識別您的 AD FS 部署目標
正確識別 Active Directory 同盟服務 (AD FS) 部署目標,對於 AD FS 設計專案的成功至關重要。 設定優先順序,以及 (可能的話) 合併部署目標,讓您能夠使用反覆處理方法來設計和部署 AD FS。 您可以利用現有、已記錄,以及預先定義的 AD FS 部署目標 (與 AD FS 相關),針對您的情況設計與開發有效的解決方案。
舊版 AD FS 是最常部署的版本,可達到下列目標:
當您的員工或客戶在您的企業中存取宣告式應用程式時,提供他們 Web 式 SSO 的體驗。
當您的員工或客戶在任何同盟協力廠商組織中存取資源時,提供他們 Web 式 SSO 的體驗。
當您的員工或客戶遠端存取內部主控的網站或服務時,提供他們 Web 式 SSO 的體驗。
當您的員工或客戶存取雲端中的資源或服務時,提供他們 Web 式 SSO 的體驗。
除了這些以外,Windows Server® 2012 R2 中的 AD FS 也會新增可協助您達成下列目標的功能:
針對 SSO 加入裝置工作地點和無縫式次要因素驗證。 這可讓組織允許從使用者的個人裝置存取,並在提供此存取權時管理風險。
使用多因素存取控制管理風險。 AD FS 提供豐富層級的授權,控制誰可以存取哪些應用程式。 這可以根據使用者屬性 (UPN、電子郵件、安全性群組成員資格、驗證強度等等)、裝置屬性 (無論裝置是否加入工作地點) 或要求屬性 (網路位置、IP 位址或使用者代理程式)。
透過其他多因素驗證管理機密應用程式的風險。 AD FS 可讓您控制原則,以潛在要求以全域或以每個應用程式為基礎的多因素驗證。 此外,AD FS 為任何多因素廠商提供擴充點,針對使用者安全、順暢的多因素體驗進行深度整合。
提供驗證和授權功能,以從 Web 應用程式 Proxy 所保護的外部網路存取 Web 資源。
總結來說,您可以部署 Windows Server 2012 R2 中的 AD FS,以在組織中達成下列目標:
讓使用者能夠從任何位置存取其個人裝置上的資源
工作地點加入可以讓使用者將其個人裝置加入公司 Active Directory,因而在從這些裝置存取公司資源時獲得存取權和順暢的體驗。
預先驗證 Web 應用程式 Proxy 保護的公司網路內部的資源,以及從網際網路存取。
密碼變更可以讓使用者在密碼到期時從已加入工作地點的任何裝置變更其密碼,以便能夠繼續存取資源。
加強風險管理工具的存取控制
管理風險是每個 IT 組織中監管和法務遵循的重要層面。 Windows Server® 2012 R2 的 AD FS 中提供許多存取控制風險管理增強功能,包括下列幾項:
在使用者存取受 AD FS 保護的應用程式時,依據網路位置管理使用者驗證方式的彈性化控制項。
彈性化原則,可依據使用者的資料、裝置資料及網路位置,判斷使用者是否需要執行多重要素驗證。
忽略 SSO 並強制使用者在每次存取機密的應用程式時提供認證的針對應用程式控制項。
以使用者資料、裝置資料或網路位置為依據的彈性化針對應用程式存取原則。
可讓系統管理員保護 Active Directory 帳戶避免受到來自網際網路之暴力密碼破解攻擊的 AD FS 外部網路鎖定。
Active Directory 中已停用或已刪除之已加入工作地點裝置的存取權撤銷。
使用 AD FS 來增強登入體驗
以下是 Windows Server® 2012 R2 中的新 AD FS 功能,可以讓系統管理員自訂及增強登入體驗:
整合 AD FS 服務的自訂,只要進行一次變更,然後就會自動傳播到指定伺服器陣列中其餘的 AD FS 同盟伺服器。
更新的登入頁面,外觀呈現現代化並且自動迎合不同的板型規格。
支援針對未加入公司網域但仍然使用以從公司網路 (內部網路) 內產生存取要求的裝置,自動遞補表單型驗證。
簡單的控制項,以自訂公司標誌、繪圖影像、IT 支援、首頁、隱私權的標準連結等等。
登入頁面中描述訊息的自訂。
Web 佈景主題的自訂。
首頁領域探索 (HRD) 是根據公司夥伴的增強隱私權之使用者的組織後置詞。
HRD 會以每個應用程式為基礎進行篩選,根據應用程式自動挑選領域。
讓 IT 疑難排解更容易的單鍵錯誤報告。
可自訂錯誤訊息。
有一個以上的驗證提供者可用時的使用者驗證選項。