标识 AD FS 部署目标
正确确定 Active Directory 联合身份验证服务 (AD FS) 部署目标对于 AD FS 设计项目的成功至关重要。 设置优先级,并合并部署目标(如果有可能),以便可以使用迭代方法来设计和部署 AD FS。 你可以利用现有的、有文档记录的、与 AD FS 设计相关的预定义 AD FS 部署目标,并根据你的具体情况开发工作解决方案。
早期版本的 AD FS 部署通常是为了实现以下目的:
为员工或客户访问企业内基于声明的应用程序提供基于 Web 的 SSO 体验。
为员工或客户访问任何联合伙伴组织内的资源提供基于 Web 的 SSO 体验。
为员工或客户远程访问内部托管的网站或服务提供基于 Web 的 SSO 体验。
为员工或客户访问云中的资源或服务提供基于 Web 的 SSO 体验。
除此之外,Windows Server® 2012 R2 中的 AD FS 还增加了可帮助你实现以下目的的功能:
SSO 设备工作区加入和无缝第二重身份验证。 组织可以借此允许来自用户个人设备的访问,并在提供此访问时管理风险。
使用多重访问控制管理风险。 AD FS 提供控制谁能够访问什么应用程序的丰富授权级别。 授权级别可以基于用户属性(UPN、电子邮件、安全组成员身份、身份验证强度等)、设备属性(设备是否加入工作区)或请求属性(网络位置、IP 地址或用户代理)。
针对敏感应用程序使用其他多重身份验证管理风险。 AD FS 允许你对策略进行控制,以便要求在全局范围内或者按每个应用程序进行多重身份验证。 此外,AD FS 可为任何多重身份验证供应商提供扩展点以进行深度集成,从而为最终用户提供安全且无缝的多重身份验证体验。
提供身份验证和授权功能,以便从 Extranet 访问 Web 应用程序代理保护的 Web 资源。
综上所述,可以部署 Windows Server 2012 R2 中的 AD FS 在组织中实现以下目标:
使用户能够在任何位置从个人设备访问资源
工作区加入使用户能够将个人设备加入企业 Active Directory,因此,他们在从这些设备访问企业资源时能够获得访问权限和无缝体验。
对企业网络内由 Web 应用程序代理进行保护并从 Internet 进行访问的资源进行预身份验证。
密码更改使用户能够在密码过期时从任何加入工作区的设备更改密码,以便他们能够继续访问资源。
增强你的访问控制风险管理工具
在每个 IT 组织中,管理风险都是管理和合规的一个重要方面。 Windows Server® 2012 R2 中的 AD FS 提供了大量访问控制风险管理增强功能,其中包括:
基于网络位置的灵活控制,可管理用户为访问受 AD FS 保护的应用程序而进行身份验证的方式。
灵活的策略,可以基于用户数据、设备数据和网络位置确定用户是否需要执行多重身份验证。
按应用程序控制,可忽略 SSO 并强制用户在每次访问敏感应用程序时提供凭据。
灵活的按应用程序访问策略,基于用户数据、设备数据或网络位置。
AD FS Extranet 锁定,使管理员能够保护 Active Directory 帐户免受来自 Internet 的暴力攻击。
访问吊销,可用于 Active Directory 中禁用或删除的任何加入工作区的设备。
使用 AD FS 来增强登录体验
下面是 Windows Server® 2012 R2 中的新 AD FS 功能,管理员可以使用它们来自定义和增强登录体验:
统一自定义 AD FS 服务,进行一次更改后,更改随后会自动传播到给定场中的剩余 AD FS 联合服务器。
更新的登录页面,外观更现代,并能自动适应不同的外形规格。
支持自动回退到基于表单的身份验证,面向未加入企业域但仍用于从企业网络 (Intranet) 内生成访问请求的设备提供。
简单控制,可自定义公司徽标、插图图像、IT 支持标准链接、主页、隐私等。
自定义登录页的描述消息。
自定义 Web 主题。
主领域发现 (HRD),基于用户的组织后缀,可以为公司的合作伙伴提供增强的隐私性。
HRD 按应用程序进行筛选,以根据应用程序自动选取领域。
一键错误报告,可以更轻松地进行 IT 故障排除。
可自定义错误消息。
多个身份验证提供程序可用时,提供用户身份验证选择。