverificatie is standaard geselecteerd zodat gepubliceerde middelen toegankelijk zijn vanaf buiten het bedrijfsnetwerk. Daarnaast kunt u ook certificaatverificatie inschakelen (met andere woorden, verificatie op basis van smartcard of verificatie van gebruikersclientcertificaten die met AD DS werken).
Voor intranetbronnen is Windows-verificatie standaard geselecteerd. Daarnaast kunt u formulieren en/of certificaatverificatie ook inschakelen.
Door meer dan één verificatiemethode te selecteren, kunnen uw gebruikers kiezen met welke methode u zich wilt verifiëren op de aanmeldingspagina voor uw toepassing of service.
U kunt ook apparaatverificatie inschakelen voor naadloze tweedeledige verificatie. Hiermee wordt de identiteit van de gebruiker gekoppeld aan het geregistreerde apparaat dat wordt gebruikt voor toegang tot de resource, waardoor er veiligere verificatie van samengestelde identiteit wordt geboden voordat beveiligde resources worden geopend.
Notitie
Zie voor meer informatie over het apparaatobject, de Device Registration Service, Workplace Join en het apparaat als naadloze tweede factor-authenticatie en SSO Inloggen op Workplace vanaf elk apparaat voor SSO en naadloze tweede factor-authenticatie binnen bedrijfsapplicaties.
Als u de Windows-verificatiemethode (standaardoptie) opgeeft voor uw intranetbronnen, ondergaan verificatieaanvragen deze methode naadloos in browsers die Ondersteuning bieden voor Windows-verificatie.
Notitie
Windows-verificatie wordt niet ondersteund in alle browsers. Het verificatiemechanisme in AD FS in Windows Server 2012 R2 detecteert de browsergebruikersagent van de gebruiker en gebruikt een configureerbare instelling om te bepalen of die gebruikersagent Ondersteuning biedt voor Windows-verificatie. Beheerders kunnen toevoegen aan deze lijst met gebruikersagents (via de opdracht Windows PowerShell Set-AdfsProperties -WIASupportedUserAgents om alternatieve gebruikersagenttekenreeksen op te geven voor browsers die Ondersteuning bieden voor Windows-verificatie. Als de gebruikersagent van de client geen ondersteuning biedt voor Windows-verificatie, is de standaardvalmethode Formulierverificatie.
MFA configureren
Er zijn twee onderdelen voor het configureren van MFA in AD FS in Windows Server 2012 R2: het opgeven van de voorwaarden waaronder MFA is vereist en het selecteren van een extra verificatiemethode. Zie Aanvullende verificatiemethoden configureren voor AD FS-voor meer informatie over aanvullende verificatiemethoden.
MFA-instellingen
De volgende opties zijn beschikbaar voor MFA-instellingen (voorwaarden waaronder MFA moet worden vereist):
U kunt MFA vereisen voor specifieke gebruikers en groepen in het AD-domein waaraan uw federatieserver is toegevoegd.
U kunt MFA vereisen voor geregistreerde (verbonden met de werkplek) of niet-geregistreerde (niet verbonden met de werkplek) apparaten.
Windows Server 2012 R2 heeft een gebruikersgerichte benadering van moderne apparaten waarbij apparaatobjecten een relatie tussen user@device en een bedrijf vertegenwoordigen. Apparaatobjecten zijn een nieuwe klasse in AD in Windows Server 2012 R2 die kan worden gebruikt om samengestelde identiteit te bieden bij het verlenen van toegang tot toepassingen en services. Een nieuw onderdeel van AD FS - de apparaatregistratieservice (DRS) - richt een apparaat-id in Active Directory in en stelt een certificaat in op het consumentenapparaat dat wordt gebruikt om de apparaat-id te vertegenwoordigen. "Vervolgens kunt u deze apparaat-id gebruiken om uw apparaat op uw werkplek aan te sluiten, met andere woorden, om uw persoonlijke apparaat te verbinden met de Active Directory van uw werkplek." Wanneer u uw persoonlijke apparaat aan uw werkplek koppelt, wordt het een bekend apparaat en biedt het naadloze tweedeledige verificatie voor beveiligde resources en toepassingen. Met andere woorden, nadat een apparaat is toegevoegd aan een werkplek, is de identiteit van de gebruiker gekoppeld aan dit apparaat en kan worden gebruikt voor een naadloze samengestelde identiteitsverificatie voordat een beveiligde resource wordt geopend.
Zie voor meer informatie over het deelnemen aan en verlaten van een werkplek, deelname aan de Werkplek vanaf elk apparaat voor Single Sign-On (SSO) en naadloze tweede-factor authenticatie in bedrijfstoepassingen.
U kunt MFA vereisen wanneer de toegangsaanvraag voor de beveiligde resources afkomstig is van het extranet of het intranet.
Overzicht van scenario
In dit scenario schakelt u MFA in op basis van de groepslidmaatschapsgegevens van de gebruiker voor een specifieke toepassing. Met andere woorden: u stelt een verificatiebeleid op uw federatieserver in om MFA te vereisen wanneer gebruikers die deel uitmaken van een bepaalde groep toegang aanvragen tot een specifieke toepassing die wordt gehost op een webserver.
In dit scenario schakelt u een verificatiebeleid in voor een op claims gebaseerde testtoepassing met de naam claimapp, waarbij een AD-gebruiker Robert Hatley een MFA moet ondergaan aangezien hij lid is van een AD-groep Finance.
De stapsgewijze instructies voor het instellen en verifiëren van dit scenario worden gegeven in stapsgewijze handleiding: Risico's beheren met aanvullende Multi-Factor Authentication voor gevoelige toepassingen. Als u de stappen in dit scenario wilt voltooien, moet u een testomgeving instellen en de stappen volgen in De testomgeving voor AD FS instellen in Windows Server 2012 R2.
Andere scenario's voor het inschakelen van MFA in AD FS zijn onder andere:
Schakel MFA in als de toegangsaanvraag afkomstig is van het extranet. U kunt de code wijzigen die wordt weergegeven in de sectie 'MFA-beleid instellen' van stap-voor-stap handleiding: Manage Risk with Additional Multi-Factor Authentication for Sensitive Applications met het volgende:
'c:[type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn" );'Schakel MFA in als de toegangsaanvraag afkomstig is van een apparaat dat niet aan de werkplek is toegevoegd. U kunt de code wijzigen die wordt weergegeven in de sectie 'MFA-beleid instellen' van stap-voor-stap handleiding: Manage Risk with Additional Multi-Factor Authentication for Sensitive Applications met het volgende:
'NOT EXISTS([type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid"]) => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'Schakel MFA in als de toegang afkomstig is van een gebruiker met een apparaat dat is gekoppeld aan een werkplek, maar niet is geregistreerd voor deze gebruiker. U kunt de code wijzigen die wordt weergegeven in de sectie 'MFA-beleid instellen' van stap-voor-stap handleiding: Manage Risk with Additional Multi-Factor Authentication for Sensitive Applications met het volgende:
'c:[type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", value == "false"] => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'
Zie ook
Uitleg Gids: Beheer Risico met Extra Multifactor Authenticatie voor Gevoelige ToepassingenStel de labomgeving in voor AD FS in Windows Server 2012 R2