Bagikan melalui

Mengonfigurasi penyedia autentikasi pihak ketiga sebagai autentikasi utama di LAYANAN Federasi Direktori Aktif 2019

  • Artikel

Organisasi mengalami serangan yang mencoba memaksa, membahayakan, atau mengunci akun pengguna dengan mengirim permintaan autentikasi berbasis kata sandi. Untuk membantu melindungi organisasi dari kompromi, Layanan Federasi Direktori Aktif telah memperkenalkan kemampuan seperti penguncian "pintar" ekstranet, dan pemblokiran berbasis alamat IP.

Namun, mitigasi ini reaktif. Untuk memberikan cara proaktif, untuk mengurangi tingkat keparahan serangan ini, Layanan Federasi Direktori Aktif memiliki kemampuan untuk meminta faktor lain sebelum mengumpulkan kata sandi.

Misalnya, AD FS 2016 memperkenalkan autentikasi multifaktor Microsoft Entra sebagai autentikasi utama sehingga kode OTP dari Aplikasi Authenticator dapat digunakan sebagai faktor pertama. Dimulai dengan Layanan Federasi Direktori Aktif 2019, Anda dapat mengonfigurasi penyedia autentikasi eksternal sebagai faktor autentikasi utama.

Ada dua skenario utama yang memungkinkan:

Skenario 1: lindungi kata sandi

Lindungi masuk berbasis kata sandi dari serangan brute-force dan penguncian dengan meminta faktor eksternal tambahan terlebih dahulu. Perintah kata sandi hanya terlihat ketika autentikasi eksternal berhasil diselesaikan. Ini menghilangkan cara yang nyaman penyerang telah mencoba untuk membahayakan atau menonaktifkan akun.

Skenario ini terdiri dari dua komponen:

  • Meminta autentikasi multifaktor Microsoft Entra (tersedia di Layanan Federasi Direktori Aktif 2016 dan seterusnya) atau faktor autentikasi eksternal sebagai autentikasi utama
  • Nama pengguna dan kata sandi sebagai autentikasi tambahan di Layanan Federasi Direktori Aktif

Skenario 2: bebas kata sandi

Hilangkan kata sandi sepenuhnya tetapi menyelesaikan autentikasi multifaktor yang kuat menggunakan metode yang sepenuhnya tidak berbasis kata sandi di Layanan Federasi Direktori Aktif

  • Autentikasi multifaktor Microsoft Entra dengan aplikasi Authenticator
  • Windows 10 Hello untuk Bisnis
  • Autentikasi sertifikat
  • Penyedia autentikasi eksternal

Konsep

Apa sebenarnya autentikasi utama berarti bahwa itu adalah metode yang diminta pengguna terlebih dahulu, sebelum faktor tambahan. Sebelumnya satu-satunya metode utama yang tersedia di Layanan Federasi Direktori Aktif dibangun dalam metode untuk Direktori Aktif atau autentikasi multifaktor Microsoft Entra, atau penyimpanan autentikasi LDAP lainnya. Metode eksternal dapat dikonfigurasi sebagai autentikasi "tambahan", yang berlangsung setelah autentikasi utama berhasil diselesaikan.

Dalam Layanan Federasi Direktori Aktif 2019, autentikasi eksternal sebagai kemampuan utama berarti bahwa setiap penyedia autentikasi eksternal yang terdaftar di farm Ad FS (menggunakan Register-AdfsAuthenticationProvider) tersedia untuk autentikasi utama dan autentikasi "tambahan". Mereka dapat diaktifkan dengan cara yang sama seperti penyedia bawaan seperti Autentikasi Formulir dan Autentikasi Sertifikat, untuk penggunaan intranet dan/atau ekstranet.

authentication

Setelah penyedia eksternal diaktifkan untuk ekstranet, intranet, atau keduanya, penyedia eksternal akan tersedia untuk digunakan pengguna. Jika lebih dari satu metode diaktifkan, pengguna melihat halaman pilihan dan dapat memilih metode utama, seperti yang mereka lakukan untuk autentikasi tambahan.

Prasyarat

Sebelum mengonfigurasi penyedia autentikasi eksternal sebagai utama, pastikan Anda memiliki prasyarat berikut.

  • Tingkat perilaku farm Layanan Federasi Direktori Aktif (FBL) telah dinaikkan menjadi '4' (Nilai ini diterjemahkan ke Layanan Federasi Direktori Aktif 2019.)
    • Ini adalah nilai FBL default untuk farm AD FS 2019 baru.
    • Untuk farm Layanan Federasi Direktori Aktif berdasarkan Windows Server 2012 R2 atau 2016, FBL dapat dinaikkan menggunakan commandlet PowerShell Invoke-AdfsFarmBehaviorLevelRaise. Untuk informasi selengkapnya tentang meningkatkan farm Layanan Federasi Direktori Aktif, lihat artikel peningkatan farm untuk farm SQL atau farm WID
    • Anda dapat memeriksa nilai FBL menggunakan cmdlet Get-AdfsFarmInformation.
  • Layanan Federasi Direktori Aktif 2019 dikonfigurasi untuk menggunakan halaman pengguna baru 'paginated' 2019.
    • Ini adalah perilaku default untuk farm AD FS 2019 baru.
    • Untuk farm Layanan Federasi Direktori Aktif yang ditingkatkan dari Windows Server 2012 R2 atau 2016, alur paginasi diaktifkan secara otomatis ketika autentikasi eksternal sebagai utama (fitur yang dijelaskan dalam dokumen ini) diaktifkan seperti yang dijelaskan di bagian berikutnya dari artikel ini.

Mengaktifkan metode autentikasi eksternal sebagai primer

Setelah Anda memverifikasi prasyarat, ada dua cara untuk mengonfigurasi penyedia autentikasi tambahan Layanan Federasi Direktori Aktif sebagai utama: PowerShell, atau konsol Manajemen Layanan Federasi Direktori Aktif.

Menggunakan PowerShell

PS C:\> Set-AdfsGlobalAuthenticationPolicy -AllowAdditionalAuthenticationAsPrimary $true

Layanan Layanan Federasi Direktori Aktif harus dimulai ulang setelah mengaktifkan atau menonaktifkan autentikasi tambahan sebagai utama.

Menggunakan konsol Manajemen Layanan Federasi Direktori Aktif

Di konsol Manajemen Layanan Federasi Direktori Aktif, di bawah Metode Autentikasi Layanan>, di bawah Metode Autentikasi Utama, pilih Edit

Pilih kotak centang untuk Izinkan penyedia autentikasi tambahan sebagai utama.

Layanan Layanan Federasi Direktori Aktif harus dimulai ulang setelah mengaktifkan atau menonaktifkan autentikasi tambahan sebagai utama.

Aktifkan nama pengguna dan kata sandi sebagai autentikasi tambahan

Untuk menyelesaikan skenario "lindungi kata sandi", aktifkan nama pengguna dan kata sandi sebagai autentikasi tambahan menggunakan PowerShell atau konsol Manajemen Layanan Federasi Direktori Aktif. Contoh disediakan untuk kedua metode.

Mengaktifkan nama pengguna dan kata sandi sebagai autentikasi tambahan menggunakan PowerShell

PS C:\> $providers = (Get-AdfsGlobalAuthenticationPolicy).AdditionalAuthenticationProvider

PS C:\>$providers = $providers + "FormsAuthentication"

PS C:\>Set-AdfsGlobalAuthenticationPolicy -AdditionalAuthenticationProvider $providers

Mengaktifkan nama pengguna dan kata sandi sebagai autentikasi tambahan menggunakan konsol Manajemen Layanan Federasi Direktori Aktif

Di konsol Manajemen Layanan Federasi Direktori Aktif, di bawah Metode Autentikasi Layanan>, di bawah Metode Autentikasi Tambahan, pilih Edit

Pilih kotak centang untuk Autentikasi Formulir untuk mengaktifkan nama pengguna dan kata sandi sebagai autentikasi tambahan.