Identifier vos objectifs de déploiement d’AD FS
L’identification correcte de vos objectifs de déploiement Active Directory Federation Services (AD FS) est essentielle pour la réussite de votre projet de conception AD FS. Hiérarchisez et, éventuellement, combinez vos objectifs de déploiement pour pouvoir concevoir et déployer AD FS en suivant une approche itérative. Vous pouvez tirer parti d’objectifs de déploiement des AD FS existants, documentés et prédéfinis qui sont appropriés pour les conceptions des AD FS et développer une solution adaptée à votre situation.
Les versions antérieures d’AD FS étaient généralement déployées pour atteindre les objectifs suivants :
fournir à vos employés ou clients une expérience d’authentification unique web (SSO) lors de l’accès aux applications basées sur les revendications au sein de votre entreprise ;
fournir à vos employés ou clients une expérience d’authentification unique web (SSO) pour accéder aux ressources dans toute organisation partenaire de la fédération ;
fournir à vos employés ou clients une expérience d’authentification unique web (SSO) lors de l’accès à distance à des services ou sites web hébergés en interne ;
fournir à vos employés ou clients une expérience d’authentification unique web (SSO) lors de l’accès à des ressources ou des services via le cloud.
En plus de cela, AD FS dans Windows Server® 2012 R2 ajoute des fonctionnalités qui peuvent vous aider à réaliser ce qui suit :
Jonction à l’espace de travail des appareils pour SSO et authentification de second facteur transparente. Cela permet aux organisations d’autoriser l’accès à partir des appareils personnels des utilisateurs et de gérer les risques liés à la fourniture de cet accès.
Gestion des risques avec le contrôle d’accès multifacteur. AD FS fournit un niveau performant d’autorisation qui contrôle quels utilisateurs ont accès à quelles applications. Cela peut reposer sur des attributs d’utilisateur (UPN, courrier électronique, appartenance au groupe de sécurité, force de l’authentification, etc.), des attributs d’appareil (si l’appareil est rattaché à un espace de travail) ou des attributs de demande (emplacement réseau, adresse IP ou agent utilisateur).
Gestion des risques avec une authentification multifacteur supplémentaire pour les applications sensibles. AD FS permet de contrôler des stratégies pour requérir potentiellement une authentification multifacteur globalement ou pour chaque application. En outre, AD FS fournit des points d’extensibilité pour n’importe quel fournisseur multifacteur à intégrer profondément pour une expérience multifacteur sécurisée et transparente pour les utilisateurs finaux.
Fourniture de fonctionnalités d’authentification et d’autorisation pour accéder aux ressources web, à partir de l’extranet, qui sont protégées par le proxy d’application Web.
Pour résumer, AD FS dans Windows Server 2012 R2 peut être déployé pour atteindre les objectifs suivants dans votre organisation :
Permettre à vos utilisateurs d’accéder aux ressources sur leurs appareils personnels depuis n’importe où
Jonction à l’espace de travail qui permet aux utilisateurs de joindre leurs appareils personnels à l’application Active Directory de l’entreprise et, par conséquent, d’accéder aux ressources de cette dernière depuis ces appareils en toute transparence.
Authentification préalable des ressources au sein du réseau d’entreprise qui sont protégées par le proxy d’application Web et accessibles depuis Internet.
Modification de mot de passe pour permettre aux utilisateurs de modifier leur mot de passe à partir de n’importe quel appareil d’un espace de travail rattaché à l’expiration de leur mot de passe afin qu’ils puissent continuer à accéder aux ressources.
Améliorer vos outils de gestion des risques du contrôle d’accès
La gestion des risques est un aspect important de la gouvernance et de la conformité de chaque organisation informatique. Windows Server® 2012 R2 offre de nombreuses améliorations de la gestion des risques du contrôle d’accès dans AD FS, notamment les suivantes :
Contrôles flexibles basés sur l’emplacement réseau pour déterminer comment un utilisateur s’authentifie pour accéder à une application sécurisée par AD FS.
Stratégies flexibles pour déterminer si un utilisateur a besoin d’exécuter l’authentification multifacteur, en fonction des données utilisateur, des données de l’appareil et de l’emplacement réseau.
Contrôle par application pour ignorer l’authentification unique et forcer l’utilisateur à fournir ses informations d’identification chaque fois qu’il accède à une application sensible.
Stratégie d’accès par application souple basée sur les données utilisateur, les données de l’appareil ou l’emplacement réseau.
Le verrouillage extranet AD FS permet aux administrateurs de protéger les comptes Active Directory contre les attaques en force brute à partir d’Internet.
Révocation d’accès pour n’importe quel appareil membre d’un espace de travail qui est désactivé ou supprimé dans Active Directory.
Utiliser AD FS pour améliorer l’expérience de connexion
Voici les nouvelles fonctionnalités AD FS dans Windows Server® 2012 R2 qui permettent à l’administrateur de personnaliser et d’améliorer l’expérience de connexion :
Personnalisation unifiée du service AD FS, où les modifications sont effectuées une seule fois et propagées automatiquement au reste des serveurs de fédération AD FS dans une batterie de serveurs donnée.
Mise à jour des pages de connexion à l’aspect moderne prenant en compte automatiquement différents facteurs de forme.
Prise en charge du secours automatique de l’authentification par formulaire pour les appareils qui ne sont pas joints au domaine d’entreprise, mais sont toujours utilisés pour générer des demandes d’accès à partir du réseau d’entreprise (intranet).
Contrôles simples pour personnaliser le logo de la société, l’image d’illustration, les liens standard pour la prise en charge de l’informatique, la page d’accueil, la confidentialité, etc.
Personnalisation des messages de description dans les pages de connexion.
Personnalisation des thèmes web.
Découverte du domaine d’accueil (HRD) basée sur un suffixe d’organisation de l’utilisateur pour une confidentialité améliorée des partenaires d’une société.
Filtrage HRD sur chaque application pour choisir automatiquement un domaine basé sur l’application.
Rapports d’erreurs en un clic pour un dépannage informatique plus rapide.
Personnalisation des messages d’erreur.
Choix de l’authentification utilisateur lorsque plusieurs fournisseurs d’authentification sont disponibles.