Gestire i rischi con l'autenticazione a più fattori aggiuntiva per le applicazioni con esigenze particolari
In questa guida
In questa guida sono disponibili le informazioni seguenti:
Meccanismi di autenticazione in AD FS: descrizione dei meccanismi di autenticazione disponibili in Active Directory Federation Services (AD FS) in Windows Server 2012 R2
Panoramica dello scenario – descrizione di uno scenario nel quale si utilizza Active Directory Federation Services (AD FS) per abilitare l'autenticazione a più fattori in base all'appartenenza a gruppi dell'utente.
Nota
In AD FS in Windows Server 2012 R2 è possibile abilitare l'autenticazione a più fattori in base alla posizione in rete, all'identità del dispositivo e all'identità o all'appartenenza a gruppi dell'utente.
Per istruzioni dettagliate per la configurazione e la verifica di questo scenario, vedere Guida dettagliata: Gestire i rischi con l'autenticazione a più fattori per le applicazioni con esigenze particolari.
Concetti di base - Meccanismi di autenticazione in AD FS
Vantaggi dei meccanismi di autenticazione in ADFS
Active Directory Federation Services (AD FS) in Windows Server 2012 R2 offre agli amministratori IT un set di strumenti più ampio e flessibile per l'autenticazione degli utenti che desiderano accedere alle risorse aziendali. Questa funzionalità offre agli amministratori strumenti di controllo flessibili sui metodi di autenticazione principale e aggiuntivi, un'esperienza di gestione completa per la configurazione dei criteri di autenticazione (sia tramite l'interfaccia utente che con Windows PowerShell) e migliora l'esperienza degli utenti finali che accedono ad applicazioni e servizi protetti da AD FS. Di seguito sono elencati alcuni dei vantaggi della protezione di applicazioni e servizi con AD FS in Windows Server 2012 R2:
Criteri di autenticazione globali - una funzionalità di gestione centralizzata che consente a un amministratore IT di scegliere i metodi di autenticazione utilizzati per autenticare gli utenti in base alla posizione della rete da cui accedono alle risorse protette. Ciò consente agli amministratori di:
Imporre l'utilizzo di metodi di autenticazione più sicuri per le richieste di accesso dall'Extranet.
Consentire l'autenticazione dei dispositivi per un'autenticazione a due fattori trasparente. Con questo metodo, l'identità dell'utente viene associata al dispositivo registrato utilizzato per accedere alla risorsa e si ottiene così una verifica dell'identità composta più sicura prima dell'accesso alle risorse protette.
Nota
Per ulteriori informazioni sull'oggetto dispositivo, il servizio DRS (Device Registration Service), l'unione all'area di lavoro, l'autenticazione del dispositivo come autenticazione a due fattori trasparente e SSO, vedere Accedere a una rete aziendale da qualsiasi dispositivo per SSO e l'autenticazione a più fattori trasparente per tutte le applicazioni aziendali.
Impostare l'autenticazione a più fattori come requisito per tutti gli accessi all'Extranet oppure come requisito condizionale in base all'identità dell'utente, alla posizione in rete o al dispositivo utilizzato per accedere alle risorse protette.
Maggiore flessibilità per la configurazione dei criteri di autenticazione: è possibile configurare criteri di autenticazione personalizzati per le risorse protette con AD FS con valori aziendali variabili. È ad esempio possibile richiedere l'autenticazione a più fattori per le applicazioni con notevole impatto aziendale.
Facilità d'uso: strumenti di gestione semplici e intuitivi, ad esempio lo snap-in MMC di gestione AD FS basato su GUI e i cmdlet di Windows PowerShell consentono agli amministratori IT di configurare i criteri di autenticazione con facilità relativa. È possibile utilizzare Windows PowerShell per creare script delle soluzioni per poterli utilizzare su larga scale e per automatizzare le attività amministrative più ripetitive.
Maggiore controllo sulle risorse aziendali: dato che un amministratore può utilizzare AD FS per configurare criteri di autenticazione applicabili a una specifica risorsa, si ottiene un maggiore controllo sulle modalità cdi protezione delle risorse aziendali. Le applicazioni non possono ignorare i criteri di autenticazione specificati dagli amministratori IT. Per le applicazioni e i servizi con esigenze particolari, è possibile imporre l'autenticazione a più fattori, l'autenticazione del dispositivo e facoltativamente la ripetizione dell'autenticazione per ogni accesso alla risorsa.
Supporto di provider di autenticazione a più fattori personalizzati: alle organizzazioni che utilizzano metodi di autenticazione a più fattori di terze parti, AD FS offre la possibilità di incorporare e utilizzare senza problemi tali metodi.
Ambito di autenticazione
In ADFS, in Windows Server 2012 R2, è possibile specificare un criterio di autenticazione in un ambito globale che è applicabile a tutte le applicazioni e servizi protetti da AD FS. È inoltre possibile impostare criteri di autenticazione per applicazioni e servizi specifici (attendibilità del componente) protetti da AD FS. L'impostazione di criteri di autenticazione per un'applicazione particolare (per attendibilità del componente) non ha la precedenza sui criteri di autenticazione globali. Se i criteri di autenticazione globali o di attendibilità del componente richiedono l'autenticazione a più fattori, questo tipo di autenticazione verrà attivata quando l'utente tenta l'autenticazione per l'attendibilità del componente in questione. I criteri di autenticazione globali rappresentano il fallback per le attendibilità del componente (applicazioni e servizi) per le quali non sono configurati criteri di autenticazione specifici.
I criteri di autenticazione globali sono applicabili a tutti i componenti protetti da AD FS. È possibile configurare le impostazioni seguenti nell'ambito dei criteri di autenticazione globali:
Metodi di autenticazione da utilizzare per l'autenticazione primaria
Impostazioni e metodi per l'autenticazione a più fattori
Abilitazione o meno dell'autenticazione dei dispositivi. Per ulteriori informazioni, vedere accedere a una rete aziendale da qualsiasi dispositivo per SSO e trasparente secondo fattore di autenticazione di applicazioni aziendali.
I criteri di autenticazione per attendibilità del componente sono applicabili nello specifico ai tentativi di accesso a tale attendibilità del componente (applicazione o servizio). È possibile configurare le impostazioni seguenti per i criteri di autenticazione per attendibilità del componente:
Se gli utenti devono specificare le credenziali a ogni accesso
Le impostazioni di autenticazione a più fattori in base ai dati relativi a utente/gruppo, registrazione del dispositivo e posizione di richiesta dell'accesso
Metodi di autenticazione primaria e aggiuntivi
Con AD FS in Windows Server 2012 R2, oltre al meccanismo di autenticazione primaria, gli amministratori possono configurare metodi di autenticazione aggiuntivi. I metodi di autenticazione primaria sono predefiniti e progettati per la convalida delle identità degli utenti. È possibile configurare ulteriori fattori di autenticazione per richiedere ulteriori informazioni sull'identità dell'utente e garantire quindi un'autenticazione più sicura.
Con l'autenticazione primaria in AD FS in Windows Server 2012 R2, sono disponibili le opzioni seguenti:
Per le risorse pubblicate per l'accesso dall'esterno della rete aziendale, viene selezionata per impostazione predefinita l'autenticazione basata su form. È inoltre possibile abilitare l'autenticazione del certificato, in altri termini l'autenticazione basata su smart card o l'autenticazione del certificato client dell'utente utilizzata con Servizi di dominio Active Directory.
Per le risorse Intranet è selezionata per impostazione predefinita l'autenticazione di Windows. È inoltre possibile abilitare l'autenticazione basata su form e/o l'autenticazione del certificato.
Con la selezione di più di un metodo di autenticazione si consente agli utenti di scegliere il metodo preferito nella pagina di accesso per l'applicazione o il servizio.
È inoltre possibile abilitare l'autenticazione del dispositivo per l'autenticazione a due fattori trasparente. Con questo metodo, l'identità dell'utente viene associata al dispositivo registrato utilizzato per accedere alla risorsa e si ottiene così una verifica dell'identità composta più sicura prima dell'accesso alle risorse protette.
Nota
Per ulteriori informazioni sull'oggetto dispositivo, il servizio DRS (Device Registration Service), l'unione all'area di lavoro, l'autenticazione del dispositivo come autenticazione a due fattori trasparente e SSO, vedere Accedere a una rete aziendale da qualsiasi dispositivo per SSO e l'autenticazione a più fattori trasparente per tutte le applicazioni aziendali.
Se si specifica l'autenticazione di Windows (il metodo predefinito) per le risorse Intranet, le richieste di autenticazione utilizzano questo metodo in modo trasparente nei browser che supportano l'autenticazione di Windows.
Nota
L'autenticazione di Windows non è supportata in tutti i browser. Il meccanismo di autenticazione in ADFS in Windows Server 2012 R2 rileva l'agente utente del browser dell'utente e utilizza un'impostazione configurabile per stabilire se l'agente utente supporta l'autenticazione di Windows. Gli amministratori possono integrare l'elenco di agenti utenti (tramite il comando di Windows PowerShell Set-AdfsProperties -WIASupportedUserAgents
) per specificare stringhe di agente utente alternative per i browser che supportano l'autenticazione di Windows. Se l'agente utente del client non supporta l'autenticazione di Windows, il metodo di fallback predefinito è l'autenticazione basata su form.
Configurazione dell'autenticazione a più fattori
La configurazione dell'autenticazione a più fattori in AD FS in Windows Server 2012 R2 è suddivisa in due parti: specifica delle condizioni in cui è richiesta l'autenticazione a più fattori e selezione di un metodo di autenticazione aggiuntivo. Per altre informazioni sui metodi di autenticazione aggiuntivi, vedere Configurare metodi di autenticazione aggiuntivi per AD FS.
Impostazioni dell'autenticazione a più fattori
Per le impostazioni dell'autenticazione a più fattori sono disponibili le opzioni seguenti (condizioni in cui richiedere l'autenticazione a più fattori):
È possibile richiedere l'autenticazione a più fattori per utenti e gruppi specifici nel dominio di Active Directory a cui appartiene il server federativo.
È possibile richiedere l'autenticazione a più fattori per i dispositivi registrati (uniti all'area di lavoro) o non registrati (non uniti all'area di lavoro).
Windows Server 2012 R2 adotta un approccio incentrato sull'utente per i dispositivi moderni, nel quale gli oggetti dispositivi rappresentano una relazione tra utente@dispositivo e una società. Gli oggetti dispositivo sono una nuova classe in AD in Windows Server 2012 R2 che può essere usata per offrire un'identità composta quando si fornisce l'accesso alle applicazioni e ai servizi. Un nuovo componente di ADFS, il servizio DRS (Device Registration Service), esegue il provisioning dell'identità di un dispositivo in Active Directory e imposta un certificato nel dispositivo del consumatore, che verrà utilizzato per rappresentare l'identità del dispositivo. È quindi possibile utilizzare questa identità del dispositivo per unire il dispositivo all'area di lavoro, in altre parole per connettere il dispositivo personale ad Active Directory nella rete aziendale. Quando si unisce il dispositivo personale all'area di lavoro, questo diventa un dispositivo noto e consentirà l'autenticazione a due fattori trasparente per le applicazioni e le risorse protette. In altri termini, dopo l'aggiunta di un dispositivo alla rete aziendale, l'identità dell'utente viene associata al dispositivo e può essere utilizzata per una verifica dell'identità composta trasparente prima dell'accesso a una risorsa protetta.
Per ulteriori informazioni, per l'aggiunta e l'uscita dalla rete aziendale, vedere Accedere a una rete aziendale da qualsiasi dispositivo per SSO e l'autenticazione a due fattori trasparente per tutte le applicazioni aziendali.
È possibile richiedere l'autenticazione a più fattori quando la richiesta di accesso per le risorse protette proviene dall'Extranet o dall'Intranet.
Panoramica dello scenario
In questo scenario l'autenticazione a più fattori viene abilitata in base ai dati di appartenenza a gruppi dell'utente per un'applicazione specifica. In altri termini, verranno configurati i criteri di autenticazione nel server federativo in modo da richiedere l'autenticazione a più fattori quando gli utenti che appartengono a un determinato gruppo accedono a un'applicazione specifica ospitata in un server Web.
Più in dettaglio, in questo scenario, verranno abilitati criteri di autenticazione per un'applicazione di test basata su attestazioni denominata claimapp, in base ai quali l'utente di Active Directory Robert Hatley dovrà eseguire l'autenticazione a più fattori dato che appartiene al gruppo di Active Directory Finance.
Le istruzioni dettagliate per configurare e verificare questo scenario sono disponibili in Guida dettagliata: Gestire i rischi con l'autenticazione a più fattori per le applicazioni con esigenze particolari. Per eseguire i passaggi descritti nella guida, è necessario configurare un ambiente lab e seguire le istruzioni riportate in Configurare l'ambiente lab per AD FS in Windows Server 2012 R2.
Altri possibili scenari per l'abilitazione dell'autenticazione a più fattori in AD FS sono i seguenti:
Abilitare l'autenticazione a più fattori se la richiesta di accesso proviene dall'Extranet. È possibile modificare il codice presentato nella sezione "Configurare i criteri di autenticazione a più fattori" in Guida dettagliata: Gestire i rischi con l'autenticazione a più fattori per le applicazioni con esigenze particolari come indicato di seguito:
'c:[type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn" );'
Abilitare l'autenticazione a più fattori se la richiesta di accesso proviene da un dispositivo non unito all'area di lavoro. È possibile modificare il codice presentato nella sezione "Configurare i criteri di autenticazione a più fattori" in Guida dettagliata: Gestire i rischi con l'autenticazione a più fattori per le applicazioni con esigenze particolari come indicato di seguito:
'NOT EXISTS([type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid"]) => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'
Abilitare l'autenticazione a più fattori se l'accesso è eseguito da un utente con un dispositivo unito all'area di lavoro ma non registrato per l'utente. È possibile modificare il codice presentato nella sezione "Configurare i criteri di autenticazione a più fattori" in Guida dettagliata: Gestire i rischi con l'autenticazione a più fattori per le applicazioni con esigenze particolari come indicato di seguito:
'c:[type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", value == "false"] => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'
Vedi anche
Guida dettagliata: Gestire i rischi con l'autenticazione a più fattori aggiuntiva per le applicazioni sensibiliConfigurare l'ambiente lab per AD FS in Windows Server 2012 R2