Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’identification correcte de vos objectifs de déploiement ad FS (Active Directory Federation Services) est essentielle pour la réussite de votre projet de conception AD FS. Hiérarchiser et, éventuellement, combiner vos objectifs de déploiement afin de pouvoir concevoir et déployer AD FS à l’aide d’une approche itérative. Vous pouvez tirer parti des objectifs de déploiement AD FS existants, documentés et prédéfinis qui sont pertinents pour les conceptions AD FS et développer une solution de travail pour votre situation.
Les versions antérieures d’AD FS ont été les plus couramment déployées pour obtenir les éléments suivants :
Fournir à vos employés ou clients une expérience d’authentification unique basée sur le web lors de l’accès aux applications basées sur des revendications au sein de votre entreprise.
Fournir à vos employés ou clients une expérience d’authentification unique basée sur le web pour accéder aux ressources dans n’importe quelle organisation partenaire de fédération.
Fournir à vos employés ou clients une expérience d’authentification unique basée sur le web lors de l’accès à distance aux sites web ou services hébergés en interne.
Fournir à vos employés ou clients une expérience d’authentification unique basée sur le web lors de l’accès aux ressources ou aux services dans le cloud.
En plus de cela, AD FS dans Windows Server® 2012 R2 ajoute des fonctionnalités qui peuvent vous aider à obtenir les éléments suivants :
Jonction à l’espace de travail des appareils pour SSO et authentification de second facteur transparente. Cela permet aux organisations d’autoriser l’accès à partir des appareils personnels de l’utilisateur et de gérer le risque lors de la fourniture de cet accès.
Gestion des risques avec contrôle d’accès multifacteur. AD FS fournit un niveau complet d’autorisation qui contrôle qui a accès à quelles applications. Cela peut être basé sur les attributs utilisateur (UPN, e-mail, appartenance au groupe de sécurité, force d’authentification, etc.), les attributs d’appareil (que l’appareil soit joint au lieu de travail) ou les attributs de requête (emplacement réseau, adresse IP ou agent utilisateur).
Gestion des risques avec une authentification multifacteur supplémentaire pour les applications sensibles. AD FS vous permet de contrôler les stratégies pour nécessiter une authentification multifacteur globalement ou par application. En outre, AD FS fournit des points d’extensibilité pour n’importe quel fournisseur multifacteur à intégrer profondément pour une expérience multifacteur sécurisée et transparente pour les utilisateurs finaux.
Fourniture de fonctionnalités d’authentification et d’autorisation pour accéder aux ressources web à partir du extranet protégé par le proxy d’application web.
Pour résumer, AD FS dans Windows Server 2012 R2 peut être déployé pour atteindre les objectifs suivants dans votre organisation :
Permettre à vos utilisateurs d’accéder aux ressources sur leurs appareils personnels depuis n’importe où
Jonction à l’espace de travail qui permet aux utilisateurs de joindre leurs appareils personnels à l’application Active Directory de l’entreprise et, par conséquent, d’accéder aux ressources de cette dernière depuis ces appareils en toute transparence.
Pré-authentification des ressources au sein du réseau d’entreprise qui sont protégées par le proxy d’application web et accessibles à partir d’Internet.
Modification du mot de passe pour permettre aux utilisateurs de modifier leur mot de passe à partir de n’importe quel appareil joint au lieu de travail lorsque leur mot de passe a expiré afin qu’ils puissent continuer à accéder aux ressources.
Améliorer vos outils de gestion des risques de contrôle d’accès
La gestion des risques est un aspect important de la gouvernance et de la conformité dans chaque organisation informatique. Il existe de nombreuses améliorations de gestion des risques de contrôle d’accès dans AD FS dans Windows Server® 2012 R2, notamment les suivantes :
Contrôles flexibles basés sur l’emplacement réseau pour régir la façon dont un utilisateur s’authentifie pour accéder à une application sécurisée par AD FS.
Stratégie flexible pour déterminer si un utilisateur doit effectuer une authentification multifacteur en fonction des données, des données d’appareil et de l’emplacement réseau de l’utilisateur.
Le contrôle par application pour ignorer l’authentification unique et forcer l’utilisateur à fournir des informations d’identification chaque fois qu’il accède à une application sensible.
Stratégie d’accès flexible par application basée sur les données utilisateur, les données d’appareil ou l’emplacement réseau.
Verrouillage extranet AD FS, qui permet aux administrateurs de protéger les comptes Active Directory contre les attaques par force brute à partir d’Internet.
Révocation d’accès pour tout appareil joint au lieu de travail désactivé ou supprimé dans Active Directory.
Utiliser AD FS pour améliorer l’expérience de connexion
Voici les nouvelles fonctionnalités AD FS dans Windows Server® 2012 R2 qui permettent à l’administrateur de personnaliser et d’améliorer l’expérience de connexion :
Personnalisation unifiée du service AD FS, où les modifications sont apportées une seule fois, puis propagées automatiquement au reste des serveurs de fédération AD FS dans une batterie donnée.
Pages de connexion mises à jour qui ont une apparence moderne et s'adaptent automatiquement à différents facteurs de forme.
Prise en charge de l’authentification automatique basée sur les formulaires pour les appareils qui ne sont pas joints au domaine d’entreprise, mais qui sont toujours utilisés pour générer des demandes d’accès à partir du réseau d’entreprise (intranet).
Contrôles simples pour personnaliser le logo de l’entreprise, l’image d’illustration, les liens standard pour le support informatique, la page d’accueil, la confidentialité, etc.
Personnalisation des messages de description dans les pages de connexion.
Personnalisation des thèmes web.
Home Realm Discovery (HRD) basé sur le suffixe organisationnel de l’utilisateur pour améliorer la confidentialité des partenaires d’une entreprise.
Filtrage HRD par application pour choisir automatiquement un domaine basé sur l’application.
Rapport d’erreurs en un clic pour faciliter la résolution des problèmes informatiques.
Messages d’erreur personnalisables.
Choix d’authentification utilisateur lorsque plusieurs fournisseurs d’authentification sont disponibles.