gerencie riscos com Autenticação Multifator adicional para aplicativos confidenciais
Neste guia
Esse guia contém as seguintes informações:
Mecanismos de autenticação no AD FS – descrição dos mecanismos de autenticação disponíveis no AD FS (Serviços de Federação do Active Directory) no Windows Server 2012 R2
Visão geral do cenário – uma descrição de um cenário onde você usa o AD FS (Serviços de Federação do Active Directory) para habilitar a MFA (autenticação multifator) de acordo com a associação de grupo do usuário.
Observação
No AD FS no Windows Server 2012 R2, você pode habilitar a MFA de acordo com o local da rede, a identidade do dispositivo e a associação de grupo ou identidade do usuário.
Para obter instruções detalhadas passo a passo para configurar e verificar esse cenário, consulte Guia passo a passo: gerenciar riscos com autenticação multifator adicionar para aplicativos confidenciais.
Principais conceitos - mecanismos de autenticação no AD FS
Benefícios dos mecanismos de autenticação no AD FS
O AD FS (Serviços de Federação do Active Directory) no Windows Server 2012 R2 fornece aos administradores de TI um conjunto mais avançado e flexível de ferramentas para autenticar usuários que desejam acessar recursos corporativos. Ele capacita os administradores com controle flexível sobre os métodos de autenticação principais e adicionais, oferece uma experiência avançada de gerenciamento para configurar políticas de autenticação (por meio da interface do usuário e do Windows PowerShell) e aprimora a experiência para os usuários finais que acessam aplicativos e serviços protegidos pelo AD FS. Estes são alguns dos benefícios da proteção do aplicativo e de serviços com o AD FS no Windows Server 2012 R2:
Política de autenticação global – um recurso de gerenciamento central, no qual um administrador de TI pode escolher quais métodos de autenticação são usados para autenticar usuários de acordo com o local da rede do qual eles acessam os recursos protegidos. Isso permite que os administradores façam o seguinte:
Impor o uso de métodos de autenticação mais seguros para solicitações de acesso da extranet.
Habilitar a autenticação de dispositivos para autenticação de dois fatores contínua. Isso vincula a identidade do usuário ao dispositivo registrado que é usado para acessar o recurso, oferecendo uma verificação de identidade composta mais segura antes que recursos protegidos sejam acessados.
Observação
Para obter mais informações sobre o objeto de dispositivo, o Serviço de Registro de Dispositivo, o Workplace Join e o dispositivo como autenticação de segundo fator contínua e SSO, consulte Ingressar no local de trabalho de qualquer dispositivo para autenticação de segundo fator contínua e SSO em aplicativos da empresa.
Defina a exigência de MFA para todos os acessos de extranet ou condicionalmente com base na identidade do usuário, no local de rede ou em um dispositivo usado para acessar recursos protegidos.
Maior flexibilidade na configuração de políticas de autenticação: é possível configurar políticas de autenticação personalizadas para recursos protegidos por AD FS com diferentes valores de negócio. Por exemplo, é possível exigir MFA para aplicativo com alto impacto nos negócios.
Facilidade de uso: ferramentas de gerenciamento simples e intuitivas, como o snap-in MMC de Gerenciamento do AD FS baseado em GUI e os cmdlets do Windows PowerShell, permitem que os administradores de TI configurem políticas de autenticação com relativa facilidade. Com o Windows PowerShell, é possível fazer scripts de suas soluções para usar em escala e para automatizar tarefas administrativas rotineiras.
Maior controle sobre os ativos corporativos: como administrador, é possível usar o AD FS para configurar uma política de autenticação que se aplica a um recurso específico, você tem maior controle sobre como os recursos corporativos estão protegidos. Os aplicativos não podem substituir as políticas de autenticação especificadas por administradores de TI. Para serviços e aplicativos confidenciais, é possível habilitar a exigência de MFA, a autenticação de dispositivos e, opcionalmente, uma autenticação nova toda vez que o recurso for acessado.
Suporte para provedores personalizados de MFA: para organizações que utilizam métodos de MFA de terceiros, o AD FS oferece a capacidade de incorporar e usar esses métodos de autenticação sem problemas.
Escopo de autenticação
No AD FS do Windows Server 2012 R2, é possível especificar uma política de autenticação em um escopo global que é aplicável a todos os aplicativos e serviços que são protegidos pelo AD FS. Também é possível definir políticas de autenticação para aplicativos e serviços específicos (objetos de confiança de terceira parte confiável) que são protegidos pelo AD FS. Especificar uma política de autenticação para um aplicativo específico (por objeto de confiança da terceira parte confiável) não substitui a política de autenticação global. Se a política de autenticação global ou por objeto de confiança da terceira parte confiável exigir MFA, a MFA será disparada quando o usuário tentar fazer autenticação a esse objeto de confiança da terceira parte confiável. A política de autenticação global é um fallback para objetos de confiança da terceira parte confiável (aplicativos e serviços) que não têm uma política específica de autenticação configurada.
Uma política de autenticação global se aplica a todas as terceiras partes confiáveis que são protegidas pelo AD FS. É possível configurar as seguintes definições como parte da política de autenticação global:
Métodos de autenticação a serem usados para autenticação principal
Definições e métodos para a MFA
Se a autenticação de dispositivo está habilitada. Para obter mais informações, consulte Join to Workplace from Any Device for SSO and Seamless Second Factor Authentication Across Company Applications.
As políticas de autenticação por objeto de confiança da terceira parte confiável aplicam-se especificamente às tentativas de acessar esse objeto de confiança da terceira parte confiável (aplicativo ou serviço). É possível configurar as seguintes definições como parte da política de autenticação por objeto de confiança da terceira parte confiável:
Se os usuários são obrigados a fornecer suas credenciais cada vez que entram
As configurações de MFA baseiam-se em usuário/grupo, registro de dispositivos e dados de localização de solicitação de acesso
Métodos de autenticação principal e adicionais
Com o AD FS no Windows Server 2012 R2, além do mecanismo de autenticação principal, os administradores podem configurar métodos de autenticação adicionais. Os métodos de autenticação principal são internos e destinam-se a validar as identidades dos usuários. É possível configurar fatores de autenticação adicionais para solicitar que mais informações sobre a identidade do usuário sejam fornecidas e, consequentemente, garantir uma autenticação mais forte.
Com a autenticação primária no AD FS do Windows Server 2012 R2, você tem as seguintes opções:
Para recursos publicados para serem acessados de fora da rede corporativa, a Autenticação de Formulários é selecionada por padrão. Além disso, também é possível habilitar a Autenticação de Certificado (em outras palavras, a autenticação baseada em cartão inteligente ou autenticação de certificado do cliente do usuário que funciona com o AD DS).
Para os recursos de intranet, a autenticação do Windows está selecionada por padrão. Além disso, você também pode habilitar Autenticação de Certificado e/ou Formulários.
Ao selecionar mais de um método de autenticação, você habilita seus usuários a terem uma escolha de qual método com o qual autenticar para a página de entrada para o aplicativo ou serviço.
Você habilita também a autenticação de dispositivos para autenticação de dois fatores contínua. Isso vincula a identidade do usuário ao dispositivo registrado que é usado para acessar o recurso, oferecendo uma verificação de identidade composta mais segura antes que recursos protegidos sejam acessados.
Observação
Para obter mais informações sobre o objeto de dispositivo, o Serviço de Registro de Dispositivo, o Workplace Join e o dispositivo como autenticação de segundo fator contínua e SSO, consulte Ingressar no local de trabalho de qualquer dispositivo para autenticação de segundo fator contínua e SSO em aplicativos da empresa.
Se você especificar o método de autenticação do Windows (opção padrão) para seus recursos de intranet, as solicitações de autenticação serão submetidas a esse método sem problemas em navegadores que oferecem suporte a autenticação do Windows.
Observação
A autenticação do Windows não é compatível com todos os navegadores. O mecanismo de autenticação no AD FS do Windows Server 2012 R2 detecta o agente de usuário do navegador do usuário e usa uma definição configurável para determinar se o agente de usuário oferece suporte à Autenticação do Windows. Os administradores podem adicionar a essa lista de agentes do usuário (através do Windows PowerShell) o comando Set-AdfsProperties -WIASupportedUserAgents
, a fim de especificar cadeias de caracteres de agente de usuário alternativas para navegadores que oferecem suporte à autenticação do Windows. Se o agente de usuário do cliente não oferece suporte à autenticação do Windows, o método de fallback padrão é a Autenticação de Formulários.
Configuração da MFA
Existem duas partes para configurar a MFA no AD FS do Windows Server 2012 R2: especificar as condições sob as quais a MFA é necessária e selecionar um método de autenticação adicional. Para obter mais informações sobre métodos de autenticação adicionais, consulte Configurar métodos de autenticação adicionais do AD FS.
Configurações de MFA
As seguintes opções estão disponíveis para configurações de MFA (condições sob as quais exigir a MFA):
É possível exigir MFA para usuários e grupos específicos no domínio do AD a qual o servidor de federação está ingressado.
É possível exigir MFA para dispositivos registrados (ingressados no local de trabalho) ou não registrados (não ingressados no local de trabalho).
O Windows Server 2012 R2 utiliza uma abordagem centrada no usuário para dispositivos modernos em que os objetos de dispositivo representam uma relação entre user@device e uma empresa. Os objetos de dispositivo são uma nova classe no AD do Windows Server 2012 R2 que pode ser usada para oferecer identidades compostas ao fornecer acesso a aplicativos e serviços. Um novo componente do AD FS - o DRS (Serviço de Registro de Dispositivos) - propicia uma identidade de dispositivo no Active Directory e define um certificado no dispositivo do consumidor que será usado para representar a identidade do dispositivo. É possível usar essa identidade de dispositivo para ingressar seu dispositivo no local de trabalho; em outras palavras, para conectar seu dispositivo pessoal no Active Directory do local de trabalho. Quando você ingressa seu dispositivo pessoal no local de trabalho, ele se torna um dispositivo conhecido e fornece autenticação de dois fatores contínua para aplicativos e recursos protegidos. Em outras palavras, depois que um dispositivo ingressa no local de trabalho, a identidade do usuário é vinculada a esse dispositivo e pode ser usada para uma verificação de identidade composta contínua antes de um recurso protegido ser acessado.
Para obter mais informações sobre a saída e o ingresso no local de trabalho, confira Ingressar no local de trabalho de qualquer dispositivo para autenticação de segundo fator contínua e SSO em aplicativos da empresa.
É possível exigir MFA quando a solicitação de acesso para os recursos protegidos é proveniente da extranet ou da intranet.
Visão geral do cenário
Neste cenário, você ativa a MFA com base nos dados de associação de grupo do usuário para um aplicativo específico. Em outras palavras, você definirá uma política de autenticação no servidor de federação para exigir MFA quando os usuários que pertencem a um determinado grupo solicitarem acesso a um aplicativo específico que está hospedado em um servidor Web.
Mais especificamente, nesse cenário, você habilita uma política de autenticação para um aplicativo de teste baseado em declarações chamado claimapp, pela qual um usuário do AD de Robert Hatley será requisitado a passar por MFA porque pertence ao Finance do grupo AD.
As instruções passo a passo para configurar e verificar esse cenário são fornecidas no Guia passo a passo: gerenciar risco com a autenticação multifator adicional para aplicativos confidenciais. A fim de concluir as etapas deste passo a passo, é preciso criar um ambiente de laboratório e seguir as etapas que constam em Configurar o ambiente de laboratório para o AD FS no Windows Server 2012 R2.
Outros cenários de habilitação de MFA no AD FS incluem o seguinte:
Habilitar a MFA, se a solicitação de acesso provir da extranet. É possível modificar o código apresentado na seção "Configurar a política da MFA" do Guia passo a passo: gerenciar riscos com autenticação multifator adicional para aplicativos confidenciais com o seguinte:
'c:[type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn" );'
Habilitar a MFA, se a solicitação de acesso provir de um dispositivo que não está ingressado no local de trabalho. É possível modificar o código apresentado na seção "Configurar a política da MFA" do Guia passo a passo: gerenciar riscos com autenticação multifator adicional para aplicativos confidenciais com o seguinte:
'NOT EXISTS([type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid"]) => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'
Habilitar a MFA, se o acesso estiver vindo de um usuário com um dispositivo que está ingressado no local de trabalho, mas não está registrado para esse usuário. É possível modificar o código apresentado na seção "Configurar a política da MFA" do Guia passo a passo: gerenciar riscos com autenticação multifator adicional para aplicativos confidenciais com o seguinte:
'c:[type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", value == "false"] => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'
Consulte Também
Guia passo a passo: gerenciar riscos com a autenticação multifator adicional para aplicativos confidenciaisConfigurar o ambiente de laboratório para o AD FS no Windows Server 2012 R2