Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
È possibile abilitare un controllo di accesso più ricco per le applicazioni federate utilizzando le attestazioni su utenti e dispositivi emesse da Active Directory Domain Services (AD DS), insieme ad Active Directory Federation Services (AD FS).
Informazioni sul controllo dinamico degli accessi
In Windows Server® 2012, la funzionalità Controllo dinamico degli accessi consente alle organizzazioni di concedere l'accesso ai file in base alle attestazioni utente (che sono generate dagli attributi dell'account utente) e alle attestazioni del dispositivo (che vengono generate dagli attributi dell'account computer) rilasciate da Active Directory Domain Services (AD DS). Le attestazioni rilasciate da Servizi di dominio Active Directory sono integrate nell'autenticazione integrata di Windows tramite il protocollo di autenticazione Kerberos.
Per altre informazioni sul controllo dinamico degli accessi, vedere Guida di orientamento al contenuto di Controllo dinamico degli accessi.
Novità di AD FS
Come estensione per lo scenario di controllo dinamico degli accessi, AD FS in Windows Server 2012 può ora:
Accedere agli attributi dell'account computer oltre agli attributi dell'account utente dall'interno di AD DS. Nelle versioni precedenti di AD FS, il servizio federativo non poteva affatto accedere agli attributi dell'account del computer da AD DS.
Utilizzare attestazioni utente o dispositivo rilasciate da Servizi di dominio Active Directory che risiedono in un ticket di autenticazione Kerberos. Nelle versioni precedenti di AD FS, il motore delle attestazioni era in grado di leggere gli ID di sicurezza degli utenti e dei gruppi (SID) da Kerberos, ma non riusciva a leggere le informazioni sulle attestazioni contenute in un ticket Kerberos.
Trasformare le attestazioni utente o dispositivo rilasciate da Servizi di dominio Active Directory in token SAML che possono usare le applicazioni per eseguire un controllo di accesso più completo.
Vantaggi dell'uso delle attestazioni di Active Directory Domain Services con AD FS
Queste attestazioni rilasciate da Servizi di dominio Active Directory possono essere inserite nei ticket di autenticazione Kerberos e usate con AD FS per offrire i vantaggi seguenti:
Le organizzazioni che richiedono criteri di controllo di accesso più avanzati possono abilitare l'accesso basato sulle attestazioni alle applicazioni e alle risorse usando le attestazioni rilasciate da Servizi di dominio Active Directory basate sui valori di attributo archiviati in Active Directory Domain Services per un determinato account utente o computer. Ciò consente agli amministratori di ridurre il sovraccarico aggiuntivo associato alla creazione e alla gestione:
Gruppi di sicurezza di Active Directory Domain Services che altrimenti verrebbero usati per controllare l'accesso alle applicazioni e alle risorse accessibili tramite l'autenticazione integrata di Windows.
I trust della foresta che altrimenti verrebbero usati per controllare l'accesso alle applicazioni e alle risorse accessibili da Business to Business (B2B) / Internet.
Le organizzazioni possono ora impedire l'accesso non autorizzato alle risorse di rete dai computer client in base al fatto che un valore di attributo dell'account computer specifico archiviato in Active Directory Domain Services (ad esempio, il nome DNS di un computer) corrisponda al criterio di controllo degli accessi della risorsa (ad esempio, un file server che è stato ACLd con dichiarazioni) o ai criteri di una relying party (ad esempio, un'applicazione Web in grado di riconoscere dichiarazioni). Ciò consente agli amministratori di impostare criteri di controllo di accesso più completi per le risorse o le applicazioni che sono:
Accessibile solo tramite l'autenticazione integrata di Windows.
Internet accessibile tramite meccanismi di autenticazione ad AD FS. AD FS può essere utilizzato per trasformare le attestazioni di dispositivo rilasciate dai Servizi di dominio Active Directory in attestazioni AD FS che possono essere incapsulate in token SAML, i quali possono essere utilizzati da una risorsa o da un'applicazione relying party accessibili su Internet.
Differenze tra le attestazioni rilasciate da Active Directory Domain Services e AD FS
Esistono due fattori di differenziazione importanti per comprendere le attestazioni rilasciate da Servizi di dominio Active Directory rispetto ad AD FS. Queste differenze includono:
I Servizi di dominio Active Directory (AD DS) possono emettere solo attestazioni che sono incapsulate nei ticket Kerberos, non nei token SAML. Per ulteriori informazioni su come AD DS rilascia attestazioni, vedere Dynamic Access Control Content Roadmap.
AD FS può emettere solo attestazioni incapsulate nei token SAML, non nei ticket Kerberos. Per altre informazioni sul modo in cui AD FS rilascia attestazioni, vedere Ruolo del motore di attestazioni.
Funzionamento delle attestazioni rilasciate da Servizi di dominio Active Directory con AD FS
Le attestazioni emesse da AD DS possono essere utilizzate con AD FS per accedere direttamente alle attestazioni utente e dispositivo dal contesto di autenticazione dell'utente, invece di effettuare una chiamata LDAP separata ad Active Directory. La figura seguente e i passaggi corrispondenti illustrano il funzionamento di questo processo in modo più dettagliato per abilitare il controllo degli accessi in base alle attestazioni per lo scenario di controllo dinamico degli accessi.
Un amministratore di Active Directory Domain Services usa la console del Centro di amministrazione di Active Directory o i cmdlet di PowerShell per abilitare oggetti tipo di attestazione specifici nello schema di Active Directory Domain Services.
Un amministratore di AD FS usa la console di gestione di AD FS per creare e configurare i trust del provider di attestazioni e del relying party con regole di attestazione di transito o trasformazione.
Un client Windows tenta di accedere alla rete. Come parte del processo di autenticazione Kerberos, il client presenta il Ticket Granting Ticket (TGT) utente e computer, che non contiene ancora attestazioni, al controller di dominio. Il controller di dominio cerca quindi in Active Directory Domain Services i tipi di attestazione abilitati e include tutte le attestazioni risultanti nel ticket Kerberos restituito.
Quando l'utente/client tenta di accedere a una risorsa file che è ACL per richiedere le attestazioni, può accedere alla risorsa perché l'ID composto che è stato visualizzato da Kerberos ha queste attestazioni.
Quando lo stesso client tenta di accedere a un sito Web o a un'applicazione Web configurata per l'autenticazione ad AD FS, l'utente viene reindirizzato a un server federativo AD FS configurato per l'autenticazione integrata di Windows. Il client invia una richiesta al controller di dominio usando Kerberos. Il controller di dominio emette un ticket Kerberos contenente le attestazioni richieste che il client può quindi presentare al server federativo.
In base al modo in cui le regole delle attestazioni sono state configurate sul provider di attestazioni e sugli affidamenti della relying party che l'amministratore ha configurato in precedenza, AD FS legge le attestazioni dal ticket Kerberos e le include in un token SAML che emette per il client.
Il client riceve il token SAML contenente le attestazioni corrette e viene quindi reindirizzato al sito Web.
Per ulteriori informazioni su come creare le regole per le attestazioni necessarie affinché le attestazioni emesse dai Servizi di dominio di Active Directory funzionino con AD FS, vedere Creare una regola per trasformare un'attestazione in ingresso.