Partilhar via

Gerencie o risco com autenticação multifator adicional para aplicativos confidenciais

Neste guia

Este guia fornece as seguintes informações:

Conceitos-chave - Mecanismos de autenticação no AD FS

Benefícios dos mecanismos de autenticação no AD FS

Os Serviços de Federação do Ative Directory (AD FS) no Windows Server 2012 R2 fornecem aos administradores de TI um conjunto de ferramentas mais avançado e flexível para autenticar usuários que desejam acessar recursos corporativos. Ele capacita os administradores com controle flexível sobre os métodos de autenticação primários e adicionais, fornece uma experiência de gerenciamento avançada para configurar políticas de autenticação (por meio da interface do usuário e do Windows PowerShell) e aprimora a experiência para os usuários finais que acessam aplicativos e serviços protegidos pelo AD FS. A seguir estão alguns dos benefícios de proteger seu aplicativo e serviços com o AD FS no Windows Server 2012 R2:

  • Política de autenticação global - um recurso de gerenciamento central, a partir do qual um administrador de TI pode escolher quais métodos de autenticação são usados para autenticar usuários com base no local de rede a partir do qual eles acessam recursos protegidos. Isso permite que os administradores façam o seguinte:

    • Obrigar à utilização de métodos de autenticação mais seguros para os pedidos de acesso a partir da extranet.

    • Habilite a autenticação de dispositivo para autenticação contínua de segundo fator. Isso vincula a identidade do usuário ao dispositivo registrado que é usado para acessar o recurso, oferecendo assim uma verificação de identidade composta mais segura antes que os recursos protegidos sejam acessados.

      Observação

      Para obter mais informações sobre o objeto de um dispositivo, o Serviço de Registro de Dispositivo, Aderir ao Local de Trabalho e o dispositivo como autenticação de dois fatores contínua e SSO, consulte Aderir ao local de trabalho de qualquer dispositivo para SSO e autenticação contínua de segundo fator através de aplicações da empresa.

    • Defina o requisito de MFA para todo o acesso à extranet ou condicionalmente com base na identidade do usuário, no local da rede ou em um dispositivo usado para acessar recursos protegidos.

  • Maior flexibilidade na configuração de políticas de autenticação: você pode configurar políticas de autenticação personalizadas para recursos protegidos pelo AD FS com valores comerciais variáveis. Por exemplo, você pode exigir MFA para aplicativos com alto impacto nos negócios.

  • Facilidade de uso: ferramentas de gerenciamento simples e intuitivas, como o snap-in MMC de Gerenciamento do AD FS baseado em GUI e os cmdlets do Windows PowerShell, permitem que os administradores de TI configurem políticas de autenticação com relativa facilidade. Com o Windows PowerShell, você pode criar scripts de suas soluções para uso em escala e para automatizar tarefas administrativas mundanas.

  • Maior controle sobre ativos corporativos: como como administrador, você pode usar o AD FS para configurar uma política de autenticação que se aplica a um recurso específico, você tem maior controle sobre como os recursos corporativos são protegidos. Os aplicativos não podem substituir as políticas de autenticação especificadas pelos administradores de TI. Para aplicativos e serviços confidenciais, você pode habilitar o requisito de MFA, a autenticação de dispositivo e, opcionalmente, a autenticação nova sempre que o recurso for acessado.

  • Suporte para provedores de MFA personalizados: para organizações que utilizam métodos de MFA de terceiros, o AD FS oferece a capacidade de incorporar e usar esses métodos de autenticação perfeitamente.

Escopo de autenticação

No AD FS no Windows Server 2012 R2, você pode especificar uma política de autenticação em um escopo global aplicável a todos os aplicativos e serviços protegidos pelo AD FS. Você também pode definir políticas de autenticação para aplicativos e serviços específicos (confianças de terceira parte confiável) protegidos pelo AD FS. A especificação de uma política de autenticação para um aplicativo específico (por confiança de terceira parte confiável) não substitui a política de autenticação global. Se a política de autenticação de confiança global ou por terceira parte confiável exigir MFA, a MFA será acionada quando o usuário tentar se autenticar nessa confiança de terceira parte confiável. A política de autenticação global é uma opção de recurso para confianças de terceiros (aplicações e serviços) que não têm uma política de autenticação específica configurada.

Uma política de autenticação global aplica-se a todas as partes confiáveis protegidas pelo AD FS. Você pode definir as seguintes configurações como parte da política de autenticação global:

As políticas de autenticação de confiança por terceira parte confiável aplicam-se especificamente às tentativas de acessar essa confiança de terceira parte confiável (aplicativo ou serviço). Você pode definir as seguintes configurações como parte da política de autenticação de confiança por terceira parte confiável:

  • Se os usuários são obrigados a fornecer suas credenciais sempre que entrarem

  • Configurações de MFA com base nos dados de localização de usuário/grupo, registro de dispositivo e solicitação de acesso

Métodos de autenticação primários e adicionais

Com o AD FS no Windows Server 2012 R2, além do mecanismo de autenticação principal, os administradores podem configurar métodos de autenticação adicionais. Os métodos de autenticação primária são internos e destinam-se a validar as identidades dos usuários. Você pode configurar fatores de autenticação adicionais para solicitar que mais informações sobre a identidade do usuário sejam fornecidas e, consequentemente, garantir uma autenticação mais forte.

Com a autenticação primária no AD FS no Windows Server 2012 R2, você tem as seguintes opções:

  • Para que os recursos publicados sejam acessados de fora da rede corporativa, a Autenticação de Formulários é selecionada por padrão. Além disso, você também pode habilitar a Autenticação de Certificado (em outras palavras, autenticação baseada em cartão inteligente ou autenticação de certificado de cliente de usuário que funciona com o AD DS).

  • Para recursos da intranet, a Autenticação do Windows é selecionada por padrão. Além disso, você também pode habilitar Formulários e/ou Autenticação de Certificado.

Ao selecionar mais de um método de autenticação, você permite que os usuários tenham uma escolha de qual método autenticar na página de entrada do seu aplicativo ou serviço.

Você também pode habilitar a autenticação de dispositivo para autenticação contínua de segundo fator. Isso vincula a identidade do usuário ao dispositivo registrado que é usado para acessar o recurso, oferecendo assim uma verificação de identidade composta mais segura antes que os recursos protegidos sejam acessados.

Observação

Para obter mais informações sobre o objeto de dispositivo, o Serviço de Registro de Dispositivo, a Ingressão no Local de Trabalho, e o dispositivo como autenticação contínua de segundo fator e SSO, consulte Ingressão no Local de Trabalho de qualquer dispositivo para SSO e autenticação contínua de segundo fator em aplicativos da empresa.

Se você especificar o método de Autenticação do Windows (opção padrão) para os recursos da intranet, as solicitações de autenticação passarão por esse método diretamente nos navegadores que oferecem suporte à autenticação do Windows.

Observação

A autenticação do Windows não é suportada em todos os navegadores. O mecanismo de autenticação no AD FS no Windows Server 2012 R2 deteta o agente de usuário do navegador do usuário e usa uma configuração configurável para determinar se esse agente de usuário oferece suporte à Autenticação do Windows. Os administradores podem adicionar a essa lista de agentes de usuário (por meio do comando Windows PowerShell Set-AdfsProperties -WIASupportedUserAgents , para especificar cadeias de caracteres de agente de usuário alternativas para navegadores que oferecem suporte à Autenticação do Windows. Se o agente de usuário do cliente não oferecer suporte à Autenticação do Windows, o método de fallback padrão será a Autenticação de Formulários.

Configurando o MFA

Há duas partes para configurar a MFA no AD FS no Windows Server 2012 R2: especificar as condições sob as quais a MFA é necessária e selecionar um método de autenticação adicional. Para obter mais informações sobre métodos de autenticação adicionais, consulte Configurar métodos de autenticação adicionais para AD FS.

Configurações de MFA

As seguintes opções estão disponíveis para configurações de MFA (condições sob as quais exigir MFA):

  • Você pode exigir MFA para usuários e grupos específicos no domínio do AD ao qual seu servidor de federação está associado.

  • Você pode exigir MFA para dispositivos registados (associados ao ambiente de trabalho) ou não registados (não associados ao ambiente de trabalho).

    O Windows Server 2012 R2 adota uma abordagem centrada no usuário para dispositivos modernos em que os objetos de dispositivo representam uma relação entre user@device e uma empresa. Os objetos de dispositivo são uma nova classe no AD no Windows Server 2012 R2 que pode ser usada para oferecer identidade composta ao fornecer acesso a aplicativos e serviços. Um novo componente do AD FS - o serviço de registro de dispositivo (DRS) - provisiona uma identidade de dispositivo no Ative Directory e define um certificado no dispositivo consumidor que será usado para representar a identidade do dispositivo. Em seguida, pode utilizar esta identidade de dispositivo para associar o seu dispositivo ao local de trabalho, isto é, ligar o seu dispositivo pessoal ao Active Directory do seu local de trabalho. Quando você associa seu dispositivo pessoal ao seu local de trabalho, ele se torna um dispositivo conhecido e fornecerá autenticação de segundo fator perfeita para recursos e aplicativos protegidos. Em outras palavras, depois que um dispositivo é associado ao local de trabalho, a identidade do usuário é vinculada a esse dispositivo e pode ser usada para uma verificação de identidade composta ininterrupta antes que um recurso protegido seja acessado.

    Para obter mais informações sobre ingresso e saída no local de trabalho, consulte Ingressar no local de trabalho a partir de qualquer dispositivo para SSO e Autenticação contínua de segundo fator em aplicativos da empresa.

  • Você pode exigir MFA quando a solicitação de acesso para os recursos protegidos vem da extranet ou da intranet.

Descrição geral do cenário

Nesse cenário, você habilita MFA com base nos dados de associação de grupo do usuário para um aplicativo específico. Em outras palavras, você configurará uma política de autenticação em seu servidor de federação para exigir MFA quando os usuários que pertencem a um determinado grupo solicitarem acesso a um aplicativo específico hospedado em um servidor Web.

Mais especificamente, nesse cenário, você habilita uma política de autenticação para um aplicativo de teste baseado em declarações chamado claimapp, em que um usuário do AD Robert Hatley precisará passar por MFA, uma vez que ele pertence a um grupo AD Finance.

As instruções passo a passo para configurar e verificar esse cenário são fornecidas no Guia passo a passo: Gerenciar riscos com autenticação multifator adicional para aplicativos confidenciais. Para concluir as etapas neste passo a passo, você deve configurar um ambiente de laboratório e seguir as etapas em Configurar ambiente de laboratório para AD FS no Windows Server 2012 R2.

Outros cenários de habilitação da MFA no AD FS incluem o seguinte:

  • Habilite o MFA, se a solicitação de acesso vier da extranet. Você pode modificar o código apresentado na seção "Configurar política de MFA" do Guia passo a passo: Gerencie riscos com autenticação multifator adicional para aplicativos confidenciais com o seguinte:

    'c:[type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn" );'

  • Ative a MFA, se a solicitação de acesso vier de um dispositivo que não está associado ao local de trabalho. Você pode modificar o código apresentado na seção "Configurar política de MFA" do Guia passo a passo: Gerencie riscos com autenticação multifator adicional para aplicativos confidenciais com o seguinte:

    'NOT EXISTS([type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid"]) => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'

  • Ative a MFA, se o acesso for proveniente de um utilizador com um dispositivo associado ao local de trabalho, mas que não está registado no nome deste utilizador. Você pode modificar o código apresentado na seção "Configurar política de MFA" do Guia passo a passo: Gerencie riscos com autenticação multifator adicional para aplicativos confidenciais com o seguinte:

    'c:[type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", value == "false"] => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'

Ver também

Guia passo a passo: Gerenciar riscos com autenticação multifator adicional para aplicativos confidenciaisConfigurar o ambiente de laboratório para AD FS no Windows Server 2012 R2