AD FS 中的设备身份验证控件
以下文档演示如何在 Windows Server 2016 和 2012 R2 中启用设备身份验证控制。
AD FS 2012 R2 中的设备身份验证控件
最初在 AD FS 2012 R2 中,有一个名为 DeviceAuthenticationEnabled 的全局身份验证属性控制设备身份验证。
为了配置该设置,使用了 Set-AdfsGlobalAuthenticationPolicy cmdlet,如下所示:
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true
为了禁用设备身份验证,使用了相同的 cmdlet 将值设置为 $false。
AD FS 2016 中的设备身份验证控件
2012 R2 中支持的唯一设备身份验证类型是 clientTLS。 在 AD FS 2016 中,除了 clientTLS 之外,还有两种用于新式设备身份验证的新型设备身份验证。 它们是:
- PKeyAuth
- PRT
若要控制新行为,请将 DeviceAuthenticationEnabled 属性与名为 DeviceAuthenticationMethod 的新属性结合使用。
设备身份验证方法确定要完成的设备身份验证类型:PRT、PKeyAuth、clientTLS 或某种组合。 它具有以下值:
- SignedToken:仅限 PRT
- PKeyAuth:PRT + PKeyAuth
- ClientTLS:PRT + clientTLS
- All:上述全部
如你所见,PRT 是所有设备身份验证方法的一部分,因此它实际上是在 DeviceAuthenticationEnabled 设置为 $true 时始终启用的默认方法。
示例:若要配置方法,请使用上述 DeviceAuthenticationEnabled cmdlet 以及新属性:
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true
注意
在 AD FS 2019 中,DeviceAuthenticationMethod 可与 Set-AdfsRelyingPartyTrust 命令一起使用。
PS:\>Set-AdfsRelyingPartyTrust -DeviceAuthenticationMethod ClientTLS
注意
启用设备身份验证(将 DeviceAuthenticationEnabled 设置为 $true)意味着 DeviceAuthenticationMethod 隐式设置为 SignedToken,这等同于 PRT。
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationMethod All
注意
默认设备身份验证方法是 SignedToken。 其他值为 PKeyAuth、ClientTLS 和 All。
自发布 AD FS 2016 以来,DeviceAuthenticationMethod 值的含义略有变化。 请参阅下表,了解每个值的含义(具体取决于更新级别):
| AD FS 版本 | DeviceAuthenticationMethod 值 | 含义 |
|---|---|---|
| 2016 RTM | SignedToken | PRT + PkeyAuth |
| clientTLS | clientTLS | |
| 全部 | PRT + PkeyAuth + clientTLS | |
| 2016 RTM + 使用 Windows 更新保持最新 | SignedToken(含义更改) | PRT(仅限) |
| PkeyAuth(新) | PRT + PkeyAuth | |
| clientTLS | PRT + clientTLS | |
| 全部 | PRT + PkeyAuth + clientTLS |