Элементы управления проверкой подлинности устройств в AD FS
В следующем документе показано, как включить элементы управления проверкой подлинности устройств в Windows Server 2016 и 2012 R2.
Элементы управления аутентификацией устройств в AD FS 2012 R2
Первоначально в AD FS 2012 R2 существовало одно глобальное свойство проверки подлинности, называемое DeviceAuthenticationEnabled контролируемым проверкой подлинности устройства.
Чтобы настроить параметр, Set-AdfsGlobalAuthenticationPolicy командлет использовался, как показано ниже:
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true
Чтобы отключить проверку подлинности устройства, этот же командлет использовался для задания значения $false.
Элементы управления аутентификацией устройств в AD FS 2016
Единственный тип проверки подлинности устройства, поддерживаемый в 2012 R2, — clientTLS. В AD FS 2016 помимо clientTLS существуют два новых типа проверки подлинности устройств для современных устройств. К ним относятся:
- PKeyAuth
- PRT
Для управления новым поведением DeviceAuthenticationEnabled свойство используется в сочетании с новым свойством DeviceAuthenticationMethod.
Метод проверки подлинности устройства определяет тип проверки подлинности устройства, который будет выполнен: PRT, PKeyAuth, clientTLS или некоторое сочетание. Он имеет следующие значения:
- SignedToken: только PRT
- PKeyAuth: PRT + PKeyAuth
- ClientTLS: PRT + clientTLS
- Все: все перечисленные выше
Как видно, PRT является частью всех методов проверки подлинности устройства, что делает его фактически методом по умолчанию, который всегда включен, если DeviceAuthenticationEnabled задано значение $true.
Пример. Чтобы настроить методы, используйте командлет DeviceAuthenticationEnabled, как описано выше, а также новое свойство:
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true
Примечание.
В AD FS 2019 DeviceAuthenticationMethod можно использовать с командой Set-AdfsRelyingPartyTrust .
PS:\>Set-AdfsRelyingPartyTrust -DeviceAuthenticationMethod ClientTLS
Примечание.
Включение проверки подлинности устройства (значение параметра DeviceAuthenticationEnabled $true) означает DeviceAuthenticationMethod , что неявно задано SignedTokenзначение , которое равно PRT.
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationMethod All
Примечание.
По умолчанию используется SignedTokenметод проверки подлинности устройства. Другие значения: PKeyAuth, ClientTLS и All.
Значения значений DeviceAuthenticationMethod немного изменились с момента выпуска AD FS 2016. В таблице ниже приведены значения каждого значения в зависимости от уровня обновления:
| Версия AD FS | Значение DeviceAuthenticationMethod | Означает |
|---|---|---|
| 2016 RTM | SignedToken | PRT + PkeyAuth |
| clientTLS | clientTLS | |
| Все | PRT + PkeyAuth + clientTLS | |
| 2016 RTM + актуально с Обновл. Windows | SignedToken (изменено значение) | PRT (только) |
| PkeyAuth (new) | PRT + PkeyAuth | |
| clientTLS | PRT + clientTLS | |
| Все | PRT + PkeyAuth + clientTLS |