Определение целей развертывания AD FS
Правильное определение целей развертывания служб федерации Active Directory (AD FS) является важным для успешного выполнения проекта разработки AD FS. Определите приоритеты и, возможно, объедините цели развертывания, чтобы можно было разработать и развернуть AD FS с помощью итеративного подхода. Вы можете воспользоваться существующими, документированных и предопределенными целями развертывания AD FS, которые относятся к проектированию AD FS и разработке рабочего решения для вашей ситуации.
Предыдущие версии AD FS чаще всего развертываются для достижения следующих целей:
Предоставление сотрудникам или клиентам веб-интерфейса единого входа при доступе к приложениям на основе утверждений в вашей организации.
Предоставление вашим сотрудникам или клиентам веб-ориентированного опыта единого входа (SSO) для доступа к ресурсам в любой партнерской организации федерации.
Предоставление сотрудникам или клиентам веб-ориентированного интерфейса с единой системой входа для удаленного доступа к внутренним веб-сайтам или сервисам.
Предоставление сотрудникам или клиентам веб-интерфейса с единой точкой входа при доступе к ресурсам или службам в облаке.
В дополнение к этим службам AD FS в Windows Server® 2012 R2 добавляет функции, которые помогут вам достичь следующих возможностей:
Присоединение устройства к рабочей среде для единого входа и бесшовной двухфакторной аутентификации. Это позволяет организациям разрешать доступ с личных устройств пользователей и управлять риском при предоставлении этого доступа.
Управление рисками с помощью многофакторного контроля доступа. AD FS предоставляет широкий уровень авторизации, который управляет доступом к каким приложениям. Это может быть основано на атрибутах пользователя (UPN, электронной почты, членстве в группе безопасности, силе проверки подлинности и т. д.), атрибутах устройства (присоединении к рабочему месту) или атрибутах запроса (сетевое расположение, IP-адрес или агент пользователя).
Управление рисками с помощью дополнительной многофакторной проверки подлинности для конфиденциальных приложений. AD FS позволяет управлять политиками, которые потенциально требуют многофакторной проверки подлинности глобально или на основе каждого приложения. Кроме того, AD FS предоставляет точки расширяемости для любого поставщика многофакторной поддержки для глубокой интеграции для безопасного и простого многофакторного взаимодействия для конечных пользователей.
Предоставление возможностей проверки подлинности и авторизации для доступа к веб-ресурсам из экстрасети, защищенной прокси-сервером веб-приложения.
Вкратце, AD FS в Windows Server 2012 R2 можно развернуть для достижения следующих целей в вашей организации:
Предоставление пользователям доступа к ресурсам на личных устройствах из любого места
Присоединение к рабочему месту, которое позволяет пользователям подключать свои личные устройства к корпоративной Active Directory и, в результате, получать беспрепятственный доступ и комфортный опыт работы с корпоративными ресурсами с этих устройств.
Предварительная проверка подлинности ресурсов в корпоративной сети, защищенных прокси-сервером веб-приложения и доступом из Интернета.
Изменение пароля, чтобы пользователи могли изменять пароль с любого устройства, присоединенного к рабочему месту, когда срок действия пароля истек, чтобы они могли продолжать получать доступ к ресурсам.
Улучшение средств управления рисками для управления доступом
Управление риском является важным аспектом управления и соответствия в каждой ИТ-организации. В Windows Server® 2012 R2 в AD FS существуют многочисленные улучшения управления рисками контроля доступа, в том числе следующие:
Гибкие элементы управления на основе сетевого расположения для управления проверкой подлинности пользователя для доступа к защищенному приложению AD FS.
Гибкая политика, чтобы определить, требуется ли пользователю выполнять многофакторную проверку подлинности на основе данных пользователя, данных устройства и сетевого расположения.
Управление для каждого приложения, чтобы игнорировать единый вход и принудить пользователя предоставлять учетные данные каждый раз, когда он обращается к чувствительному приложению.
Гибкая политика доступа для каждого приложения на основе пользовательских данных, данных устройства или сетевого расположения.
Блокировка AD FS для внешней сети, которая позволяет администраторам защищать учетные записи Active Directory от атак методом перебора с Интернета.
Отзыв доступа для любого устройства, присоединённого к рабочему месту, которое отключено или удалено в Active Directory.
Использование AD FS для улучшения возможностей входа
Ниже приведены новые возможности AD FS в Windows Server® 2012 R2, позволяющие администратору настраивать и улучшать возможности входа.
Единая настройка службы AD FS, в которой изменения вносятся один раз, а затем автоматически распространяется на остальные серверы федерации AD FS в данной ферме.
Обновленные страницы входа, которые выглядят современными и обслуживают различные форм-факторы автоматически.
Поддержка автоматического переключения на проверку подлинности на основе форм для устройств, которые не присоединены к корпоративному домену, но по-прежнему используются для создания запросов на доступ из корпоративной сети (интрасети).
Простые элементы управления для настройки логотипа компании, изображения иллюстрации, стандартные ссылки для ИТ-поддержки, домашней страницы, конфиденциальности и т. д.
Настройка описательных сообщений на страницах входа.
Настройка веб-тем.
Обнаружение домашней области (HRD) на основе суффикса организации пользователя для повышения конфиденциальности партнеров компании.
Фильтрация HRD на основе каждого приложения для автоматического выбора области на основе приложения.
Одним щелчком сообщайте об ошибках для упрощения устранения неполадок в ИТ.
Настраиваемые сообщения об ошибках.
Выбор проверки подлинности пользователей при наличии нескольких поставщиков проверки подлинности.
См. также
Руководство по проектированию AD FS в Windows Server 2012 R2