Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Panduan Penelusuran : Mengelola Risiko dengan Autentikasi Multifaktor Tambahan untuk Aplikasi Sensitif
Dalam panduan ini
Panduan ini menyediakan informasi berikut:
Mekanisme autentikasi di Layanan Federasi Direktori Aktif - deskripsi mekanisme autentikasi yang tersedia di Layanan Federasi Direktori Aktif (AD FS) di Windows Server 2012 R2
Gambaran Umum Skenario - deskripsi skenario di mana Anda menggunakan Layanan Federasi Direktori Aktif (AD FS) untuk mengaktifkan autentikasi multifaktor (MFA) berdasarkan keanggotaan grup pengguna.
Note
Di Layanan Federasi Direktori Aktif (AD FS) di Windows Server 2012 R2, Anda dapat mengaktifkan otentikasi multi-faktor (MFA) berdasarkan lokasi jaringan, identitas perangkat, serta identitas pengguna atau keanggotaan grup.
Untuk instruksi panduan langkah demi langkah terperinci untuk mengonfigurasi dan memverifikasi skenario ini, lihat Panduan Penelusuran: Mengelola Risiko dengan Autentikasi Multifaktor Tambahan untuk Aplikasi Sensitif.
Konsep Utama - Mekanisme autentikasi di Layanan Federasi Direktori Aktif (AD FS)
Manfaat mekanisme autentikasi di Active Directory Federation Services (AD FS)
Layanan Federasi Direktori Aktif (AD FS) di Windows Server 2012 R2 menyediakan seperangkat alat yang lebih kaya dan lebih fleksibel untuk mengautentikasi pengguna yang ingin mengakses sumber daya perusahaan. Ini memberdayakan administrator dengan kontrol fleksibel atas metode autentikasi utama dan tambahan, memberikan pengalaman manajemen yang kaya untuk mengonfigurasi polisi autentikasi (baik melalui antarmuka pengguna dan Windows PowerShell), dan meningkatkan pengalaman bagi pengguna akhir yang mengakses aplikasi dan layanan yang diamankan oleh Ad FS. Berikut beberapa manfaat mengamankan aplikasi dan layanan Anda dengan Layanan Federasi Active Directory di Windows Server 2012 R2:
Kebijakan autentikasi global - kemampuan manajemen pusat, tempat administrator TI dapat memilih metode autentikasi apa yang digunakan untuk mengautentikasi pengguna berdasarkan lokasi jaringan tempat mereka mengakses sumber daya yang dilindungi. Ini memungkinkan administrator untuk melakukan hal berikut:
Mandat penggunaan metode autentikasi yang lebih aman untuk permintaan akses dari ekstranet.
Aktifkan autentikasi perangkat untuk autentikasi faktor kedua yang mulus. Ini mengikat identitas pengguna ke perangkat terdaftar yang digunakan untuk mengakses sumber daya, sehingga menawarkan verifikasi identitas gabungan yang lebih aman sebelum sumber daya yang dilindungi diakses.
Note
Untuk informasi selengkapnya tentang objek perangkat, Device Registration Service, Workplace Join, dan perangkat sebagai autentikasi faktor kedua dan SSO yang mulus, silakan lihat Bergabung dengan Tempat Kerja dari Perangkat Apa Pun untuk SSO dan Autentikasi Faktor Kedua Tanpa Hambatan pada Seluruh Aplikasi Perusahaan.
Atur persyaratan MFA untuk semua akses ekstranet atau secara kondisional berdasarkan identitas pengguna, lokasi jaringan, atau perangkat yang digunakan untuk mengakses sumber daya yang dilindungi.
Fleksibilitas yang lebih besar dalam mengonfigurasi kebijakan autentikasi: Anda dapat mengonfigurasi kebijakan autentikasi kustom untuk sumber daya yang diamankan Ad FS dengan nilai bisnis yang bervariasi. Misalnya, Anda dapat memerlukan MFA untuk aplikasi dengan dampak bisnis yang tinggi.
Kemudahan penggunaan: alat manajemen sederhana dan intuitif seperti snap-in MMC Manajemen AD FS berbasis GUI dan cmdlet Windows PowerShell memungkinkan administrator TI untuk mengonfigurasi kebijakan autentikasi dengan lebih mudah. Dengan Windows PowerShell, Anda dapat membuat skrip solusi untuk digunakan dalam skala besar dan mengotomatiskan tugas administratif biasa.
Kontrol yang lebih besar atas aset perusahaan: karena sebagai administrator, Anda dapat menggunakan Layanan Federasi Direktori Aktif untuk mengonfigurasi kebijakan autentikasi yang berlaku untuk sumber daya tertentu, Anda memiliki kontrol yang lebih besar atas bagaimana sumber daya perusahaan diamankan. Aplikasi tidak dapat mengambil alih kebijakan autentikasi yang ditentukan oleh administrator TI. Untuk aplikasi dan layanan sensitif, Anda dapat mengaktifkan persyaratan MFA, autentikasi perangkat, dan autentikasi baru opsional setiap kali sumber daya diakses.
Dukungan untuk penyedia MFA kustom: untuk organisasi yang memanfaatkan metode MFA pihak ketiga, AD FS menawarkan kemampuan untuk mengintegrasikan dan menggunakan metode autentikasi ini secara mulus.
Cakupan autentikasi
Di Layanan Federasi Direktori Aktif di Windows Server 2012 R2, Anda dapat menentukan kebijakan autentikasi pada cakupan global yang berlaku untuk semua aplikasi dan layanan yang diamankan oleh Layanan Federasi Direktori Aktif. Anda juga dapat mengatur kebijakan autentikasi untuk aplikasi dan layanan tertentu (kepercayaan pihak pengandalan) yang diamankan oleh AD FS. Menetapkan kebijakan autentikasi untuk aplikasi tertentu (berdasarkan kepercayaan pihak yang mengandalkan) tidak menggantikan kebijakan autentikasi global. Jika kebijakan autentikasi kepercayaan pihak pengandalan global atau per pihak memerlukan MFA, MFA akan dipicu ketika pengguna mencoba mengautentikasi ke kepercayaan pihak pengandalan ini. Kebijakan autentikasi global adalah kebijakan cadangan untuk kepercayaan pada pihak ketiga (aplikasi dan layanan) yang tidak memiliki kebijakan autentikasi spesifik yang dikonfigurasi.
Kebijakan autentikasi global berlaku untuk semua pihak yang bergantung dan diamankan oleh Active Directory Federation Services (AD FS). Anda dapat mengonfigurasi pengaturan berikut sebagai bagian dari kebijakan autentikasi global:
Metode autentikasi yang akan digunakan untuk autentikasi utama
Pengaturan dan metode untuk Autentikasi Multi-Faktor
Apakah autentikasi perangkat diaktifkan. Untuk informasi selengkapnya, lihat Bergabung dengan Tempat Kerja dari Perangkat Apa Pun untuk SSO dan Autentikasi Faktor Kedua yang Lancar di Seluruh Aplikasi Perusahaan.
Kebijakan autentikasi kepercayaan pihak yang mengandalkan berlaku khusus untuk upaya mengakses kepercayaan pihak yang mengandalkan (aplikasi atau layanan). Anda dapat mengonfigurasi pengaturan berikut sebagai bagian dari kebijakan autentikasi kepercayaan pihak yang mengandalkan:
Apakah pengguna diharuskan untuk memberikan kredensial mereka setiap kali masuk
Pengaturan MFA berdasarkan pengguna/grup, pendaftaran perangkat, dan data lokasi permintaan akses
Metode autentikasi primer dan tambahan
Dengan AD FS di Windows Server 2012 R2, selain mekanisme autentikasi utama, administrator dapat mengonfigurasi metode autentikasi tambahan. Metode autentikasi utama adalah bawaan dan dimaksudkan untuk memvalidasi identitas pengguna. Anda dapat mengonfigurasi faktor autentikasi tambahan untuk meminta informasi lebih lanjut tentang identitas pengguna disediakan dan akibatnya memastikan autentikasi yang lebih kuat.
Dengan autentikasi utama di AD FS pada Windows Server 2012 R2, Anda memiliki opsi berikut:
Agar sumber daya yang diterbitkan diakses dari luar jaringan perusahaan, Autentikasi Formulir dipilih secara default. Selain itu, Anda juga dapat mengaktifkan Autentikasi Sertifikat (dengan kata lain, autentikasi berbasis kartu pintar atau autentikasi sertifikat klien pengguna yang berfungsi dengan AD DS).
Untuk sumber daya intranet, Autentikasi Windows dipilih secara default. Selain itu Anda juga dapat mengaktifkan Formulir dan/atau Autentikasi Sertifikat.
Dengan memilih lebih dari satu metode autentikasi, Anda memungkinkan pengguna Anda memiliki pilihan metode apa yang harus diautentikasi di halaman masuk untuk aplikasi atau layanan Anda.
Anda juga dapat mengaktifkan autentikasi perangkat untuk autentikasi faktor kedua yang mulus. Ini mengikat identitas pengguna ke perangkat terdaftar yang digunakan untuk mengakses sumber daya, sehingga menawarkan verifikasi identitas gabungan yang lebih aman sebelum sumber daya yang dilindungi diakses.
Note
Untuk informasi selengkapnya tentang objek perangkat, Device Registration Service, Workplace Join, dan perangkat sebagai autentikasi faktor kedua dan SSO yang mulus, silakan lihat Bergabung dengan Tempat Kerja dari Perangkat Apa Pun untuk SSO dan Autentikasi Faktor Kedua Tanpa Hambatan pada Seluruh Aplikasi Perusahaan.
Jika Anda menentukan metode Autentikasi Windows (opsi default) untuk sumber daya intranet Anda, permintaan autentikasi menjalani metode ini dengan mulus pada browser yang mendukung autentikasi Windows.
Note
Autentikasi Windows tidak didukung pada semua penjelajah. Mekanisme autentikasi di AD FS pada Windows Server 2012 R2 mendeteksi agen pengguna dari browser pengguna dan menggunakan pengaturan yang dapat dikonfigurasi untuk menentukan apakah agen pengguna tersebut mendukung Autentikasi Windows. Administrator dapat menambahkan ke daftar agen pengguna ini (melalui perintah Windows PowerShell Set-AdfsProperties -WIASupportedUserAgents , untuk menentukan string agen pengguna alternatif untuk browser yang mendukung Autentikasi Windows. Jika agen pengguna klien tidak mendukung Autentikasi Windows, metode fallback defaultnya adalah Autentikasi Formulir.
Mengonfigurasi MFA
Ada dua bagian untuk mengonfigurasi MFA di AD FS dalam Windows Server 2012 R2: menentukan kondisi di mana MFA diperlukan, dan memilih metode autentikasi tambahan. Untuk informasi selengkapnya tentang metode autentikasi tambahan, lihat Mengonfigurasi Metode Autentikasi Tambahan untuk AD FS.
Pengaturan MFA
Opsi berikut tersedia untuk pengaturan MFA (kondisi yang memerlukan MFA):
Anda dapat mewajibkan MFA untuk pengguna dan grup tertentu di domain AD tempat server federasi Anda bergabung.
Anda dapat mewajibkan MFA untuk perangkat terdaftar (tersambung ke tempat kerja) atau tidak terdaftar (tidak tersambung ke tempat kerja).
Windows Server 2012 R2 mengambil pendekatan yang berpusat pada pengguna untuk perangkat modern di mana objek perangkat mewakili hubungan antara pengguna@perangkat dan perusahaan. Objek perangkat adalah kelas baru di AD di Windows Server 2012 R2 yang dapat digunakan untuk menawarkan identitas campuran saat menyediakan akses ke aplikasi dan layanan. Komponen baru AD FS - layanan pendaftaran perangkat (DRS) - menyediakan identitas perangkat di Direktori Aktif dan menetapkan sertifikat pada perangkat konsumen yang akan digunakan untuk mewakili identitas perangkat. Anda kemudian dapat menggunakan identitas perangkat ini untuk bergabung dengan perangkat Anda di tempat kerja, dengan kata lain, untuk menyambungkan perangkat pribadi Anda ke Direktori Aktif tempat kerja Anda. Ketika Anda bergabung dengan perangkat pribadi Anda ke tempat kerja Anda, perangkat tersebut menjadi perangkat yang dikenal dan akan menyediakan autentikasi faktor kedua yang mulus ke sumber daya dan aplikasi yang dilindungi. Dengan kata lain, setelah perangkat bergabung dengan tempat kerja, identitas pengguna terikat dengan perangkat ini dan dapat digunakan untuk verifikasi identitas campuran yang mulus sebelum sumber daya yang dilindungi diakses.
Untuk informasi selengkapnya tentang bergabung dan keluar dari tempat kerja, lihat Bergabung ke Tempat Kerja dari Perangkat Apa Pun untuk SSO dan Autentikasi Faktor Kedua Tanpa Hambatan Di Seluruh Aplikasi Perusahaan.
Anda dapat memerlukan MFA ketika permintaan akses untuk sumber daya yang dilindungi berasal dari ekstranet atau intranet.
Gambaran Umum Skenario
Dalam skenario ini, Anda mengaktifkan MFA berdasarkan data keanggotaan grup pengguna untuk aplikasi tertentu. Dengan kata lain, Anda akan menyiapkan kebijakan autentikasi di server federasi Anda untuk mewajibkan MFA ketika pengguna yang termasuk dalam grup tertentu meminta akses ke aplikasi tertentu yang dihosting di server web.
Lebih khusus lagi, dalam skenario ini, Anda mengaktifkan kebijakan autentikasi untuk aplikasi pengujian berbasis klaim yang disebut claimapp, di mana pengguna AD Robert Hatley akan diminta untuk menjalani MFA karena ia termasuk dalam grup AD Finance.
Instruksi langkah demi langkah untuk menyiapkan dan memverifikasi skenario ini disediakan dalam Panduan Penelusuran: Mengelola Risiko dengan Autentikasi Multifaktor Tambahan untuk Aplikasi Sensitif. Untuk menyelesaikan langkah-langkah dalam walkthrough ini, Anda harus menyiapkan lingkungan lab dan mengikuti langkah-langkah dalam "Menyiapkan lingkungan lab untuk Layanan Federasi Direktori Aktif di Windows Server 2012 R2".
Skenario lain untuk mengaktifkan MFA di Layanan Federasi Direktori Aktif (AD FS) meliputi hal-hal berikut:
Aktifkan MFA, jika permintaan akses berasal dari ekstranet. Anda dapat memodifikasi kode yang disajikan di bagian "Siapkan Kebijakan MFA" dari Panduan Penelusuran: Mengelola Risiko dengan Autentikasi Multifaktor Tambahan untuk Aplikasi Sensitif dengan hal berikut:
'c:[type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn" );'Aktifkan MFA jika permintaan akses berasal dari perangkat yang tidak terhubung ke jaringan tempat kerja. Anda dapat memodifikasi kode yang disajikan di bagian "Siapkan Kebijakan MFA" dari Panduan Penelusuran: Mengelola Risiko dengan Autentikasi Multifaktor Tambahan untuk Aplikasi Sensitif dengan hal berikut:
'NOT EXISTS([type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid"]) => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'Aktifkan MFA, jika akses berasal dari pengguna dengan perangkat yang terhubung ke tempat kerja tetapi tidak didaftarkan atas nama pengguna ini. Anda dapat memodifikasi kode yang disajikan di bagian "Siapkan Kebijakan MFA" dari Panduan Penelusuran: Mengelola Risiko dengan Autentikasi Multifaktor Tambahan untuk Aplikasi Sensitif dengan hal berikut:
'c:[type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", value == "false"] => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'
Lihat Juga
Panduan Langkah demi Langkah: Mengelola Risiko dengan Autentikasi Multifaktor Tambahan untuk Aplikasi SensitifMenyiapkan lingkungan lab untuk AD FS di Windows Server 2012 R2