Identifizieren der AD FS-Bereitstellungsziele

Die korrekte Identifizierung Active Directory-Verbunddienste (AD FS) Bereitstellungsziele (AD FS) ist für den Erfolg Ihres AD FS entscheidend. Priorisieren und ggf. kombinieren Sie Ihre Bereitstellungsziele, sodass Sie AD FS iterativen Ansatz entwerfen und bereitstellen können. Sie können vorhandene, dokumentierte und vordefinierte AD FS-Bereitstellungsziele nutzen, die für die AD FS-Entwürfe relevant sind, und eine funktionierende Lösung für Ihre Situation entwickeln.

Frühere Versionen von AD FS wurden am häufigsten bereitgestellt, um Folgendes zu erreichen:

  • Bereitstellung einer webbasierten Benutzerumgebung mit einmaliger Anmeldung für Ihre Mitarbeiter oder Kunden beim Zugriff auf anspruchsbasierte Anwendungen in Ihrem Unternehmen.

  • Bereitstellung einer webbasierten Benutzerumgebung mit einmaliger Anmeldung für Ihre Mitarbeiter oder Kunden beim Zugriff auf Ressourcen in beliebigen Verbundpartnerorganisationen.

  • Bereitstellung einer webbasierten Benutzerumgebung mit einmaliger Anmeldung für Mitarbeiter oder Kunden beim Remotezugriff auf intern gehostete Websites oder -dienste.

  • Bereitstellung einer webbasierten Benutzerumgebung mit einmaliger Anmeldung für Mitarbeiter oder Kunden beim Zugriff auf Ressourcen oder Dienste in der Cloud.

Darüber hinaus bietet AD FS in Windows Server® 2012 R2 Funktionen, mit denen Sie Folgendes erreichen können:

  • Gerätearbeitsplatzbeitritt für einmalige Anmeldung und nahtlose zweistufige Authentifizierung. Dadurch können Organisationen den Zugriff von den persönlichen Geräten des Benutzers zulassen und das Risiko bei der Bereitstellung dieses Zugriffs verwalten.

  • Verwalten von Risiken mit mehrstufiger Zugriffssteuerung AD FS bietet eine umfassende Autorisierung, die steuert, wer Zugriff auf welche Anwendungen hat. Dies kann auf Benutzerattributen basieren (UPN, E-Mail-Adresse, Mitgliedschaft in Sicherheitsgruppen, Authentifizierungsstärke usw.), Geräteattributen (ob das Gerät dem Arbeitsplatz beigetreten ist) oder Anforderungsattributen (Speicherort im Netzwerk, IP-Adresse oder Benutzer-Agent).

  • Verwalten von Risiken mit zusätzlicher mehrstufiger Authentifizierung für sensible Anwendungen AD FS können Sie Richtlinien steuern, die potenziell eine mehrstufige Authentifizierung global oder pro Anwendung erfordern. Darüber hinaus bietet AD FS Erweiterungspunkte für beliebige Anbieter mehrstufiger Authentifizierung zur tiefen Integration, um Endbenutzern die Erfahrung einer sicheren und nahtlosen mehrstufigen Authentifizierung zu garantieren.

  • Bereitstellen von Authentifizierungs- und Autorisierungsfunktionen für den Zugriff auf Webressourcen aus dem Extranet, die durch die Web-Anwendungsproxy.

Zusammenfassend kann AD FS in Windows Server 2012 R2 bereitgestellt werden, um die folgenden Ziele in Ihrer Organisation zu erreichen:

Ermöglichen des Zugriffs auf Ressourcen auf ihren persönlichen Geräten von überall aus

  • Arbeitsplatzbeitritt, der Benutzern ermöglicht, ihre persönlichen Geräten dem Active Directory des Unternehmens hinzuzufügen, und dann von diesen Geräten aus nahtlos auf Unternehmensressourcen zuzugreifen.

  • Vorauthentifizierung von Ressourcen innerhalb des Unternehmensnetzwerks, die vom Webanwendungsproxy geschützt werden und für den Internetzugriff verfügbar sind.

  • Kennwortänderung, damit Benutzer von jedem Gerät aus, dass dem Arbeitsplatz beigetreten ist, ihr Kennwort ändern können, wenn es abgelaufen ist, damit sie weiterhin auf Ressourcen zugreifen können.

Verbessern Ihrer Tools für die Zugriffssteuerungs-Risikomanagement

Verwalten von Risiken ist ein wichtiger Aspekt der Governance und Compliance in jeder IT-Organisation. In AD FS® Server 2012 R2 gibt es zahlreiche Verbesserungen Windows Zugriffssteuerungs-Risikomanagement, einschließlich der folgenden:

  • Flexible Kontrolle auf Grundlage des Netzwerkstandorts, um zu steuern, wie sich ein Benutzer authentifiziert, um auf eine AD FS-gesicherte Anwendung zuzugreifen.

  • Flexible Richtlinie, um zu bestimmen, ob ein Benutzer eine mehrstufige Authentifizierung basierend auf den Daten, Gerätedaten und dem Netzwerkstandort des Benutzers durchführen muss.

  • Steuerung pro Anwendung, um SSO zu ignorieren und den Benutzer zu zwingen, bei jedem Zugriff auf eine vertrauliche Anwendung Anmeldeinformationen anzugeben.

  • Flexible Zugriffsrichtlinien pro Anwendung basierend auf Benutzerdaten, Gerätedaten oder Netzwerkstandort.

  • AD FS Extranet Lockout ermöglicht Administratoren den Schutz von Active Directory-Konten vor böswilligen Angriffen aus dem Internet.

  • Sperrung des Zugriffs für alle Arbeitsplatzbeitrittgeräte, die in Active Directory gelöscht oder deaktiviert werden.

Verwenden AD FS, um die Anmeldeerfahrung zu verbessern

Im Folgenden finden Sie AD FS Funktionen in Windows Server® 2012 R2, mit denen Administratoren die Anmeldeerfahrung anpassen und verbessern können:

  • Einheitliche Anpassung des AD FS-Diensts, wobei die Änderungen einmal vorgenommen und dann automatisch auf die übrigen AD FS-Verbundserver einer bestimmten Farm verteilt werden.

  • Aktualisierte Anmeldeseiten, die modern aussehen und sich automatisch nach verschiedenen Formfaktoren ausrichten.

  • Unterstützung für automatisches Fallback auf formularbasierte Authentifizierung für Geräte, die nicht der Unternehmensdomäne beitreten, aber dennoch verwendet werden, um Anforderungen aus dem Unternehmensnetzwerk (Intranet) heraus zu generieren.

  • Einfache Steuerelemente zur Anpassung von Firmenlogo, Abbildung, Standardlinks für IT-Support, Startseite, Datenschutz etc.

  • Anpassung beschreibender Meldungen auf den Anmeldeseiten.

  • Anpassung von Webdesigns.

  • Startbereichsermittlung (Home Realm Discovery, HRD) basierend auf dem Organisationssuffix des Benutzers, um den Datenschutz der Partner eines Unternehmens zu verbessern.

  • HRD-Filterung pro Anwendung zur automatischen Auswahl eines Bereichs auf Anwendungsbasis.

  • Ein-Klick-Fehlerberichterstattung für einfachere IT-Problembehandlung.

  • Anpassbare Fehlermeldungen.

  • Authentifizierungswahl durch den Benutzer, wenn mehrere Authentifizierungsanbieter verfügbar sind.

Weitere Informationen

AD FS-Entwurfshandbuch in Windows Server 2012 R2