Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Nastavení testovacího prostředí pro službu AD FS ve Windows Serveru 2012 R2
Průvodce návodem: Správa rizik pomocí dodatečného vícefaktorového ověřování citlivých aplikací
V tomto průvodci
Tato příručka obsahuje následující informace:
mechanismy ověřování ve službě AD FS – popis mechanismů ověřování dostupných ve službě Active Directory Federation Services (AD FS) ve Windows Serveru 2012 R2
Scénář – přehled – popis scénáře, ve kterém pomocí služby Active Directory Federation Services (AD FS) povolíte vícefaktorové ověřování (MFA) na základě členství ve skupině uživatele.
Poznámka:
Ve službě AD FS ve Windows Serveru 2012 R2 můžete povolit vícefaktorové ověřování na základě síťového umístění, identity zařízení a identity uživatele nebo členství ve skupině.
Podrobné pokyny k podrobnému návodu pro konfiguraci a ověření tohoto scénáře najdete v návodu: Správa rizik pomocí dodatečného vícefaktorového ověřování citlivých aplikací.
Klíčové koncepty – Mechanismy ověřování ve službě AD FS
Výhody mechanismů ověřování ve službě AD FS
Služba AD FS (Active Directory Federation Services) ve Windows Serveru 2012 R2 poskytuje správcům IT bohatší a flexibilnější sadu nástrojů pro ověřování uživatelů, kteří chtějí získat přístup k podnikovým prostředkům. Umožňuje správcům flexibilní kontrolu nad primárními a dalšími metodami ověřování, poskytuje bohaté prostředí pro správu pro konfiguraci zásad ověřování (jak prostřednictvím uživatelského rozhraní, tak windows PowerShellu) a vylepšuje prostředí pro koncové uživatele, kteří přistupují k aplikacím a službám zabezpečeným službou AD FS. Tady jsou některé výhody zabezpečení aplikací a služeb se službou AD FS ve Windows Serveru 2012 R2:
Globální zásady ověřování – funkce centrální správy, ze které může správce IT zvolit, jaké metody ověřování se používají k ověřování uživatelů na základě síťového umístění, ze kterého přistupují k chráněným prostředkům. Správci tak můžou provádět následující akce:
Nařizujte použití bezpečnějších metod ověřování pro žádosti o přístup z extranetu.
Povolte ověřování zařízení pro bezproblémové dvojúrovňové ověřování. Tím se identita uživatele prováže s registrovaným zařízením, které se používá pro přístup k prostředkům, a tím poskytuje bezpečnější komplexní ověření identity před přístupem k chráněným prostředkům.
Poznámka:
Další informace o objektu zařízení, službě Device Registration Service, připojení k pracovišti a zařízení jako bezproblémovém dvoufaktorovém ověřování a jednotném přihlašování najdete v tématu Připojení k pracovišti z jakéhokoli zařízení pro jednotné přihlašování a bezproblémové dvoufaktorové ověřování napříč firemními aplikacemi.
Nastavte požadavek vícefaktorového ověřování pro veškerý přístup k extranetu nebo podmíněně na základě identity uživatele, síťového umístění nebo zařízení, které se používá pro přístup k chráněným prostředkům.
Větší flexibilita při konfiguraci zásad ověřování: Můžete nakonfigurovat vlastní zásady ověřování pro prostředky zabezpečené službou AD FS s různými obchodními hodnotami. Pro aplikaci s vysokým obchodním dopadem můžete například vyžadovat vícefaktorové ověřování.
Snadné použití: jednoduché a intuitivní nástroje, jako je modul snap-in konzoly MMC pro správu AD FS založený na grafickém uživatelském rozhraní, a rutiny Windows PowerShell umožňují správcům IT konfigurovat zásady ověřování poměrně snadno. Pomocí Windows PowerShellu můžete skriptovat svá řešení pro použití ve velkém měřítku a automatizovat běžné úlohy správy.
Větší kontrola nad podnikovými prostředky: protože jako správce můžete pomocí služby AD FS nakonfigurovat zásady ověřování, které platí pro konkrétní prostředek, máte větší kontrolu nad tím, jak jsou podnikové prostředky zabezpečené. Aplikace nemohou přepsat zásady ověřování určené správci IT. U citlivých aplikací a služeb můžete povolit požadavek na vícefaktorové ověřování, ověřování zařízení a volitelně i nové ověřování při každém přístupu k prostředku.
Podpora vlastních poskytovatelů vícefaktorového ověřování: pro organizace, které využívají metody vícefaktorového ověřování třetích stran, nabízí služba AD FS možnost bez problémů začlenit a používat tyto metody ověřování.
Rozsah ověřování
Ve službě AD FS ve Windows Serveru 2012 R2 můžete zadat zásady ověřování v globálním oboru, který se vztahuje na všechny aplikace a služby zabezpečené službou AD FS. Můžete také nastavit zásady ověřování pro konkrétní aplikace a služby (důvěryhodné strany), které jsou zabezpečené pomocí AD FS. Určení zásad ověřování pro konkrétní aplikaci (podle důvěryhodnosti od důvěřující strany) nepřepíše globální zásady ověřování. Pokud globální zásady nebo zásady ověřování důvěřující strany vyžadují vícefaktorové ověřování, toto ověřování se aktivuje, když se uživatel pokusí ověřit pomocí této důvěřující strany. Globální zásady ověřování slouží jako záložní pro důvěryhodné vztahy strany spoléhající se (aplikace a služby), které nemají nakonfigurované konkrétní zásady ověřování.
Globální zásady ověřování platí pro všechny předávající strany, které jsou zabezpečené službou AD FS. Jako součást globálních zásad ověřování můžete nakonfigurovat následující nastavení:
Metody ověřování, které se mají použít pro primární ověřování
Nastavení a metody vícefaktorového ověřování (MFA)
Určuje, jestli je povolené ověřování zařízení. Další informace viz Připojení k pracovišti z libovolného zařízení pro SSO a bezproblémové dvoufaktorové ověřování napříč firemními aplikacemi.
Zásady ověřování důvěryhodnosti pro každý důvěryhodný subjekt se vztahují konkrétně na pokusy o přístup k důvěryhodnosti této důvěryhodné strany (aplikace nebo služby). V rámci zásad ověřování důvěryhodnosti předávající strany můžete nakonfigurovat následující nastavení:
Zda uživatelé musí pokaždé zadat své přihlašovací údaje při přihlášení.
Nastavení vícefaktorového ověřování na základě údajů o poloze uživatele/skupiny, registrace zařízení a žádosti o přístup
Primární a další metody ověřování
Díky službě AD FS ve Windows Serveru 2012 R2 můžou správci kromě primárního mechanismu ověřování nakonfigurovat i další metody ověřování. Primární metody ověřování jsou integrované a slouží k ověřování identit uživatelů. Další ověřovací faktory můžete nakonfigurovat tak, aby požadovaly poskytnutí dalších informací o identitě uživatele a následné zajištění silnějšího ověřování.
S primárním ověřováním ve službě AD FS ve Windows Serveru 2012 R2 máte následující možnosti:
U prostředků publikovaných pro přístup mimo podnikovou síť je ve výchozím nastavení zaškrtnuté ověřování pomocí formulářů. Kromě toho můžete také povolit ověřování certifikátů (jinými slovy ověřování na základě čipových karet nebo ověřování klientských certifikátů uživatelů, které funguje se službou AD DS).
U intranetových prostředků je ve výchozím nastavení vybráno ověřování systému Windows. Kromě toho můžete také povolit ověřování pomocí formulářů nebo certifikátů.
Když vyberete více než jednu metodu ověřování, umožníte uživatelům zvolit, jakou metodu se mají ověřit na přihlašovací stránce vaší aplikace nebo služby.
Můžete také povolit ověřování zařízení pro bezproblémové dvojúrovňové ověřování. Tím se identita uživatele prováže s registrovaným zařízením, které se používá pro přístup k prostředkům, a tím poskytuje bezpečnější komplexní ověření identity před přístupem k chráněným prostředkům.
Poznámka:
Další informace o objektu zařízení, službě Device Registration Service, připojení k pracovišti a zařízení jako bezproblémovém dvoufaktorovém ověřování a jednotném přihlašování najdete v tématu Připojení k pracovišti z jakéhokoli zařízení pro jednotné přihlašování a bezproblémové dvoufaktorové ověřování napříč firemními aplikacemi.
Pokud pro vaše intranetové prostředky zadáte metodu ověřování systému Windows (výchozí možnost), požadavky na ověření projdou touto metodou bezproblémově v prohlížečích, které podporují ověřování systému Windows.
Poznámka:
Ověřování systému Windows není podporováno ve všech prohlížečích. Mechanismus ověřování ve službě AD FS ve Windows Serveru 2012 R2 rozpozná uživatelský agent prohlížeče uživatele a pomocí konfigurovatelného nastavení určí, jestli tento uživatelský agent podporuje ověřování systému Windows. Správci mohou přidat do tohoto seznamu uživatelských agentů (pomocí příkazu Set-AdfsProperties -WIASupportedUserAgents windows PowerShellu, aby mohli zadat alternativní řetězce uživatelského agenta pro prohlížeče, které podporují ověřování systému Windows. Pokud uživatelský agent klienta nepodporuje ověřování systému Windows, výchozí záložní metoda je ověřování pomocí formulářů.
Konfigurace vícefaktorového ověřování
Ve Službě AD FS ve Windows Serveru 2012 R2 existují dvě části konfigurace vícefaktorového ověřování: určení podmínek, za kterých se vyžaduje vícefaktorové ověřování, a výběr další metody ověřování. Další informace o dalších metodách ověřování najdete v tématu Konfigurace dalších metod ověřování pro službu AD FS.
nastavení vícefaktorového ověřování
Pro nastavení vícefaktorového ověřování jsou k dispozici následující možnosti (podmínky, za kterých se má vícefaktorové ověřování vyžadovat):
Vícefaktorové ověřování můžete vyžadovat pro konkrétní uživatele a skupiny v doméně AD, ke které je váš federační server připojený.
Vícefaktorové ověřování můžete vyžadovat buď pro zaregistrovaná zařízení (připojená k pracovišti), nebo neregistrovaná zařízení (není připojená k pracovišti).
Windows Server 2012 R2 využívá přístup orientovaný na uživatele na moderní zařízení, kde objekty zařízení představují vztah mezi user@device a společností. Objekty zařízení jsou novou třídou v AD ve Windows Serveru 2012 R2, které lze použít k nabízení složené identity při poskytování přístupu k aplikacím a službám. Nová součást služby AD FS – služba DRS (Device Registration Service) – zřídí identitu zařízení ve službě Active Directory a nastaví certifikát na zařízení příjemce, které bude sloužit k reprezentaci identity zařízení. Tuto identitu zařízení pak můžete použít k připojení zařízení na pracovišti, jinými slovy, k připojení osobního zařízení ke službě Active Directory na pracovišti. Když připojíte své osobní zařízení k pracovišti, stane se známým zařízením a poskytne bezproblémové dvojúrovňové ověřování chráněným prostředkům a aplikacím. Jinými slovy, po připojení zařízení na pracovišti je identita uživatele svázaná s tímto zařízením a dá se použít k bezproblémovému ověření složené identity před přístupem k chráněnému prostředku.
Další informace o připojení k pracovišti a opuštění najdete v tématu Připojení k pracovišti z libovolného zařízení pro jednotné přihlašování a bezproblémové druhé ověřování napříč firemními aplikacemi.
Vícefaktorové ověřování můžete vyžadovat, když žádost o přístup k chráněným prostředkům pochází z extranetu nebo intranetu.
Přehled scénáře
V tomto scénáři povolíte vícefaktorové ověřování na základě dat členství ve skupině uživatele pro konkrétní aplikaci. Jinými slovy nastavíte zásadu ověřování na federačním serveru tak, aby vyžadovala vícefaktorové ověřování, když uživatelé, kteří patří do určité skupiny, požadují přístup ke konkrétní aplikaci hostované na webovém serveru.
Konkrétně v tomto scénáři povolíte zásady ověřování pro testovací aplikaci založenou na deklarací identity s názvem claimapp, kde uživatel AD Robert Hatley bude muset projít vícefaktorovým ověřováním, protože patří do skupiny AD Finance.
Podrobné pokyny k nastavení a ověření tohoto scénáře najdete v průvodci návodem: Správa rizik pomocí dodatečného vícefaktorového ověřování citlivých aplikací. Abyste mohli dokončit kroky v tomto návodu, musíte nastavit testovací prostředí a postupovat podle kroků v Nastavení testovacího prostředí pro službu AD FS ve Windows Serveru 2012 R2.
Další scénáře aktivace MFA v AD FS zahrnují:
Pokud žádost o přístup pochází z extranetu, povolte vícefaktorové ověřování. Můžete upravit kód prezentovaný v části "Nastavení zásad MFA" v průvodci : Správa rizik pomocí dalšího vícefaktorového ověřování pro citlivé aplikace následujícím způsobem:
'c:[type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn" );'Pokud žádost o přístup pochází ze zařízení připojeného k síti mimo pracoviště, povolte vícefaktorové ověřování. Můžete upravit kód prezentovaný v části "Nastavení zásad MFA" v průvodci : Správa rizik pomocí dalšího vícefaktorového ověřování pro citlivé aplikace následujícím způsobem:
'NOT EXISTS([type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid"]) => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'Povolte vícefaktorové ověřování, pokud přístup pochází od uživatele se zařízením, které je připojené k pracovišti, ale není zaregistrované pro tohoto uživatele. Můžete upravit kód prezentovaný v části "Nastavení zásad MFA" v průvodci : Správa rizik pomocí dalšího vícefaktorového ověřování pro citlivé aplikace následujícím způsobem:
'c:[type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", value == "false"] => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'
Viz také
Průvodce návodem: Správa rizik pomocí dodatečného vícefaktorového ověřování citlivých aplikacínastavení testovacího prostředí pro službu AD FS ve Windows Serveru 2012 R2