Kontrolki uwierzytelniania urządzeń w usługach AD FS
W poniższym dokumencie przedstawiono sposób włączania kontrolek uwierzytelniania urządzeń w systemach Windows Server 2016 i 2012 R2.
Kontrolki uwierzytelniania urządzeń w usługach AD FS 2012 R2
Początkowo w usługach AD FS 2012 R2 istniała jedna globalna właściwość uwierzytelniania nazwana DeviceAuthenticationEnabled, która kontrolowała uwierzytelnianie urządzenia.
Aby skonfigurować to ustawienie, użyto polecenia cmdlet, Set-AdfsGlobalAuthenticationPolicy jak pokazano poniżej:
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true
Aby wyłączyć uwierzytelnianie urządzenia, to samo polecenie cmdlet zostało użyte do ustawienia wartości na $false.
Kontrolki uwierzytelniania urządzeń w usługach AD FS 2016
Jedynym typem uwierzytelniania urządzenia obsługiwanego w 2012 R2 był clientTLS. W usługach AD FS 2016 oprócz clientTLS istnieją dwa nowe typy uwierzytelniania urządzeń na potrzeby nowoczesnego uwierzytelniania urządzeń. Są to:
- PKeyAuth
- PRT
Aby kontrolować nowe zachowanie, DeviceAuthenticationEnabled właściwość jest używana w połączeniu z nową właściwością o nazwie DeviceAuthenticationMethod.
Metoda uwierzytelniania urządzenia określa typ uwierzytelniania urządzenia, które zostanie wykonane: PRT, PKeyAuth, clientTLS lub kilka kombinacji. Ma następujące wartości:
- SignedToken: tylko PRT
- PKeyAuth: PRT + PKeyAuth
- ClientTLS: PRT + clientTLS
- Wszystko: Wszystkie powyższe
Jak widać, PRT jest częścią wszystkich metod uwierzytelniania urządzeń, co sprawia, że w rzeczywistości jest to domyślna metoda, która jest zawsze włączona, gdy DeviceAuthenticationEnabled jest ustawione na $true.
Przykład: Aby skonfigurować metody, użyj polecenia cmdlet DeviceAuthenticationEnabled, jak pokazano powyżej, wraz z nową właściwością:
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true
Uwaga
W usługach AD FS 2019 DeviceAuthenticationMethod można używać z poleceniem Set-AdfsRelyingPartyTrust .
PS:\>Set-AdfsRelyingPartyTrust -DeviceAuthenticationMethod ClientTLS
Uwaga
Włączenie uwierzytelniania urządzenia (ustawienie DeviceAuthenticationEnabled na $true) oznacza, że DeviceAuthenticationMethod jest niejawnie ustawiony na SignedToken, co odpowiada PRT.
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationMethod All
Uwaga
Domyślną metodą uwierzytelniania urządzenia jest SignedToken. Inne wartości to PKeyAuth,ClientTLS i All.
Znaczenia DeviceAuthenticationMethod wartości nieco się zmieniły od czasu wydania AD FS 2016. Zapoznaj się z poniższą tabelą, aby uzyskać znaczenie każdej wartości w zależności od poziomu aktualizacji:
| Wersja usług AD FS | Wartość DeviceAuthenticationMethod | Środki |
|---|---|---|
| 2016 RTM | SignedToken | PRT + PkeyAuth |
| protokół clientTLS | clientTLS | |
| Wszystko | PRT + PkeyAuth + clientTLS | |
| 2016 RTM + najnowsza wersja w Windows Update | SignedToken (zmienione znaczenie) | PRT (tylko) |
| PkeyAuth (nowy) | PRT + PkeyAuth | |
| clientTLS | PRT + clientTLS | |
| Wszystko | PRT + PkeyAuth + clientTLS |