Identificar as metas de implantação do AD FS
Identificar corretamente suas metas de implantação do AD FS (Serviços de Federação do Active Directory) é essencial para o sucesso do seu projeto de design do AD FS. Priorize e, se possível, combine suas metas de implantação de maneira que possa projetar e implantar o AD FS usando uma abordagem iterativa. Aproveite as metas de implantação do AD FS predefinidas, documentadas e existentes relevantes para os designs do AD FS e desenvolva uma solução para sua situação.
As versões anteriores do AD FS eram mais comumente implantadas para obter o seguinte:
Fornecer aos funcionários ou clientes uma experiência de logon único baseada na Web ao acessar aplicativos baseados em declarações dentro de sua empresa.
Fornecer aos funcionários ou clientes uma experiência de logon único baseada na Web para acessar recursos em qualquer organização de parceiro de federação.
Fornecer aos funcionários ou clientes uma experiência de logon único baseada na Web para acesso remoto a sites ou serviços hospedados internamente.
Fornecer aos funcionários ou clientes uma experiência de logon único baseada na Web ao acessar recursos ou serviços na nuvem.
Além disso, o AD FS no Windows Server® 2012 R2 adiciona funcionalidades que podem ajudar você a obter o seguinte:
Ingresso no local de trabalho do dispositivo para SSO e autenticação de segundo fator contínua. Isso possibilita às organizações permitir o acesso em dispositivos pessoais do usuário e gerenciar o risco ao fornecer esse acesso.
Gerenciar risco com controle de acesso multifator. O AD FS fornece um nível sofisticado de autorização que controla quem tem acesso a quais aplicativos. Isso pode ser baseado em atributos de usuário (UPN, email, associação de grupo de segurança, nível de autenticação, etc.), atributos de dispositivo (se o dispositivo está ingressado no local de trabalho) ou atributos de solicitação (local da rede, endereço IP ou agente de usuário).
Gerenciar risco com autenticação multifator adicional para aplicativos restritos. O AD FS permite que você controle políticas para potencialmente exigir a autenticação multifator globalmente ou por aplicativo. Além disso, o AD FS fornece pontos de extensibilidade para qualquer fornecedor multifator integrar profundamente para uma experiência multifator segura e transparente para os usuários finais.
Fornecer funcionalidades de autenticação e autorização para acessar recursos da Web na extranet que são protegidos pelo Proxy de aplicativo Web.
Para resumir, o AD FS no Windows Server 2012 R2 pode ser implantado para atingir as seguintes metas na sua organização:
Permitir que os usuários acessem recursos nos respectivos dispositivos pessoais em qualquer lugar
Ingresso no local de trabalho que permite aos usuários ingressar seus dispositivos pessoais no Active Directory corporativo e, assim, obter acesso e experiência ideal ao acessar recursos corporativos nesses dispositivos.
Pré-autenticação de recursos dentro da rede corporativa que estão protegidos pelo proxy de aplicativo Web e acessados pela Internet.
Alteração de senha para permitir que os usuários alterem suas senhas de qualquer dispositivo ingressado no local de trabalho quando a senha expirar, de modo que eles possam continuar acessando os recursos.
Aprimorar as ferramentas de gerenciamento de riscos de controle de acesso
Gerenciar riscos é um aspecto importante da governança e da conformidade em todas as organizações de TI. Há vários aprimoramentos de gerenciamento de riscos de controle de acesso no AD FS no Windows Server® 2012 R2, incluindo os seguintes:
Controles flexíveis com base no local de rede para determinar como um usuário é autenticado para acessar um aplicativo protegido por AD FS.
Política flexível para determinar se um usuário precisa executar a autenticação multifator com base em dados do usuário, dados de dispositivo e local de rede.
Controle por aplicativo para ignorar SSO e forçar o usuário a fornecer credenciais sempre que acessar um aplicativo restrito.
Política de acesso por aplicativo flexível com base em dados do usuário, dados do dispositivo ou local de rede.
O bloqueio de extranet do AD FS permite aos administradores proteger contas do Active Directory contra ataques de força bruta da Internet.
Revogação de acesso para qualquer dispositivo ingressado no local de trabalho que esteja desabilitado ou excluído no Active Directory.
Usar o AD FS para aprimorar a experiência de entrada
Estas são as novas funcionalidades do AD FS no Windows Server® 2012 R2 que permitem que o administrador personalize e aprimore a experiência de entrada:
Personalização unificada do serviço do AD FS, em que as alterações são feitas uma vez e propagadas automaticamente para o restante dos servidores de federação do AD FS em um farm determinado.
Páginas de entrada atualizadas com um visual moderno e que atendem a diferentes fatores forma automaticamente.
O suporte para fallback automático para a autenticação baseada em formulários para dispositivos que não ingressaram no domínio corporativo, mas que ainda são utilizados, gera solicitações de acesso de dentro da rede corporativa (intranet).
Controles simples para personalizar o logotipo da empresa, a imagem de ilustração, os links padrão para suporte de TI, a página inicial, a privacidade, etc.
Personalização de mensagens de descrição nas páginas de entrada.
Personalização de temas da Web.
HRD (Descoberta de Realm Inicial) baseada no sufixo organizacional do usuário para privacidade avançada dos parceiros da empresa.
Filtragem de HRD por aplicativo para selecionar automaticamente um território com base no aplicativo.
Relatório de erros com um clique para facilitar a solução de problemas de TI.
Mensagens de erro personalizáveis.
Opção de autenticação de usuário quando houver mais de um provedor de autenticação disponível.