Compartilhar via

Gerenciar riscos com autenticação multifator adicional para aplicativos confidenciais

Neste guia

Este guia fornece as seguintes informações:

Principais Conceitos – Mecanismos de autenticação no AD FS

Benefícios dos mecanismos de autenticação no AD FS

Os Serviços de Federação do Active Directory (AD FS) no Windows Server 2012 R2 fornecem aos administradores de TI um conjunto mais avançado e flexível de ferramentas para autenticar usuários que desejam acessar recursos corporativos. Ele capacita os administradores com controle flexível sobre os métodos primários e de autenticação adicionais, fornece uma experiência de gerenciamento avançada para configurar políticas de autenticação (tanto por meio da interface do usuário quanto do Windows PowerShell) e aprimora a experiência dos usuários finais que acessam aplicativos e serviços protegidos pelo AD FS. Veja a seguir alguns dos benefícios de proteger seu aplicativo e serviços com o AD FS no Windows Server 2012 R2:

  • Política de autenticação global – uma funcionalidade de gerenciamento central, da qual um administrador de TI pode escolher quais métodos de autenticação são usados para autenticar usuários com base no local de rede do qual eles acessam recursos protegidos. Isso permite que os administradores façam o seguinte:

    • Exigir o uso de métodos de autenticação mais seguros para solicitações de acesso da extranet.

    • Habilitar a autenticação de dispositivos para autenticação de dois fatores contínua. Isso vincula a identidade do usuário ao dispositivo registrado que é usado para acessar o recurso, oferecendo assim uma verificação de identidade composta mais segura antes que os recursos protegidos sejam acessados.

      Observação

      Para obter mais informações sobre o objeto de dispositivo, o Serviço de Registro de Dispositivo, o Workplace Join e o dispositivo como autenticação de segundo fator contínua e SSO, consulte Ingressar no local de trabalho de qualquer dispositivo para autenticação de segundo fator contínua e SSO em aplicativos da empresa.

    • Defina o requisito de MFA para todo o acesso à extranet ou condicionalmente com base na identidade do usuário, no local da rede ou em um dispositivo usado para acessar recursos protegidos.

  • Maior flexibilidade na configuração de políticas de autenticação: você pode configurar políticas de autenticação personalizadas para recursos protegidos pelo AD FS com valores comerciais variados. Por exemplo, você pode exigir MFA para aplicativo com alto impacto nos negócios.

  • Facilidade de uso: ferramentas de gerenciamento simples e intuitivas, como o snap-in do MMC de Gerenciamento do AD FS baseado em GUI e os cmdlets do Windows PowerShell, permitem que os administradores de TI configurem políticas de autenticação com relativa facilidade. Com o Windows PowerShell, você pode criar script de suas soluções para uso em escala e automatizar tarefas administrativas mundanas.

  • Maior controle sobre ativos corporativos: como administrador, você pode usar o AD FS para configurar uma política de autenticação que se aplica a um recurso específico, você tem maior controle sobre como os recursos corporativos são protegidos. Os aplicativos não podem substituir as políticas de autenticação especificadas pelos administradores de TI. Para aplicativos e serviços confidenciais, você pode habilitar o requisito de MFA, a autenticação do dispositivo e, opcionalmente, a autenticação nova sempre que o recurso for acessado.

  • Suporte para provedores de MFA personalizados: para organizações que utilizam métodos de MFA de terceiros, o AD FS oferece a capacidade de incorporar e usar esses métodos de autenticação perfeitamente.

Escopo de autenticação

No AD FS no Windows Server 2012 R2, você pode especificar uma política de autenticação em um escopo global aplicável a todos os aplicativos e serviços protegidos pelo AD FS. Você também pode definir políticas de autenticação para aplicativos e serviços específicos (trusts de terceira parte confiável) protegidos pelo AD FS. Especificar uma política de autenticação para um aplicativo específico (por relação de confiança com a parte confiável) não substitui a política global de autenticação. Se a política de autenticação global ou por objeto de confiança da terceira parte confiável exigir MFA, a MFA será disparada quando o usuário tentar fazer autenticação a esse objeto de confiança da terceira parte confiável. A política de autenticação global é um fallback para objetos de confiança da terceira parte confiável (aplicativos e serviços) que não têm uma política específica de autenticação configurada.

Uma política de autenticação global se aplica a todas as partes confiáveis protegidas pelo AD FS. Você pode definir as seguintes configurações como parte da política de autenticação global:

As políticas de autenticação por objeto de confiança da terceira parte confiável aplicam-se especificamente às tentativas de acessar esse objeto de confiança da terceira parte confiável (aplicativo ou serviço). É possível configurar as seguintes definições como parte da política de autenticação por objeto de confiança da terceira parte confiável:

  • Se os usuários são obrigados a fornecer suas credenciais cada vez na entrada

  • Configurações de MFA com base nos dados de localização do usuário/grupo, do registro do dispositivo e da solicitação de acesso

Métodos de autenticação primários e adicionais

Com o AD FS no Windows Server 2012 R2, além do mecanismo de autenticação principal, os administradores podem configurar métodos de autenticação adicionais. Os métodos de autenticação primários são internos e destinam-se a validar as identidades dos usuários. Você pode configurar fatores de autenticação adicionais para solicitar que mais informações sobre a identidade do usuário sejam fornecidas e, consequentemente, garantir uma autenticação mais forte.

Com a autenticação primária no AD FS no Windows Server 2012 R2, você tem as seguintes opções:

  • Para que os recursos publicados sejam acessados de fora da rede corporativa, a Autenticação de Formulários é selecionada por padrão. Além disso, você também pode habilitar a Autenticação de Certificado (em outras palavras, autenticação baseada em cartão inteligente ou autenticação de certificado do cliente do usuário que funciona com o AD DS).

  • Para recursos de intranet, a Autenticação do Windows é selecionada por padrão. Além disso, você também pode habilitar Formulários e/ou Autenticação de Certificado.

Ao selecionar mais de um método de autenticação, você permite que os usuários tenham a opção de qual método autenticar na página de entrada do seu aplicativo ou serviço.

Você habilita também a autenticação de dispositivos para autenticação de dois fatores contínua. Isso vincula a identidade do usuário ao dispositivo registrado que é usado para acessar o recurso, oferecendo assim uma verificação de identidade composta mais segura antes que os recursos protegidos sejam acessados.

Observação

Para obter mais informações sobre o objeto de dispositivo, o Serviço de Registro de Dispositivo, o Workplace Join e o dispositivo como autenticação de segundo fator contínua e SSO, consulte Ingressar no local de trabalho de qualquer dispositivo para autenticação de segundo fator contínua e SSO em aplicativos da empresa.

Se você especificar o método de Autenticação do Windows (opção padrão) para seus recursos de intranet, as solicitações de autenticação passarão por esse método perfeitamente em navegadores que dão suporte à autenticação do Windows.

Observação

Não há suporte para autenticação do Windows em todos os navegadores. O mecanismo de autenticação no AD FS no Windows Server 2012 R2 detecta o agente de usuário do navegador do usuário e usa uma configuração configurável para determinar se esse agente de usuário dá suporte à Autenticação do Windows. Os administradores podem adicionar a essa lista de agentes de usuário (por meio do comando do Windows PowerShell Set-AdfsProperties -WIASupportedUserAgents , a fim de especificar cadeias de caracteres de agente de usuário alternativos para navegadores que dão suporte à Autenticação do Windows. Se o agente de usuário do cliente não der suporte à Autenticação do Windows, o método de fallback padrão será a Autenticação de Formulários.

Configuração da MFA

Há duas partes para configurar a MFA no AD FS no Windows Server 2012 R2: especificar as condições sob as quais a MFA é necessária e selecionar um método de autenticação adicional. Para obter mais informações sobre métodos de autenticação adicionais, consulte Configurar métodos de autenticação adicionais para o AD FS.

Configurações de MFA

As opções a seguir estão disponíveis para configurações de MFA (condições nas quais exigir MFA):

  • Você pode exigir MFA para usuários e grupos específicos no domínio do AD ao qual o servidor de federação pertence.

  • Você pode exigir o uso de MFA em dispositivos registrados (associados ao local de trabalho) ou não registrados (não associados ao local de trabalho).

    O Windows Server 2012 R2 usa uma abordagem centrada no usuário para dispositivos modernos em que objetos de dispositivo representam uma relação entre user@device e uma empresa. Os objetos de dispositivo são uma nova classe no AD no Windows Server 2012 R2 que pode ser usada para oferecer identidade composta ao fornecer acesso a aplicativos e serviços. Um novo componente do AD FS - o DRS (serviço de registro de dispositivo) - provisiona uma identidade de dispositivo no Active Directory e define um certificado no dispositivo de consumidor que será usado para representar a identidade do dispositivo. Em seguida, você pode usar essa identidade de dispositivo para associar seu dispositivo ao ambiente de trabalho, em outras palavras, para conectar seu dispositivo pessoal ao Active Directory do seu local de trabalho. Quando você conecta seu dispositivo pessoal ao seu local de trabalho, ele se torna um dispositivo conhecido e fornecerá autenticação de segundo fator de forma integrada para recursos e aplicativos protegidos. Em outras palavras, depois que um dispositivo é associado ao ambiente de trabalho, a identidade do usuário é vinculada a esse dispositivo e pode ser usada para uma verificação perfeita de identidade composta antes que um recurso protegido seja acessado.

    Para obter mais informações sobre a saída e o ingresso no local de trabalho, confira Ingressar no local de trabalho de qualquer dispositivo para autenticação de segundo fator contínua e SSO em aplicativos da empresa.

  • Você pode exigir MFA quando a solicitação de acesso para os recursos protegidos vem da extranet ou da intranet.

Visão geral do cenário

Nesse cenário, você habilita a MFA com base nos dados de associação de grupo do usuário para um aplicativo específico. Em outras palavras, você configurará uma política de autenticação no servidor de federação para exigir MFA quando os usuários que pertencem a um determinado grupo solicitarem acesso a um aplicativo específico hospedado em um servidor Web.

Mais especificamente, neste cenário, você habilita uma política de autenticação para um aplicativo de teste baseado em declarações chamado claimapp, pelo qual um usuário do AD Robert Hatley será obrigado a passar por MFA, pois ele pertence a um grupo do AD Finance.

As instruções passo a passo para configurar e verificar esse cenário são fornecidas no Guia passo a passo: gerenciar riscos com autenticação multifator adicional para aplicativos confidenciais. Para concluir as etapas neste passo a passo, você deve configurar um ambiente de laboratório e seguir as etapas em Configurar o ambiente de laboratório para o AD FS no Windows Server 2012 R2.

Outros cenários de habilitação da MFA no AD FS incluem o seguinte:

  • Habilite a MFA, se a solicitação de acesso vier da extranet. Você pode modificar o código apresentado na seção "Configurar Política de MFA" do Guia passo a passo: gerenciar riscos com autenticação multifator adicional para aplicativos confidenciais com o seguinte:

    'c:[type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn" );'

  • Ative MFA, se a solicitação de acesso for proveniente de um dispositivo não associado ao local de trabalho. Você pode modificar o código apresentado na seção "Configurar Política de MFA" do Guia passo a passo: gerenciar riscos com autenticação multifator adicional para aplicativos confidenciais com o seguinte:

    'NOT EXISTS([type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid"]) => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'

  • Habilite o MFA, se o acesso for proveniente de um usuário com um dispositivo associado ao local de trabalho, mas não registrado por esse usuário. Você pode modificar o código apresentado na seção "Configurar Política de MFA" do Guia passo a passo: gerenciar riscos com autenticação multifator adicional para aplicativos confidenciais com o seguinte:

    'c:[type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", value == "false"] => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'

Consulte Também

Guia passo a passo: gerenciar riscos com autenticação multifator adicional para aplicativos confidenciaisConfigurar o ambiente de laboratório para o AD FS no Windows Server 2012 R2