Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Windows Server 2012 R2'de AD FS için laboratuvar ortamını ayarlama
AD FS için Ek Kimlik Doğrulama Yöntemlerini Yapılandırma
Bu kılavuzda
Bu kılavuz aşağıdaki bilgileri sağlar:
AD FS'de kimlik doğrulama mekanizmaları - Windows Server 2012 R2'de Active Directory Federasyon Hizmetleri'nde (AD FS) kullanılabilen kimlik doğrulama mekanizmalarının açıklaması
Senaryoya Genel Bakış - Kullanıcının grup üyeliğine göre çok faktörlü kimlik doğrulamasını (MFA) etkinleştirmek için Active Directory Federasyon Hizmetleri'ni (AD FS) kullandığınız senaryonun açıklaması.
Note
Windows Server 2012 R2'de AD FS'de ağ konumuna, cihaz kimliğine ve kullanıcı kimliğine veya grup üyeliğine göre MFA'yı etkinleştirebilirsiniz.
Bu senaryonun yapılandırılması ve onaylanması için ayrıntılı adım adım kılavuz için bkz: İzlenecek Yol Kılavuzu: Hassas Uygulamalar için ek çok faktörlü kimlik doğrulama ile riski yönetme.
Önemli Kavramlar - AD FS'de kimlik doğrulama mekanizmaları
AD FS'de kimlik doğrulama mekanizmalarının avantajları
Windows Server 2012 R2'deki Active Directory Federasyon Hizmetleri (AD FS), BT yöneticilerine kurumsal kaynaklara erişmek isteyen kullanıcıların kimliğini doğrulamak için daha zengin, daha esnek bir araç kümesi sağlar. Yöneticilerin birincil ve ek kimlik doğrulama yöntemleri üzerinde esnek denetime sahip olmasına olanak tanır, kimlik doğrulama ilkelerini yapılandırmak için zengin bir yönetim deneyimi sağlar (hem kullanıcı arabirimi hem de Windows PowerShell aracılığıyla) ve AD FS ile güvenliği sağlanan uygulama ve hizmetlere erişen son kullanıcılar için deneyimi geliştirir. Windows Server 2012 R2'de AD FS ile uygulamanızın ve hizmetlerinizin güvenliğini sağlamanın avantajlarından bazıları şunlardır:
Genel kimlik doğrulama ilkesi - BT yöneticisinin, korumalı kaynaklara erişen ağ konumuna göre kullanıcıların kimliğini doğrulamak için hangi kimlik doğrulama yöntemlerinin kullanılacağını seçebileceği merkezi bir yönetim özelliğidir. Bu, yöneticilerin aşağıdakileri yapmalarını sağlar:
Extranetten gelen erişim istekleri için daha güvenli kimlik doğrulama yöntemlerinin kullanılmasını zorunlu kılın.
Sorunsuz ikinci faktör kimlik doğrulaması için cihaz kimlik doğrulamasını etkinleştirin. Bu, kullanıcının kimliğini kaynağa erişmek için kullanılan kayıtlı cihaza bağlar ve böylece korumalı kaynaklara erişilmeden önce daha güvenli bileşik kimlik doğrulaması sunar.
Note
Cihaz nesnesi, Cihaz Kayıt Hizmeti, Çalışma Alanına Katılma ve sorunsuz ikinci faktör kimlik doğrulaması ve SSO olarak cihaz hakkında daha fazla bilgi için bkz. SSO için Herhangi Bir Cihazdan Çalışma Alanına Katılma ve Şirket Uygulamalarında Sorunsuz İkinci Faktör Kimlik Doğrulaması.
Tüm extranet erişimi için MFA gereksinimini ayarlayın veya kullanıcının kimliğine, ağ konumuna veya korumalı kaynaklara erişmek için kullanılan bir cihaza göre koşullu olarak ayarlayın.
Kimlik doğrulama ilkelerini yapılandırmada daha fazla esneklik: AD FS güvenli kaynakları için farklı iş değerleriyle özel kimlik doğrulama ilkeleri yapılandırabilirsiniz. Örneğin, yüksek iş etkisine sahip uygulamalar için MFA gerektirebilirsiniz.
Kullanım kolaylığı: GUI tabanlı AD FS Yönetimi MMC ek bileşeni ve Windows PowerShell cmdlet'leri gibi basit ve sezgisel yönetim araçları, BT yöneticilerinin kimlik doğrulama ilkelerini göreli olarak kolayca yapılandırmasına olanak tanır. Windows PowerShell ile çözümlerinizi büyük ölçekte kullanmak ve sıradan yönetim görevlerini otomatikleştirmek için betik oluşturabilirsiniz.
Şirket varlıkları üzerinde daha fazla denetim: Yönetici olarak AD FS kullanarak belirli bir kaynağa uygulanan bir kimlik doğrulama ilkesi yapılandırabileceğinizden, şirket kaynaklarının güvenliğinin nasıl sağlandığını daha iyi kontrol edebilirsiniz. Uygulamalar, BT yöneticileri tarafından belirtilen kimlik doğrulama ilkelerini geçersiz kılamaz. Hassas uygulamalar ve hizmetler için MFA gereksinimini, cihaz kimlik doğrulamasını ve isteğe bağlı olarak kaynağa her erişildiğinde yeni kimlik doğrulamasını etkinleştirebilirsiniz.
Özel MFA sağlayıcıları desteği: Üçüncü taraf MFA yöntemlerinden yararlanan kuruluşlar için AD FS, bu kimlik doğrulama yöntemlerini sorunsuz bir şekilde birleştirme ve kullanma olanağı sunar.
Kimlik doğrulama kapsamı
Windows Server 2012 R2'deki AD FS'de, AD FS tarafından güvenliği sağlanan tüm uygulamalar ve hizmetler için geçerli olan genel kapsamda bir kimlik doğrulama ilkesi belirtebilirsiniz. Ayrıca, AD FS tarafından güvenliği sağlanan belirli uygulamalar ve hizmetler (bağlı olan taraf güvenleri) için kimlik doğrulama ilkeleri de ayarlayabilirsiniz. Belirli bir uygulama için (her bir güvenilen taraf ilişkisi açısından) kimlik doğrulama ilkesi belirlemek, genel kimlik doğrulama ilkesini geçersiz kılmaz. Genel veya bağlı olan taraf güveni kimlik doğrulaması ilkesi için MFA gerekiyorsa, kullanıcı bu bağlı olan taraf güveninde kimlik doğrulaması yapmaya çalıştığında MFA tetiklenir. Genel kimlik doğrulama politikası, özel bir kimlik doğrulama politikası yapılandırılmamış güvenilen taraf ilişkileri (uygulamalar ve hizmetler) için yedek bir seçenektir.
Genel kimlik doğrulama ilkesi, AD FS tarafından güvenliği sağlanan tüm bağlı olan taraflar için geçerlidir. Genel kimlik doğrulama ilkesinin bir parçası olarak aşağıdaki ayarları yapılandırabilirsiniz:
Birincil kimlik doğrulaması için kullanılacak kimlik doğrulama yöntemleri
MFA için ayarlar ve yöntemler
Cihaz kimlik doğrulamasının etkinleştirilip etkinleştirilmediği. Daha fazla bilgi için bkz. SSO için Herhangi Bir Cihazdan Çalışma Alanına Bağlanma ve Şirket Uygulamalarında Sorunsuz Bir Şekilde İkinci Faktör Kimlik Doğrulaması.
Bağlı olan taraf güveni kimlik doğrulama ilkeleri, özellikle bağlı olan taraf güvenine (uygulama veya hizmet) erişme girişimleri için geçerlidir. Aşağıdaki ayarları, bağımlı taraf güvenine dayalı kimlik doğrulama politikasının bir parçası olarak yapılandırabilirsiniz.
Kullanıcıların her oturum açma sırasında kimlik bilgilerini sağlaması gerekip gerekmediği
Kullanıcı/grup, cihaz kaydı ve erişim isteği konum verilerini temel alan MFA ayarları
Birincil ve ek kimlik doğrulama yöntemleri
Windows Server 2012 R2'de AD FS ile, birincil kimlik doğrulama mekanizmasına ek olarak, yöneticiler ek kimlik doğrulama yöntemleri yapılandırabilir. Birincil kimlik doğrulama yöntemleri yerleşiktir ve kullanıcıların kimliklerini doğrulamaya yöneliktir. Kullanıcının kimliği hakkında daha fazla bilgi verilmesini istemek ve bunun sonucunda daha güçlü kimlik doğrulaması sağlamak için ek kimlik doğrulama faktörleri yapılandırabilirsiniz.
Windows Server 2012 R2'de AD FS'de birincil kimlik doğrulaması ile aşağıdaki seçeneklere sahipsiniz:
Şirket ağı dışından erişilecek şekilde yayımlanan kaynaklar için, Forms Kimlik Doğrulaması varsayılan olarak seçilir. Ayrıca, Sertifika Kimlik Doğrulamasını da etkinleştirebilirsiniz (başka bir deyişle, AD DS ile çalışan akıllı kart tabanlı kimlik doğrulaması veya kullanıcı istemci sertifikası kimlik doğrulaması).
İntranet kaynakları için Windows Kimlik Doğrulaması varsayılan olarak seçilidir. Ayrıca Formlar ve/veya Sertifika Kimlik Doğrulaması'nı da etkinleştirebilirsiniz.
Birden fazla kimlik doğrulama yöntemi seçerek, kullanıcılarınızın uygulamanızın veya hizmetinizin oturum açma sayfasında hangi yöntemle kimlik doğrulaması yapmak istediğinizi seçmesini sağlarsınız.
Ayrıca sorunsuz ikinci faktör kimlik doğrulaması için cihaz kimlik doğrulamasını etkinleştirebilirsiniz. Bu, kullanıcının kimliğini kaynağa erişmek için kullanılan kayıtlı cihaza bağlar ve böylece korumalı kaynaklara erişilmeden önce daha güvenli bileşik kimlik doğrulaması sunar.
Note
Cihaz nesnesi, Cihaz Kayıt Hizmeti, Çalışma Alanına Katılma ve sorunsuz ikinci faktör kimlik doğrulaması ve SSO olarak cihaz hakkında daha fazla bilgi için bkz. SSO için Herhangi Bir Cihazdan Çalışma Alanına Katılma ve Şirket Uygulamalarında Sorunsuz İkinci Faktör Kimlik Doğrulaması.
İntranet kaynaklarınız için Windows Kimlik Doğrulama yöntemini (varsayılan seçenek) belirtirseniz, kimlik doğrulama istekleri Windows kimlik doğrulamasını destekleyen tarayıcılarda bu yöntemden sorunsuz bir şekilde geçer.
Note
Windows kimlik doğrulaması tüm tarayıcılarda desteklenmez. Windows Server 2012 R2'de AD FS'deki kimlik doğrulama mekanizması, kullanıcının tarayıcı kullanıcı aracısını algılar ve bu kullanıcı aracısının Windows Kimlik Doğrulamasını destekleyip desteklemediğini belirlemek için yapılandırılabilir bir ayar kullanır. Yöneticiler bu kullanıcı aracıları listesine ekleyebilir (Windows PowerShell Set-AdfsProperties -WIASupportedUserAgents komutu aracılığıyla, Windows Kimlik Doğrulamasını destekleyen tarayıcılar için alternatif kullanıcı aracısı dizeleri belirtmek için). İstemcinin kullanıcı aracısı Windows Kimlik Doğrulamasını desteklemiyorsa, varsayılan geri dönüş yöntemi Forms Kimlik Doğrulaması'dır.
MFA'yi yapılandırma
Windows Server 2012 R2'de AD FS'de MFA'yı yapılandırmak için iki bölüm vardır: MFA'nın gerekli olduğu koşulları belirtme ve ek bir kimlik doğrulama yöntemi seçme. Ek kimlik doğrulama yöntemleri hakkında daha fazla bilgi için bkz. AD FS için Ek Kimlik Doğrulama Yöntemlerini Yapılandırma.
MFA ayarları
MFA ayarları (MFA gerektiren koşullar) için aşağıdaki seçenekler kullanılabilir:
Federasyon sunucunuzun katıldığı AD etki alanındaki belirli kullanıcılar ve gruplar için MFA gerektirebilirsiniz.
Kayıtlı (çalışma alanına katılmış) veya kaydedilmemiş (çalışma alanına katılmamış) cihazlar için MFA gerektirebilirsiniz.
Windows Server 2012 R2, cihaz nesnelerinin user@device ile şirket arasındaki ilişkiyi temsil ettiği modern cihazlara kullanıcı odaklı bir yaklaşım benimser. Cihaz nesneleri, Windows Server 2012 R2'de AD'de uygulama ve hizmetlere erişim sağlarken bileşik kimlik sunmak için kullanılabilen yeni bir sınıftır. AD FS'nin yeni bir bileşeni olan cihaz kayıt hizmeti (DRS), Active Directory'de bir cihaz kimliği sağlar ve tüketici cihazında cihaz kimliğini temsil etmek için kullanılacak bir sertifika ayarlar. Daha sonra bu cihaz kimliğini kullanarak, yani kişisel cihazınızı iş yerinizin Active Directory'sine bağlamak için, cihazınızı çalışma alanına dahil edebilirsiniz. Kişisel cihazınızı çalışma alanınıza kattığınızda cihaz bilinen bir cihaz haline gelir ve korumalı kaynaklara ve uygulamalara sorunsuz ikinci faktörlü kimlik doğrulaması sağlar. Başka bir deyişle, bir cihaz çalışma alanına katıldıktan sonra kullanıcının kimliği bu cihaza bağlanır ve korumalı bir kaynağa erişilmeden önce sorunsuz bir bileşik kimlik doğrulaması için kullanılabilir.
Çalışma alanına katılma ve ayrılma hakkında daha fazla bilgi için bkz . SSO için Herhangi Bir Cihazdan Çalışma Alanına Katılma ve Şirket Uygulamalarında Sorunsuz İkinci Faktör Kimlik Doğrulaması.
Korumalı kaynaklar için erişim isteği extranetten veya intranetten geldiğinde MFA gerektirebilirsiniz.
Senaryoya Genel Bakış
Bu senaryoda, belirli bir uygulama için kullanıcının grup üyeliği verilerine göre MFA'yı etkinleştirirsiniz. Başka bir deyişle, belirli bir gruba ait kullanıcılar bir web sunucusunda barındırılan belirli bir uygulamaya erişim istediğinde MFA gerektirecek şekilde federasyon sunucunuzda bir kimlik doğrulama ilkesi ayarlayacaksınız.
Daha açık belirtmek gerekirse, bu senaryoda, talep uygulaması adlı talep tabanlı bir test uygulaması için kimlik doğrulama ilkesini etkinleştirirsiniz; burada ad kullanıcısı Robert Hatley'in bir AD grubu Finans'a ait olduğu için MFA'ya tabi tutulması gerekir.
Bu senaryoyu ayarlamak ve doğrulamak için adım adım yönergeler , İzlenecek Yol Kılavuzu: Hassas Uygulamalar için Ek Multi-Factor Authentication ile Riski Yönetme başlığı altında sağlanır. Bu kılavuzdaki adımları tamamlamak için bir laboratuvar ortamı ayarlamanız ve Windows Server 2012 R2'de AD FS için laboratuvar ortamını ayarlamaadımlarını izlemeniz gerekir.
AD FS'de MFA'nın etkinleştirilmesinin diğer senaryoları şunlardır:
Erişim isteği extranetten geliyorsa MFA'yı etkinleştirin. İzlenecek Yol Kılavuzu: Hassas Uygulamalar için Ek Multi-Factor Authentication ile Riski Yönetme'nin "MFA İlkesini Ayarlama" bölümünde sunulan kodu aşağıdakilerle değiştirebilirsiniz:
'c:[type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn" );'Erişim isteği çalışma alanına katılmamış bir cihazdan geliyorsa MFA'yı etkinleştirin. İzlenecek Yol Kılavuzu: Hassas Uygulamalar için Ek Multi-Factor Authentication ile Riski Yönetme'nin "MFA İlkesini Ayarlama" bölümünde sunulan kodu aşağıdakilerle değiştirebilirsiniz:
'NOT EXISTS([type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid"]) => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'Erişim çalışma alanına katılmış ancak bu kullanıcıya kayıtlı olmayan bir cihaza sahip bir kullanıcıdan geliyorsa MFA'yı etkinleştirin. İzlenecek Yol Kılavuzu: Hassas Uygulamalar için Ek Multi-Factor Authentication ile Riski Yönetme'nin "MFA İlkesini Ayarlama" bölümünde sunulan kodu aşağıdakilerle değiştirebilirsiniz:
'c:[type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", value == "false"] => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'
Ayrıca Bkz.
İzlenecek Yol Kılavuzu: Hassas Uygulamalar için Ek Multi-Factor Authentication ile Riski YönetmeWindows Server 2012 R2'de AD FS için laboratuvar ortamını ayarlama