Identifizieren der AD FS-Bereitstellungsziele
Die korrekte Identifizierung Ihrer Ziele für die Bereitstellung von Active Directory-Verbunddienste (AD FS) ist für den Erfolg Ihres AD FS-Entwurfsprojekts unerlässlich. Priorisieren Sie die Bereitstellungsziele und kombinieren Sie diese möglichst so, dass Sie AD FS mit einem iterativen Ansatz entwerfen und bereitstellen können. Sie können bereits vorhandene, dokumentierte und vordefinierte AD FS-Bereitstellungsziele für AD FS-Entwürfe nutzen und eine funktionierende Lösung für Ihre Situation entwickeln.
Frühere Versionen von AD FS wurden gängigerweise bereitgestellt, um Folgendes zu erreichen:
Bereitstellung einer webbasierten Benutzerumgebung mit einmaliger Anmeldung für Ihre Mitarbeiter oder Kunden beim Zugriff auf anspruchsbasierte Anwendungen in Ihrem Unternehmen.
Bereitstellung einer webbasierten Benutzerumgebung mit einmaliger Anmeldung für Ihre Mitarbeiter oder Kunden beim Zugriff auf Ressourcen in beliebigen Verbundpartnerorganisationen.
Bereitstellung einer webbasierten Benutzerumgebung mit einmaliger Anmeldung für Mitarbeiter oder Kunden beim Remotezugriff auf intern gehostete Websites oder -dienste.
Bereitstellung einer webbasierten Benutzerumgebung mit einmaliger Anmeldung für Mitarbeiter oder Kunden beim Zugriff auf Ressourcen oder Dienste in der Cloud.
Darüber hinaus fügt AD FS in Windows Server® 2012 R2 Funktionen hinzu, mit denen Sie Folgendes erreichen können:
Gerätearbeitsplatzbeitritt für einmalige Anmeldung und nahtlose zweistufige Authentifizierung. So können Organisationen den Zugriff von persönlichen Geräten der Benutzer aus ermöglichen, und das mit der Bereitstellung dieses Zugriffs verbundene Risiko verwalten.
Verwalten von Risiken mit mehrstufiger Zugriffssteuerung AD FS bietet eine umfassende Autorisierung, die steuert, wer Zugriff auf welche Anwendungen hat. Dies kann auf Benutzerattributen basieren (UPN, E-Mail-Adresse, Mitgliedschaft in Sicherheitsgruppen, Authentifizierungsstärke usw.), Geräteattributen (ob das Gerät dem Arbeitsplatz beigetreten ist) oder Anforderungsattributen (Speicherort im Netzwerk, IP-Adresse oder Benutzer-Agent).
Verwalten von Risiken mit zusätzlicher mehrstufiger Authentifizierung für sensible Anwendungen Mit AD FS können Sie Richtlinien so steuern, dass potenziell Multi-Faktor-Authentifizierung global oder für eine einzelne Anwendung angefordert wird. Darüber hinaus bietet AD FS Erweiterungspunkte für beliebige Anbieter mehrstufiger Authentifizierung zur tiefen Integration, um Endbenutzern die Erfahrung einer sicheren und nahtlosen mehrstufigen Authentifizierung zu garantieren.
Bereitstellung von Funktionen zur Authentifizierung und Autorisierung für den Zugriff auf Webressourcen aus dem Extranet, die vom Webanwendungsproxy geschützt sind.
Zusammenfassend gesagt, kann AD FS in Windows Server 2012 R2 bereitgestellt werden, um die folgenden Ziele in Ihrer Organisation zu erreichen:
Ihren Benutzern ermöglichen, von überall auf ihren persönlichen Geräten auf Ressourcen zuzugreifen
Arbeitsplatzbeitritt, der Benutzern ermöglicht, ihre persönlichen Geräten dem Active Directory des Unternehmens hinzuzufügen, und dann von diesen Geräten aus nahtlos auf Unternehmensressourcen zuzugreifen.
Vorauthentifizierung von Ressourcen innerhalb des Unternehmensnetzwerks, die vom Webanwendungsproxy geschützt werden und für den Internetzugriff verfügbar sind.
Kennwortänderung, damit Benutzer von jedem Gerät aus, dass dem Arbeitsplatz beigetreten ist, ihr Kennwort ändern können, wenn es abgelaufen ist, damit sie weiterhin auf Ressourcen zugreifen können.
Verbessern Ihrer Tools für das Risikomanagement der Zugriffssteuerung
Verwalten von Risiken ist ein wichtiger Aspekt der Governance und Compliance in jeder IT-Organisation. Es gibt zahlreiche Verbesserungen beim Risikomanagement der Zugriffssteuerung in AD FS in Windows Server® 2012 R2, einschließlich der folgenden:
Flexible Kontrolle auf Grundlage des Netzwerkstandorts, um zu steuern, wie sich ein Benutzer authentifiziert, um auf eine AD FS-gesicherte Anwendung zuzugreifen.
Flexible Richtlinien, um basierend auf Benutzerdaten, Gerätedaten und Netzwerkstandort zu ermitteln, ob ein Benutzer die mehrstufige Authentifizierung durchführen muss.
Steuerung pro Anwendung, um SSO zu ignorieren und den Benutzer zu zwingen, bei jedem Zugriff auf eine vertrauliche Anwendung Anmeldeinformationen anzugeben.
Flexible Zugriffsrichtlinien pro Anwendung basierend auf Benutzerdaten, Gerätedaten oder Netzwerkstandort.
AD FS Extranet Lockout ermöglicht Administratoren den Schutz von Active Directory-Konten vor böswilligen Angriffen aus dem Internet.
Sperrung des Zugriffs für alle Arbeitsplatzbeitrittgeräte, die in Active Directory gelöscht oder deaktiviert werden.
Verwenden von AD FS zum Verbessern der Anmeldeerfahrung
Die folgenden neuen AD FS-Funktionen in Windows Server® 2012 R2 ermöglichen Administratoren, die Anmeldung anzupassen und zu erleichtern:
Einheitliche Anpassung des AD FS-Diensts, wobei die Änderungen einmal vorgenommen und dann automatisch auf die übrigen AD FS-Verbundserver einer bestimmten Farm verteilt werden.
Aktualisierte Anmeldeseiten, die modern aussehen und sich automatisch nach verschiedenen Formfaktoren ausrichten.
Unterstützung für automatisches Fallback auf formularbasierte Authentifizierung für Geräte, die nicht der Unternehmensdomäne beitreten, aber dennoch verwendet werden, um Anforderungen aus dem Unternehmensnetzwerk (Intranet) heraus zu generieren.
Einfache Steuerelemente zur Anpassung von Firmenlogo, Abbildung, Standardlinks für IT-Support, Startseite, Datenschutz etc.
Anpassung beschreibender Meldungen auf den Anmeldeseiten.
Anpassung von Webdesigns.
Startbereichsermittlung (Home Realm Discovery, HRD) auf der Grundlage des Organisationssuffixes des Benutzers für verbesserten Datenschutz für Partner des Unternehmens.
HRD-Filterung pro Anwendung zur automatischen Auswahl eines Bereichs auf Anwendungsbasis.
Ein-Klick-Fehlerberichterstattung für einfachere IT-Problembehandlung.
Anpassbare Fehlermeldungen.
Authentifizierungswahl durch den Benutzer, wenn mehrere Authentifizierungsanbieter verfügbar sind.