Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Organisasi mengalami serangan yang mencoba memaksa, membahayakan, atau mengunci akun pengguna dengan mengirim permintaan autentikasi berbasis kata sandi. Untuk membantu melindungi organisasi dari kompromi, AD FS telah memperkenalkan kemampuan seperti penguncian "cerdas" ekstranet, dan pemblokiran berbasis alamat IP.
Namun, mitigasi ini reaktif. Untuk menyediakan pendekatan yang proaktif untuk mengurangi tingkat keparahan serangan ini, AD FS memiliki kemampuan untuk meminta faktor lain sebelum mengumpulkan kata sandi.
Misalnya, AD FS 2016 memperkenalkan autentikasi multifaktor Microsoft Entra sebagai autentikasi utama sehingga kode OTP dari Aplikasi Authenticator dapat digunakan sebagai faktor pertama. Mulai dari AD FS 2019, Anda dapat mengonfigurasi penyedia autentikasi eksternal sebagai faktor autentikasi utama.
Ada dua skenario utama yang memungkinkan:
Skenario 1: lindungi kata sandi
Lindungi autentikasi berbasis kata sandi dari serangan brute-force dan penguncian dengan meminta faktor eksternal tambahan terlebih dahulu. Perintah kata sandi hanya terlihat ketika autentikasi eksternal berhasil diselesaikan. Ini menghapus salah satu cara nyaman yang digunakan penyerang untuk membahayakan atau menonaktifkan akun.
Skenario ini terdiri dari dua komponen:
- Meminta autentikasi multifaktor Microsoft Entra (tersedia mulai dari AD FS 2016 dan seterusnya) atau faktor autentikasi eksternal sebagai metode autentikasi utama.
- Nama pengguna dan kata sandi untuk autentikasi tambahan di Layanan Federasi Direktori Aktif
Skenario 2: bebas kata sandi
Hapus kata sandi sepenuhnya dengan menyelesaikan autentikasi multifaktor yang kuat menggunakan metode yang sepenuhnya tidak berbasis kata sandi di AD FS
- Autentikasi multifaktor Microsoft Entra dengan aplikasi Authenticator
- Windows 10 Hello untuk Bisnis
- Otentikasi sertifikat
- Penyedia autentikasi eksternal
Concepts
Apa sebenarnya autentikasi utama berarti bahwa itu adalah metode yang diminta pengguna terlebih dahulu, sebelum faktor tambahan. Sebelumnya satu-satunya metode utama yang tersedia di Layanan Federasi Direktori Aktif dibangun dalam metode untuk Direktori Aktif atau autentikasi multifaktor Microsoft Entra, atau penyimpanan autentikasi LDAP lainnya. Metode eksternal dapat dikonfigurasi sebagai autentikasi "tambahan", yang berlangsung setelah autentikasi utama berhasil diselesaikan.
Dalam Layanan Federasi Direktori Aktif (AD FS) 2019, autentikasi eksternal sebagai kemampuan primer berarti bahwa setiap penyedia autentikasi eksternal yang terdaftar di farm AD FS (menggunakan Register-AdfsAuthenticationProvider) tersedia untuk autentikasi utama dan autentikasi tambahan. Mereka dapat diaktifkan dengan cara yang sama seperti penyedia bawaan seperti Autentikasi Formulir dan Autentikasi Sertifikat, untuk penggunaan intranet dan/atau ekstranet.
Setelah penyedia eksternal diaktifkan untuk ekstranet, intranet, atau keduanya, penyedia eksternal akan tersedia untuk digunakan pengguna. Jika lebih dari satu metode diaktifkan, pengguna melihat halaman pilihan dan dapat memilih metode utama, seperti yang mereka lakukan untuk autentikasi tambahan.
Prerequisites
Sebelum mengonfigurasi penyedia autentikasi eksternal sebagai utama, pastikan Anda memiliki prasyarat berikut.
- Tingkat perilaku farm AD FS (FBL) telah dinaikkan ke '4' (Nilai ini diterjemahkan ke AD FS 2019.)
- Ini adalah nilai FBL default untuk farm AD FS 2019 baru.
- Untuk Active Directory Federation Services (AD FS) farm yang berbasis Windows Server 2012 R2 atau 2016, FBL dapat dinaikkan menggunakan commandlet PowerShell Invoke-AdfsFarmBehaviorLevelRaise. Untuk informasi lebih lanjut tentang cara meningkatkan farm AD FS, lihat artikel tentang peningkatan farm untuk farm SQL atau WID.
- Anda dapat memeriksa nilai FBL menggunakan cmdlet Get-AdfsFarmInformation.
- Peternakan AD FS 2019 dikonfigurasi untuk menggunakan halaman tampilan pengguna baru 'berhalaman' 2019.
- Ini adalah perilaku default untuk farm AD FS 2019 baru.
- Untuk farm AD FS yang ditingkatkan dari Windows Server 2012 R2 atau 2016, alur yang dipaginasi diaktifkan secara otomatis ketika autentikasi eksternal sebagai primari (fitur yang dijelaskan dalam dokumen ini) diaktifkan sebagaimana dijelaskan di bagian berikutnya dari artikel ini.
Mengaktifkan metode autentikasi eksternal sebagai primer
Setelah Anda memverifikasi prasyarat, ada dua cara untuk mengonfigurasi penyedia autentikasi tambahan Layanan Federasi Direktori Aktif sebagai utama: PowerShell, atau konsol Manajemen Layanan Federasi Direktori Aktif.
Menggunakan PowerShell
PS C:\> Set-AdfsGlobalAuthenticationPolicy -AllowAdditionalAuthenticationAsPrimary $true
Layanan AD FS harus dimulai ulang setelah mengaktifkan atau menonaktifkan autentikasi tambahan sebagai metode utama.
Menggunakan konsol Manajemen AD FS
Di konsol Manajemen Layanan Federasi Direktori Aktif, di bawah Metode AutentikasiLayanan>, di bawah Metode Autentikasi Utama, pilih Edit
Pilih kotak centang untuk Izinkan penyedia autentikasi tambahan sebagai utama.
Layanan AD FS harus dimulai ulang setelah mengaktifkan atau menonaktifkan autentikasi tambahan sebagai metode utama.
Aktifkan nama pengguna dan kata sandi sebagai autentikasi tambahan
Untuk menyelesaikan skenario "melindungi kata sandi", aktifkan username dan kata sandi sebagai autentikasi tambahan menggunakan PowerShell atau konsol Manajemen Layanan Federasi Direktori Aktif (AD FS Management console). Contoh disediakan untuk kedua metode.
Mengaktifkan nama pengguna dan kata sandi sebagai autentikasi tambahan menggunakan PowerShell
PS C:\> $providers = (Get-AdfsGlobalAuthenticationPolicy).AdditionalAuthenticationProvider
PS C:\>$providers = $providers + "FormsAuthentication"
PS C:\>Set-AdfsGlobalAuthenticationPolicy -AdditionalAuthenticationProvider $providers
Mengaktifkan nama pengguna dan kata sandi sebagai autentikasi tambahan dengan menggunakan konsol Manajemen AD FS
Di konsol Manajemen Layanan Federasi Direktori Aktif, di bawah Metode AutentikasiLayanan>, di bawah Metode Autentikasi Tambahan, pilih Edit
Pilih kotak centang untuk Autentikasi Formulir untuk mengaktifkan nama pengguna dan kata sandi sebagai autentikasi tambahan.