Zusammengesetzte Authentifizierung und AD DS-Ansprüche in AD FS

Windows Server 2012 verbessert die Kerberos-Authentifizierung durch die Einführung einer verbundbasierten Authentifizierung. Die verbundbasierte Authentifizierung ermöglicht eine Kerberos-Ticket-Granting Service-Anforderung (TGS), zwei Identitäten einzuschließen:

• die Identität des Benutzers
• die Identität des Geräts des Benutzers.

Windows führt die mehrschichtige Authentifizierung durch die Erweiterung von Kerberos Flexible Authentication Secure Tunneling (FAST), oder Kerberos-Panzerung, durch.

AD FS 2012 und höhere Versionen ermöglichen die Nutzung von AD DS ausgestellten Benutzer- oder Geräteansprüchen, die sich in einem Kerberos-Authentifizierungsticket befinden. In früheren Versionen von AD FS konnte das Anspruchsmodul nur Benutzer- und Gruppensicherheits-IDs (SIDs) aus Kerberos lesen, aber keine Anspruchsinformationen lesen, die in einem Kerberos-Ticket enthalten sind.

Sie können eine umfassendere Zugriffssteuerung für Verbundanwendungen aktivieren, indem Sie active Directory Domain Services (AD DS)-ausgestellte Benutzer- und Geräteansprüche zusammen mit Active Directory-Verbunddiensten (AD FS) verwenden.

Anforderungen

1. Die Computer, die auf Verbundanwendungen zugreifen, müssen sich mit der integrierten Windows-Authentifizierung bei AD FS authentifizieren.

   • Die integrierte Windows-Authentifizierung ist nur verfügbar, wenn eine Verbindung mit den Back-End-AD FS-Servern hergestellt wird.
   • Computer müssen in der Lage sein, den Back-End-AD FS-Server für den Verbunddienstnamen zu erreichen.
   • AD FS-Server müssen die integrierte Windows-Authentifizierung als primäre Authentifizierungsmethode in den Intraneteinstellungen anbieten.

2. Die Richtlinie Unterstützung des Kerberos-Clients für Ansprüche, Verbundauthentifizierung und Kerberos-Schutz muss auf alle Computer angewendet werden, die auf Verbundanwendungen zugreifen, die durch zusammengesetzte Authentifizierung geschützt werden. Dies gilt für Szenarien mit einzelnen oder mehreren Gesamtstrukturen.

3. In der Domäne, in der die AD FS-Server gehostet werden, muss die Richtlinieneinstellung Unterstützung des Kerberos-Domänencontrollers für Ansprüche, Verbundauthentifizierung und Kerberos-Schutz auf die Domänencontroller angewendet werden.

Schritte zum Konfigurieren von AD FS in Windows Server 2012 R2

Führen Sie die folgenden Schritte aus, um die zusammengesetzte Authentifizierung und Ansprüche zu konfigurieren

Schritt 1: Aktivieren der KDC-Unterstützung für Berechtigungen, Mehrfaktorauthentifizierung und Kerberos-Panzerung in der Standardrichtlinie für Domänencontroller

1. Wählen Sie im Server-Manager "Extras", "Gruppenrichtlinienverwaltung" aus.
2. Navigieren Sie nach unten zur Standard-Domänencontrollerrichtlinie, klicken Sie mit der rechten Maustaste, und wählen Sie "Bearbeiten" aus.
3. Erweitern Sie im Gruppenrichtlinienverwaltungs-Editor unter "Computerkonfiguration" Richtlinien, erweitern Sie "Administrative Vorlagen", erweitern Sie "System", und wählen Sie "KDC" aus.
4. Doppelklicken Sie im rechten Bereich auf Unterstützung des Kerberos-Domänencontrollers für Ansprüche, Verbundauthentifizierung und Kerberos-Schutz.
5. Legen Sie im neuen Dialogfeld die KDC-Unterstützung für Ansprüche auf "Aktiviert" fest.
6. Wählen Sie unter "Optionen" im Dropdownmenü " Unterstützt " aus, und klicken Sie dann auf "Übernehmen " und " OK".

Schritt 2: Aktivieren der Kerberos-Clientunterstützung für Ansprüche, Verbundauthentifizierung und Kerberos-Schutz auf Computern, die auf Verbundanwendungen zugreifen

1. Erweitern Sie in einer Gruppenrichtlinie, die auf die Computer mit Zugriff auf Verbundanwendungen angewendet wird, im Gruppenrichtlinienverwaltungs-Editor unter Computerkonfiguration nacheinander die Einträge Richtlinien, Administrative Vorlagen und System, und wählen Sie Kerberos aus.
2. Doppelklicken Sie im rechten Bereich des Gruppenrichtlinienverwaltungs-Editors auf Unterstützung des Kerberos-Clients für Ansprüche, Verbundauthentifizierung und Kerberos-Schutz.
3. Legen Sie im neuen Fenster des Dialogfelds die Unterstützung des Kerberos-Clients auf Aktiviert fest, und klicken Sie auf Übernehmen und OK.
4. Schließen Sie den Gruppenrichtlinienverwaltungs-Editor.

Schritt 3: Stellen Sie sicher, dass die AD FS-Server aktualisiert wurden.

Sie müssen sicherstellen, dass die folgenden Updates auf Ihren AD FS-Servern installiert sind.

Aktualisierung	BESCHREIBUNG
KB2919355	Kumulatives Sicherheitsupdate (umfasst KB2919355,KB2932046,KB2934018,KB2937592,KB2938439)
KB2959977	Update für Server 2012 R2
Hotfix-3052122	Dieses Update fügt Unterstützung für Verbund-ID-Ansprüche in Active Directory-Verbunddiensten hinzu.

Schritt 4: Konfigurieren des primären Authentifizierungsanbieters

1. Legen Sie den primären Authentifizierungsanbieter auf Windows-Authentifizierung für AD FS-Intraneteinstellungen fest.

2. Wählen Sie unter AD FS-Verwaltung unter "Authentifizierungsrichtlinien" die Option "Primäre Authentifizierung " aus, und klicken Sie unter "Globale Einstellungen " auf "Bearbeiten".

3. Wählen Sie unter "Intranet" die Option "Globale Authentifizierung bearbeiten" die Option "Windows-Authentifizierung" aus.

4. Klicken Sie auf Übernehmen und dann auf OK.

   

5. Mithilfe von PowerShell können Sie das Cmdlet Set-AdfsGlobalAuthenticationPolicy verwenden.

Set-AdfsGlobalAuthenticationPolicy -PrimaryIntranetAuthenticationProvider 'WindowsAuthentication'

Hinweis

In einer WID-basierten Farm muss der PowerShell-Befehl auf dem primären AD FS-Server ausgeführt werden. In einer SQL-basierten Farm kann der PowerShell-Befehl auf jedem AD FS-Server ausgeführt werden, der Mitglied der Farm ist.

Schritt 5: Hinzufügen der Anspruchsbeschreibung zu AD FS

1. Fügen Sie die folgende Anspruchsbeschreibung zur Farm hinzu. Diese Anspruchsbeschreibung ist in AD FS 2012 R2 nicht standardmäßig vorhanden und muss manuell hinzugefügt werden.

2. Klicken Sie in AD FS-Verwaltung unter "Dienst" mit der rechten Maustaste auf "Anspruchsbeschreibung", und wählen Sie "Anspruchsbeschreibung hinzufügen" aus.

3. Geben Sie die folgenden Informationen in die Anspruchsbeschreibung ein.

   • Anzeigename: "Windows-Gerätegruppe"
   • Anspruchsbeschreibung: '<https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdevicegroup>' `

4. Platzieren Sie ein Häkchen in beiden Feldern.

5. Klicke auf OK.

   

6. Mithilfe von PowerShell können Sie das Add-AdfsClaimDescription-Cmdlet verwenden.

   Add-AdfsClaimDescription -Name 'Windows device group' -ClaimType 'https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdevicegroup' `
   -ShortName 'windowsdevicegroup' -IsAccepted $true -IsOffered $true -IsRequired $false -Notes 'The windows group SID of the device'
   

Hinweis

In einer WID-basierten Farm muss der PowerShell-Befehl auf dem primären AD FS-Server ausgeführt werden. In einer SQL-basierten Farm kann der PowerShell-Befehl auf jedem AD FS-Server ausgeführt werden, der Mitglied der Farm ist.

Schritt 6: Aktivieren des Verbundauthentifizierungsbits für das Attribut "msDS-SupportedEncryptionTypes"

1. Aktivieren Sie das Bit für die zusammengesetzte Authentifizierung im Attribut msDS-SupportedEncryptionTypes für das Konto, das Sie für die Ausführung des AD FS-Diensts festgelegt haben, mithilfe des Cmdlets Set-ADServiceAccount in PowerShell.

Hinweis

Wenn Sie das Dienstkonto ändern, müssen Sie die verbundbasierte Authentifizierung manuell aktivieren, indem Sie die Windows PowerShell-Cmdlets Set-ADUser -compoundIdentitySupported:$true ausführen.

Set-ADServiceAccount -Identity “ADFS Service Account” -CompoundIdentitySupported:$true

2. Starten Sie den AD FS-Dienst neu.

Hinweis

Nachdem "CompoundIdentitySupported" auf "true" festgelegt ist, schlägt die Installation desselben gMSA auf neuen Servern (2012R2/2016) mit dem folgenden Fehler fehl – Install-ADServiceAccount: Das Dienstkonto kann nicht installiert werden. Fehlermeldung: 'Der angegebene Kontext entspricht nicht dem Ziel.'

Lösung: Legen Sie "CompoundIdentitySupported" vorübergehend auf $false fest. Dieser Schritt bewirkt, dass AD FS das Ausstellen von WindowsDeviceGroup-Ansprüchen beendet. Set-ADServiceAccount -Identity "ADFS Service Account" -CompoundIdentitySupported:$false Installieren Sie die gMSA auf dem neuen Server, und aktivieren Sie dann CompoundIdentitySupported wieder auf $True. Das Deaktivieren von CompoundIdentitySupported und das erneute Aktivieren erfordert keinen Neustart des AD FS-Dienstes.

Schritt 7: Aktualisieren der AD FS-Anspruchsanbieter-Vertrauensstellung für Active Directory

1. Aktualisieren Sie die AD FS-Anspruchsanbieter-Vertrauensstellung für Active Directory, um die folgende Passthrough-Anspruchsregel für den Anspruch „WindowsDeviceGroup“ hinzuzufügen.
2. Klicken Sie in der AD FS-Verwaltung auf Anspruchsanbietervertrauensstellungen und klicken Sie im rechten Bereich mit der rechten Maustaste auf Active Directory , und wählen Sie "Anspruchsregeln bearbeiten" aus.
3. Klicken Sie in den Anspruchsregeln für Active Director auf "Regel hinzufügen".
4. Wählen Sie im Assistenten zum Hinzufügen einer Transformationsanspruchsregel die Option Eingehenden Anspruch filtern oder zulassen aus der Dropdownliste aus, und klicken Sie dann auf Weiter.
5. Fügen Sie einen Anzeigenamen hinzu, und wählen Sie die Windows-Gerätegruppe aus der Dropdownliste " Eingehender Anspruchstyp " aus.
6. Klicken Sie auf Fertig stellen. Klicken Sie auf Übernehmen und dann auf OK.

Schritt 8: Hinzufügen einer Regel „Eingehenden Anspruch filtern oder zulassen“ auf der vertrauenden Seite, auf der die WindowsDeviceGroup-Ansprüche erwartet werden.

2. Klicken Sie in der AD FS-Verwaltung auf Vertrauensstellungen der vertrauenden Seite. Klicken Sie dann im rechten Bereich mit der rechten Maustaste auf Ihre vertrauende Seite, und wählen Sie Anspruchsregeln bearbeiten aus.
3. Klicken Sie unter Ausstellungstransformationsregeln auf Regel hinzufügen.
4. Wählen Sie im Assistenten zum Hinzufügen einer Transformationsanspruchsregel die Option Eingehenden Anspruch filtern oder zulassen aus der Dropdownliste aus, und klicken Sie dann auf Weiter.
5. Fügen Sie einen Anzeigenamen hinzu, und wählen Sie die Windows-Gerätegruppe aus der Dropdownliste " Eingehender Anspruchstyp " aus.
6. Klicken Sie auf Fertig stellen. Klicken Sie auf Übernehmen und dann auf OK.

Schritte zum Konfigurieren von AD FS in Windows Server 2016

Im Folgenden werden die Schritte zum Konfigurieren der verbundbasierten Authentifizierung auf AD FS für Windows Server 2016 beschrieben.

Schritt 1: Aktivieren der KDC-Unterstützung für Berechtigungen, Mehrfaktorauthentifizierung und Kerberos-Panzerung in der Standardrichtlinie für Domänencontroller

1. Wählen Sie im Server-Manager "Extras", "Gruppenrichtlinienverwaltung" aus.
2. Navigieren Sie nach unten zur Standard-Domänencontrollerrichtlinie, klicken Sie mit der rechten Maustaste, und wählen Sie "Bearbeiten" aus.
3. Erweitern Sie im Gruppenrichtlinienverwaltungs-Editor unter "Computerkonfiguration" Richtlinien, erweitern Sie "Administrative Vorlagen", erweitern Sie "System", und wählen Sie "KDC" aus.
4. Doppelklicken Sie im rechten Bereich auf Unterstützung des Kerberos-Domänencontrollers für Ansprüche, Verbundauthentifizierung und Kerberos-Schutz.
5. Legen Sie im neuen Dialogfeld die KDC-Unterstützung für Ansprüche auf "Aktiviert" fest.
6. Wählen Sie unter "Optionen" im Dropdownmenü " Unterstützt " aus, und klicken Sie dann auf "Übernehmen " und " OK".

Schritt 2: Aktivieren der Kerberos-Clientunterstützung für Ansprüche, Verbundauthentifizierung und Kerberos-Schutz auf Computern, die auf Verbundanwendungen zugreifen

1. Erweitern Sie in einer Gruppenrichtlinie, die auf die Computer mit Zugriff auf Verbundanwendungen angewendet wird, im Gruppenrichtlinienverwaltungs-Editor unter Computerkonfiguration nacheinander die Einträge Richtlinien, Administrative Vorlagen und System, und wählen Sie Kerberos aus.
2. Doppelklicken Sie im rechten Bereich des Gruppenrichtlinienverwaltungs-Editors auf Unterstützung des Kerberos-Clients für Ansprüche, Verbundauthentifizierung und Kerberos-Schutz.
3. Legen Sie im neuen Fenster des Dialogfelds die Unterstützung des Kerberos-Clients auf Aktiviert fest, und klicken Sie auf Übernehmen und OK.
4. Schließen Sie den Gruppenrichtlinienverwaltungs-Editor.

Schritt 3: Konfigurieren des primären Authentifizierungsanbieters

1. Legen Sie den primären Authentifizierungsanbieter auf Windows-Authentifizierung für AD FS-Intraneteinstellungen fest.
2. Wählen Sie unter AD FS-Verwaltung unter "Authentifizierungsrichtlinien" die Option "Primäre Authentifizierung " aus, und klicken Sie unter "Globale Einstellungen " auf "Bearbeiten".
3. Wählen Sie unter "Intranet" die Option "Globale Authentifizierung bearbeiten" die Option "Windows-Authentifizierung" aus.
4. Klicken Sie auf Übernehmen und dann auf OK.
5. Mithilfe von PowerShell können Sie das Cmdlet Set-AdfsGlobalAuthenticationPolicy verwenden.

Set-AdfsGlobalAuthenticationPolicy -PrimaryIntranetAuthenticationProvider 'WindowsAuthentication'

Hinweis

In einer WID-basierten Farm muss der PowerShell-Befehl auf dem primären AD FS-Server ausgeführt werden. In einer SQL-basierten Farm kann der PowerShell-Befehl auf jedem AD FS-Server ausgeführt werden, der Mitglied der Farm ist.

Schritt 4: Aktivieren des Verbundauthentifizierungsbits für das Attribut "msDS-SupportedEncryptionTypes"

1. Aktivieren Sie das Bit für die zusammengesetzte Authentifizierung im Attribut msDS-SupportedEncryptionTypes für das Konto, das Sie für die Ausführung des AD FS-Diensts festgelegt haben, mithilfe des Cmdlets Set-ADServiceAccount in PowerShell.

Hinweis

Wenn Sie das Dienstkonto ändern, müssen Sie die verbundbasierte Authentifizierung manuell aktivieren, indem Sie die Windows PowerShell-Cmdlets Set-ADUser -compoundIdentitySupported:$true ausführen.

Set-ADServiceAccount -Identity “ADFS Service Account” -CompoundIdentitySupported:$true

2. Starten Sie den AD FS-Dienst neu.

Hinweis

Nachdem "CompoundIdentitySupported" auf "true" festgelegt ist, schlägt die Installation desselben gMSA auf neuen Servern (2012R2/2016) mit dem folgenden Fehler fehl – Install-ADServiceAccount: Das Dienstkonto kann nicht installiert werden. Fehlermeldung: 'Der angegebene Kontext entspricht nicht dem Ziel.'

Lösung: Legen Sie "CompoundIdentitySupported" vorübergehend auf $false fest. Dieser Schritt bewirkt, dass AD FS das Ausstellen von WindowsDeviceGroup-Ansprüchen beendet. Set-ADServiceAccount -Identity "ADFS Service Account" -CompoundIdentitySupported:$false Installieren Sie die gMSA auf dem neuen Server, und aktivieren Sie dann CompoundIdentitySupported wieder auf $True. Das Deaktivieren von CompoundIdentitySupported und das erneute Aktivieren erfordert keinen Neustart des AD FS-Dienstes.

Schritt 5: Aktualisieren der AD FS-Anspruchsanbieter-Vertrauensstellung für Active Directory

1. Aktualisieren Sie die AD FS-Anspruchsanbieter-Vertrauensstellung für Active Directory, um die folgende Passthrough-Anspruchsregel für den Anspruch „WindowsDeviceGroup“ hinzuzufügen.
2. Klicken Sie in der AD FS-Verwaltung auf Anspruchsanbietervertrauensstellungen und klicken Sie im rechten Bereich mit der rechten Maustaste auf Active Directory , und wählen Sie "Anspruchsregeln bearbeiten" aus.
3. Klicken Sie in den Anspruchsregeln für Active Director auf "Regel hinzufügen".
4. Wählen Sie im Assistenten zum Hinzufügen einer Transformationsanspruchsregel die Option Eingehenden Anspruch filtern oder zulassen aus der Dropdownliste aus, und klicken Sie dann auf Weiter.
5. Fügen Sie einen Anzeigenamen hinzu, und wählen Sie die Windows-Gerätegruppe aus der Dropdownliste " Eingehender Anspruchstyp " aus.
6. Klicken Sie auf Fertig stellen. Klicken Sie auf Übernehmen und dann auf OK.

Schritt 6: Hinzufügen einer Regel „Eingehenden Anspruch filtern oder zulassen“ auf der vertrauenden Seite, auf der die WindowsDeviceGroup-Ansprüche erwartet werden

2. Klicken Sie in der AD FS-Verwaltung auf Vertrauensstellungen der vertrauenden Seite. Klicken Sie dann im rechten Bereich mit der rechten Maustaste auf Ihre vertrauende Seite, und wählen Sie Anspruchsregeln bearbeiten aus.
3. Klicken Sie unter Ausstellungstransformationsregeln auf Regel hinzufügen.
4. Wählen Sie im Assistenten zum Hinzufügen einer Transformationsanspruchsregel die Option Eingehenden Anspruch filtern oder zulassen aus der Dropdownliste aus, und klicken Sie dann auf Weiter.
5. Fügen Sie einen Anzeigenamen hinzu, und wählen Sie die Windows-Gerätegruppe aus der Dropdownliste " Eingehender Anspruchstyp " aus.
6. Klicken Sie auf Fertig stellen. Klicken Sie auf Übernehmen und dann auf OK.

Validierung

Um die Freigabe von WindowsDeviceGroup-Ansprüchen zu überprüfen, erstellen Sie unter Verwendung eine Ansprüche unterstützende Testanwendung. Verwenden Sie dabei .NET 4.6. Mit WIF SDK 4.0. Konfigurieren Sie die Anwendung als vertrauende Partei in AD FS, und aktualisieren Sie sie gemäß den oben beschriebenen Schritten mit der Anspruchsregel. Beim Authentifizieren der Anwendung mit dem Anbieter für die integrierte Windows-Authentifizierung von AD FS werden die folgenden Ansprüche erstellt.

Die Ansprüche für den Computer bzw. das Gerät können jetzt genutzt werden, um eine umfassendere Zugriffssteuerung zu ermöglichen.

Zum Beispiel – Die folgenden AdditionalAuthenticationRules legen fest, dass AD FS die MFA aufrufen soll, wenn – der authentifizierende Benutzer kein Mitglied der Sicherheitsgruppe "-1-5-21-2134745077-1211275016-3050530490-1117" ist UND der Computer (von dem der Benutzer sich authentifiziert) kein Mitglied der Sicherheitsgruppe "S-1-5-21-2134745077-1211275016-3050530490-1115 (WindowsDeviceGroup)" ist.

Wenn jedoch eine der oben genannten Bedingungen erfüllt ist, aktivieren Sie keine MFA.

'NOT EXISTS([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdevicegroup", Value =~ "S-1-5-21-2134745077-1211275016-3050530490-1115"])
&& NOT EXISTS([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value =~ "S-1-5-21-2134745077-1211275016-3050530490-1117"])
=> issue(Type = "https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "https://schemas.microsoft.com/claims/multipleauthn");'