Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I den här guiden
Den här guiden innehåller följande information:
Autentiseringsmekanismer i AD FS – beskrivning av de autentiseringsmekanismer som är tillgängliga i Active Directory Federation Services (AD FS) i Windows Server 2012 R2
Scenarioöversikt – en beskrivning av ett scenario där du använder Active Directory Federation Services (AD FS) för att aktivera multifaktorautentisering (MFA) baserat på användarens gruppmedlemskap.
Anmärkning
I AD FS i Windows Server 2012 R2 kan du aktivera MFA baserat på nätverksplats, enhetsidentitet och användaridentitet eller gruppmedlemskap.
Detaljerade stegvisa anvisningar för hur du konfigurerar och verifierar det här scenariot finns i Genomgångsguide: Hantera risker med ytterligare multifaktorautentisering för känsliga program.
Nyckelbegrepp – Autentiseringsmekanismer i AD FS
Fördelar med autentiseringsmekanismer i AD FS
Active Directory Federation Services (AD FS) i Windows Server 2012 R2 ger IT-administratörer en rikare och mer flexibel uppsättning verktyg för att autentisera användare som vill komma åt företagsresurser. Det ger administratörer flexibel kontroll över de primära och ytterligare autentiseringsmetoderna, ger en omfattande hanteringsupplevelse för att konfigurera autentiseringsprinciper (både via användargränssnittet och Windows PowerShell) och förbättrar upplevelsen för slutanvändarna som har åtkomst till program och tjänster som skyddas av AD FS. Följande är några av fördelarna med att skydda program och tjänster med AD FS i Windows Server 2012 R2:
Global autentiseringsprincip – en central hanteringsfunktion där en IT-administratör kan välja vilka autentiseringsmetoder som ska användas för att autentisera användare baserat på den nätverksplats som de har åtkomst till skyddade resurser från. Detta gör det möjligt för administratörer att göra följande:
Ge mandat att använda säkrare autentiseringsmetoder för åtkomstbegäranden från extranätet.
Aktivera enhetsautentisering för sömlös andrafaktorautentisering. Detta kopplar användarens identitet till den registrerade enhet som används för att komma åt resursen, vilket ger säkrare sammansatt identitetsverifiering innan skyddade resurser används.
Anmärkning
Mer information om enhetsobjektet, enhetsregistreringstjänsten, anslutning till arbetsplats och enheten som sömlös andrafaktorautentisering och enkel inloggning finns i Ansluta till arbetsplats från valfri enhet för enkel inloggning och sömlös andrafaktorautentisering mellan företagsapplikationer.
Ange MFA-krav för all extranätsåtkomst eller villkorligt baserat på användarens identitet, nätverksplats eller en enhet som används för att komma åt skyddade resurser.
Större flexibilitet vid konfiguration av autentiseringsprinciper: du kan konfigurera anpassade autentiseringsprinciper för AD FS-skyddade resurser med varierande affärsvärden. Du kan till exempel kräva MFA för program med hög affärspåverkan.
Användarvänlighet: enkla och intuitiva hanteringsverktyg som DEN GUI-baserade MMC-snapin-modulen AD FS Management och Windows PowerShell-cmdletarna gör det möjligt för IT-administratörer att konfigurera autentiseringsprinciper relativt enkelt. Med Windows PowerShell kan du skripta dina lösningar för användning i stor skala och automatisera vardagliga administrativa uppgifter.
Större kontroll över företagstillgångar: eftersom du som administratör kan använda AD FS för att konfigurera en autentiseringsprincip som gäller för en specifik resurs har du större kontroll över hur företagsresurser skyddas. Program kan inte åsidosätta de autentiseringsprinciper som angetts av IT-administratörer. För känsliga program och tjänster kan du aktivera MFA-krav, enhetsautentisering och eventuellt ny autentisering varje gång resursen används.
Stöd för anpassade MFA-leverantörer: för organisationer som använder MFA-metoder från tredje part erbjuder AD FS möjligheten att införliva och använda dessa autentiseringsmetoder sömlöst.
Autentiseringsomfång
I AD FS i Windows Server 2012 R2 kan du ange en autentiseringsprincip i ett globalt omfång som gäller för alla program och tjänster som skyddas av AD FS. Du kan också ange autentiseringsprinciper för specifika program och tjänster (förlitande partförtroenden) som skyddas av AD FS. Att ange en autentiseringsprincip för ett visst program (för betrodda partens tillit) åsidosätter inte den globala autentiseringsprincipen. Om antingen en global eller specifik autentiseringspolicy för en förlitande part kräver MFA, utlöses MFA när användaren försöker autentisera sig mot denna förlitande part. Den globala autentiseringsprincipen är en reserv för förlitande partförtroenden (program och tjänster) som inte har en specifik autentiseringsprincip konfigurerad.
En global autentiseringsprincip gäller för alla förlitande parter som skyddas av AD FS. Du kan konfigurera följande inställningar som en del av den globala autentiseringsprincipen:
Autentiseringsmetoder som ska användas för primär autentisering
Inställningar och metoder för MFA
Om enhetsautentisering är aktiverat. Mer information finns i Anslut till arbetsplatsen från valfri enhet för enkel inloggning och sömlös tvåfaktorsautentisering i företagsprogram.
Autentiseringsprinciper per tillitsförhållande gäller specifikt för försök att komma åt den tillitsskapande parten (applikation eller tjänst). Du kan konfigurera följande inställningar som en del av autentiseringspolicyn för varje förlitande part:
Om användarna måste ange sina autentiseringsuppgifter varje gång de loggar in
MFA-inställningar baserat på användar-/grupp-, enhetsregistrerings- och åtkomstbegärandeplatsdata
Primära och ytterligare autentiseringsmetoder
Med AD FS i Windows Server 2012 R2 kan administratörer, förutom den primära autentiseringsmekanismen, konfigurera ytterligare autentiseringsmetoder. Primära autentiseringsmetoder är inbyggda och är avsedda att verifiera användarnas identiteter. Du kan konfigurera ytterligare autentiseringsfaktorer för att begära att mer information om användarens identitet tillhandahålls och därmed säkerställa starkare autentisering.
Med primär autentisering i AD FS i Windows Server 2012 R2 har du följande alternativ:
Formulärautentisering är valt som standard för att resurser som ska publiceras ska kommas åt utanför företagsnätverket. Dessutom kan du även aktivera certifikatautentisering (med andra ord smartkortsbaserad autentisering eller autentisering med användarklientcertifikat som fungerar med AD DS).
För intranätresurser är Windows-autentisering valt som standard. Dessutom kan du aktivera formulär och/eller certifikatautentisering.
Genom att välja mer än en autentiseringsmetod gör du det möjligt för användarna att välja vilken metod som ska autentiseras med på inloggningssidan för ditt program eller din tjänst.
Du kan också aktivera enhetsautentisering för sömlös andrafaktorautentisering. Detta kopplar användarens identitet till den registrerade enhet som används för att komma åt resursen, vilket ger säkrare sammansatt identitetsverifiering innan skyddade resurser används.
Anmärkning
Mer information om enhetsobjektet, enhetsregistreringstjänsten, anslutning till arbetsplats och enheten som sömlös andrafaktorautentisering och enkel inloggning finns i Ansluta till arbetsplats från valfri enhet för enkel inloggning och sömlös andrafaktorautentisering mellan företagsapplikationer.
Om du anger Windows-autentiseringsmetod (standardalternativ) för dina intranätresurser genomgår autentiseringsbegäranden den här metoden sömlöst i webbläsare som stöder Windows-autentisering.
Anmärkning
Windows-autentisering stöds inte i alla webbläsare. Autentiseringsmekanismen i AD FS i Windows Server 2012 R2 identifierar användarens webbläsaranvändaragent och använder en konfigurerbar inställning för att avgöra om användaragenten stöder Windows-autentisering. Administratörer kan lägga till i den här listan över användaragenter (via Windows PowerShell-kommandot Set-AdfsProperties -WIASupportedUserAgents för att ange alternativa användaragentsträngar för webbläsare som stöder Windows-autentisering. Om klientens användaragent inte stöder Windows-autentisering är standardåterställningsmetoden formulärautentisering.
Konfigurera MFA
Det finns två delar för att konfigurera MFA i AD FS i Windows Server 2012 R2: ange de villkor under vilka MFA krävs och välja ytterligare en autentiseringsmetod. Mer information om ytterligare autentiseringsmetoder finns i Konfigurera ytterligare autentiseringsmetoder för AD FS.
MFA-inställningar
Följande alternativ är tillgängliga för MFA-inställningar (villkor som kräver MFA):
Du kan kräva MFA för specifika användare och grupper i AD-domänen som federationsservern är ansluten till.
Du kan kräva MFA för antingen registrerade (arbetsplatskopplade) eller oregistrerade (inte arbetsplatskopplade) enheter.
Windows Server 2012 R2 har en användarcentrerad metod för moderna enheter där enhetsobjekt representerar en relation mellan user@device och ett företag. Enhetsobjekt är en ny klass i AD i Windows Server 2012 R2 som kan användas för att erbjuda sammansatt identitet när du ger åtkomst till program och tjänster. En ny komponent i AD FS – enhetsregistreringstjänsten (DRS) – etablerar en enhetsidentitet i Active Directory och anger ett certifikat på konsumentenheten som ska användas för att representera enhetsidentiteten. Du kan sedan använda den här enhetsidentiteten för att ansluta enheten till arbetsplatsen, med andra ord för att ansluta din personliga enhet till Active Directory på din arbetsplats. När du ansluter din personliga enhet till din arbetsplats blir den en känd enhet och ger sömlös andrafaktorautentisering till skyddade resurser och program. Med andra ord är användarens identitet kopplad till den här enheten när en enhet är ansluten till arbetsplatsen och kan användas för en sömlös sammansatt identitetsverifiering innan en skyddad resurs nås.
Mer information om anslutning till och frånkoppling från arbetsplats finns i Ansluta till arbetsplats från valfri enhet för enkelt inloggningssystem (SSO) och sömlös tvåfaktorsautentisering i företagets program.
Du kan kräva MFA när åtkomstbegäran för de skyddade resurserna kommer från antingen extranätet eller intranätet.
Scenarioöversikt
I det här scenariot aktiverar du MFA baserat på användarens gruppmedlemskapsdata för ett visst program. Med andra ord konfigurerar du en autentiseringsprincip på federationsservern för att kräva MFA när användare som tillhör en viss grupp begär åtkomst till ett visst program som finns på en webbserver.
Mer specifikt aktiverar du i det här scenariot en autentiseringsprincip för ett anspråksbaserat testprogram som kallas claimapp, där en AD-användare Robert Hatley måste genomgå MFA eftersom han tillhör en AD-grupp Finance.
Stegvisa instruktioner för att konfigurera och verifiera det här scenariot finns i genomgångsguiden: Hantera risker med ytterligare multifaktorautentisering för känsliga program. För att kunna slutföra stegen i den här genomgången måste du konfigurera en labbmiljö och följa stegen i Konfigurera labbmiljön för AD FS i Windows Server 2012 R2.
Andra scenarier för att aktivera MFA i AD FS är följande:
Aktivera MFA om åtkomstbegäran kommer från extranätet. Du kan ändra koden som visas i avsnittet "Konfigurera MFA-princip" i genomgångsguiden: Hantera risker med ytterligare multifaktorautentisering för känsliga program med följande:
'c:[type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn" );'Aktivera MFA om åtkomstbegäran kommer från en enhet som inte är ansluten till arbetsplatsen. Du kan ändra koden som visas i avsnittet "Konfigurera MFA-princip" i genomgångsguiden: Hantera risker med ytterligare multifaktorautentisering för känsliga program med följande:
'NOT EXISTS([type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid"]) => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'Aktivera MFA om åtkomsten kommer från en användare med en enhet som är arbetsplatsansluten men inte registrerad för den här användaren. Du kan ändra koden som visas i avsnittet "Konfigurera MFA-princip" i genomgångsguiden: Hantera risker med ytterligare multifaktorautentisering för känsliga program med följande:
'c:[type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", value == "false"] => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'
Se även
Genomgångsguide: Hantera risker med ytterligare multifaktorautentisering för känsliga programKonfigurera labbmiljön för AD FS i Windows Server 2012 R2