Поделиться через

Управление рисками с помощью дополнительной многофакторной идентификации для конфиденциальных приложений

В этом руководстве

В этом руководстве приведены следующие сведения:

Основные понятия — механизмы проверки подлинности в AD FS

Преимущества механизмов проверки подлинности в AD FS

Службы федерации Active Directory (AD FS) в Windows Server 2012 R2 предоставляют ИТ-администраторам более широкий, более гибкий набор средств для проверки подлинности пользователей, желающих получить доступ к корпоративным ресурсам. Он предоставляет администраторам гибкий контроль над основными и дополнительными методами проверки подлинности, предоставляет широкий интерфейс управления для настройки полиции проверки подлинности (как через пользовательский интерфейс, так и Windows PowerShell), а также улучшает возможности для конечных пользователей, обращаюющихся к приложениям и службам, защищенным AD FS. Ниже приведены некоторые преимущества защиты приложений и служб с помощью AD FS в Windows Server 2012 R2:

  • Глобальная политика проверки подлинности — центральная возможность управления, из которой ИТ-администратор может выбрать, какие методы проверки подлинности используются для проверки подлинности пользователей в зависимости от сетевого расположения, из которого они получают доступ к защищенным ресурсам. Это позволяет администраторам выполнять следующие действия:

    • Обязательно используйте более безопасные методы проверки подлинности для запросов доступа из экстрасети.

    • Включите аутентификацию устройства для бесшовной вторичной аутентификации. Это связывает удостоверение пользователя с зарегистрированным устройством, которое используется для доступа к ресурсу, таким образом предлагая более безопасную проверку составных удостоверений перед доступом к защищенным ресурсам.

      Примечание.

      Дополнительные сведения об объекте устройства, службе регистрации устройств, функции присоединения к рабочему месту и использовании устройства в качестве бесперебойного второго фактора аутентификации и SSO см. в разделе Присоединение к рабочему месту с любого устройства для SSO и бесперебойного второго фактора аутентификации в приложениях компании.

    • Установите требование MFA для доступа ко всем экстрасетям или на условной основе, учитывая удостоверение пользователя, сетевое расположение или устройство, используемое для доступа к защищенным ресурсам.

  • Большую гибкость при настройке политик проверки подлинности: можно настроить пользовательские политики проверки подлинности для ресурсов, защищенных AD FS, с различными бизнес-значениями. Например, для приложений с высоким влиянием на бизнес можно требовать многофакторную проверку подлинности.

  • Простота использования: простые и интуитивно понятные средства управления, такие как оснастка управления MMC на основе графического интерфейса AD FS и командлеты Windows PowerShell, позволяют ИТ-администраторам настраивать политики проверки подлинности с относительной легкостью. С помощью Windows PowerShell вы можете выполнять скрипты решений для использования в большом масштабе и автоматизировать повседневные административные задачи.

  • Более высокий контроль над корпоративными ресурсами: так как администратор может использовать AD FS для настройки политики проверки подлинности, которая применяется к определенному ресурсу, у вас больше контроля над безопасностью корпоративных ресурсов. Приложения не могут переопределить политики проверки подлинности, указанные ИТ-администраторами. Для конфиденциальных приложений и служб можно включить требование MFA, проверку подлинности устройства и при необходимости новую проверку подлинности при каждом доступе к ресурсу.

  • Поддержка пользовательских поставщиков MFA: для организаций, использующих внешние MFA методы, AD FS предлагает возможность беспрепятственно интегрировать и применять эти методы аутентификации.

Область проверки подлинности

В AD FS в Windows Server 2012 R2 можно указать политику проверки подлинности в глобальной области, применимой ко всем приложениям и службам, защищенным AD FS. Вы также можете задать политики проверки подлинности для определенных приложений и служб (доверия проверяющей стороны), защищенных AD FS. Указание политики аутентификации для конкретного приложения (для каждой доверенной стороны) не отменяет глобальную политику аутентификации. Если для глобальной либо локальной политики аутентификации доверия предоставленного стороной требуется многофакторная аутентификация, она будет активирована при попытке пользователя аутентифицироваться с этим доверием. Глобальная политика проверки подлинности является резервным вариантом для доверительных отношений полагающейся стороны (приложений и служб), которые не имеют настроенной определенной политики проверки подлинности.

Глобальная политика проверки подлинности применяется ко всем проверяющим сторонам, защищенным AD FS. В рамках глобальной политики проверки подлинности можно настроить следующие параметры:

Политики аутентификации доверия, применяемые к доверяющей стороне, предназначены специально для попыток доступа к этой доверяющей стороне (приложению или службе). В рамках политики аутентификации доверия полагающейся стороны можно настроить следующие параметры:

  • Должны ли пользователи предоставлять свои учетные данные при каждом входе.

  • Настройки MFA на основе данных о пользователе/группе, регистрации устройства и месте запроса доступа.

Основные и дополнительные методы проверки подлинности

С помощью AD FS в Windows Server 2012 R2 в дополнение к основному механизму проверки подлинности администраторы могут настроить дополнительные методы проверки подлинности. Основные методы проверки подлинности являются встроенными и предназначены для проверки удостоверений пользователей. Вы можете настроить дополнительные факторы проверки подлинности, чтобы запросить дополнительные сведения о удостоверении пользователя и обеспечить более надежную проверку подлинности.

При первичной проверке подлинности в AD FS в Windows Server 2012 R2 доступны следующие параметры:

  • Для доступа к ресурсам, опубликованным за пределами корпоративной сети, по умолчанию выбрана проверка подлинности форм. Кроме того, можно также включить проверку подлинности сертификатов (другими словами, проверку подлинности на основе смарт-карт или проверку подлинности сертификата клиента пользователя, которая работает с AD DS).

  • Для ресурсов интрасети проверка подлинности Windows выбрана по умолчанию. Кроме того, можно включить формы и (или) проверку подлинности на основе сертификатов.

Выбрав несколько методов проверки подлинности, пользователи могут выбрать способ проверки подлинности на странице входа в приложение или службу.

Вы также можете включить аутентификацию устройства для беспрепятственной проверки второго фактора. Это связывает удостоверение пользователя с зарегистрированным устройством, которое используется для доступа к ресурсу, таким образом предлагая более безопасную проверку составных удостоверений перед доступом к защищенным ресурсам.

Примечание.

Дополнительные сведения об объекте устройства, службе регистрации устройств, функции присоединения к рабочему месту и использовании устройства в качестве бесперебойного второго фактора аутентификации и SSO см. в разделе Присоединение к рабочему месту с любого устройства для SSO и бесперебойного второго фактора аутентификации в приложениях компании.

Если вы указали метод проверки подлинности Windows (параметр по умолчанию) для ресурсов интрасети, запросы проверки подлинности проходят этот метод без проблем в браузерах, поддерживающих проверку подлинности Windows.

Примечание.

Проверка подлинности Windows не поддерживается во всех браузерах. Механизм проверки подлинности в AD FS в Windows Server 2012 R2 обнаруживает агент пользователя браузера и использует настраиваемый параметр, чтобы определить, поддерживает ли этот агент проверку подлинности Windows. Администраторы могут добавлять в этот список агентов пользователей (с помощью команды Windows PowerShell Set-AdfsProperties -WIASupportedUserAgents, чтобы указать альтернативные строки агента пользователя для браузеров, поддерживающих проверку подлинности Windows. Если агент пользователя клиента не поддерживает проверку подлинности Windows, по умолчанию используется резервный метод проверки подлинности форм.

Настройка MFA

В Windows Server 2012 R2 можно настроить MFA в AD FS: указать условия, в которых требуется MFA, и выбрать дополнительный метод проверки подлинности. Дополнительные сведения о дополнительных методах проверки подлинности см. в настройке дополнительных методов проверки подлинности для AD FS.

настройки MFA

Для параметров MFA доступны следующие параметры (условия, в которых требуется MFA):

  • Можно требовать многофакторную проверку подлинности для определенных пользователей и групп в домене AD, к которому присоединен ваш сервер федерации.

  • Можно требовать многофакторную аутентификацию для зарегистрированных (присоединенных к рабочему месту) или незарегистрированных (не присоединенных к рабочему месту) устройств.

    Windows Server 2012 R2 использует пользовательский подход к современным устройствам, где объекты устройств представляют связь между user@device и компанией. Объекты устройств — это новый класс в AD в Windows Server 2012 R2, который используется для создания комплексной идентификации при предоставлении доступа к приложениям и службам. Новый компонент AD FS — служба регистрации устройств (DRS) — подготавливает удостоверение устройства в Active Directory и задает сертификат на потребительском устройстве, который будет использоваться для представления удостоверения устройства. Затем вы можете использовать это удостоверение устройства для присоединения устройства к рабочему месту, другими словами, для подключения личного устройства к Active Directory вашего рабочего места. Когда ваше личное устройство подключается к рабочей среде, оно становится известным устройством и обеспечивает беспрепятственную двухфакторную аутентификацию для защищенных ресурсов и приложений. Другими словами, после присоединения устройства к рабочему месту идентичность пользователя привязывается к этому устройству и может использоваться для упрощенной проверки составных идентичностей перед доступом к защищенному ресурсу.

    Дополнительные сведения о присоединении к рабочему месту и выходе см. в разделе Присоединение к рабочему месту с любого устройства для SSO и бесшовной двухфакторной аутентификации в корпоративных приложениях.

  • Вы можете требовать многофакторную проверку подлинности, если запрос доступа к защищенным ресурсам поступает из экстрасети или интрасети.

Обзор сценария

В этом сценарии можно включить MFA на основе данных членства в группе пользователя для конкретного приложения. Другими словами, вы настроите политику проверки подлинности на сервере федерации, чтобы требовать многофакторную проверку подлинности, если пользователи, принадлежащие определенной группе, запрашивают доступ к конкретному приложению, размещенном на веб-сервере.

В этом сценарии вы включаете политику аутентификации для тестового приложения на основе заявок, называемого claimapp, где пользователю AD Роберт Хатли потребуется пройти многофакторную аутентификацию, так как он принадлежит к группе AD Finance.

Пошаговые инструкции по настройке и проверке этого сценария приведены в пошаговом руководстве. Управление рисками с помощью дополнительной многофакторной проверки подлинности для конфиденциальных приложений. Чтобы выполнить действия, описанные в этом пошаговом руководстве, необходимо настроить среду лаборатории и выполнить действия, описанные в настройка лабораторной среды для AD FS в Windows Server 2012 R2.

К другим сценариям включения MFA в AD FS относятся следующие:

См. также

пошаговое руководство. Управление рисками с помощью дополнительной многофакторной проверки подлинности для конфиденциальных приложенийнастройка лабораторной среды для AD FS в Windows Server 2012 R2