正確識別 Active Directory 同盟服務 (AD FS) 部署目標對於 AD FS 設計專案的成功至關重要。 排定優先順序,並可能結合您的部署目標,讓您可以使用反覆方法來設計和部署AD FS。 您可以利用與 AD FS 設計相關的現有、記載和預先定義的 AD FS 部署目標,並針對您的情況開發工作解決方案。
舊版 AD FS 最常部署,以達到下列目的:
在存取企業內宣告型應用程式時,為您的員工或客戶提供 Web 型 SSO 體驗。
為您的員工或客戶提供 Web 型 SSO 體驗,以存取任何同盟合作夥伴組織中的資源。
在遠端存取內部裝載的網站或服務時,為員工或客戶提供 Web 型 SSO 體驗。
在存取雲端中的資源或服務時,為您的員工或客戶提供Web型SSO體驗。
除了這些以外,Windows Server® 2012 R2 中的 AD FS 也會新增可協助您達成下列功能的功能:
裝置加入工作場所以進行 SSO 及無縫的雙重驗證。 這可讓組織允許從使用者的個人裝置存取,並在提供此存取權時管理風險。
使用多重要素存取控制來管理風險。 AD FS 提供豐富的授權層級,可控制誰可以存取哪些應用程式。 這可以根據使用者屬性(UPN、電子郵件、安全性群組成員資格、驗證強度等)、裝置屬性(裝置是否已加入工作場所)或請求屬性(網路位置、IP 位址或使用者代理程式)。
使用額外的多因素驗證來管理敏感應用程式的風險。 AD FS 可讓您控制原則,可能需要全域或針對每個應用程式進行多重身份驗證。 此外,AD FS 可為任何多重要素廠商提供擴充點,以針對終端使用者的安全且順暢的多因素體驗進行深入整合。
提供驗證和授權功能,以從受 Web 應用程式 Proxy 保護的外部網路存取 Web 資源。
總結來說,您可以部署 Windows Server 2012 R2 中的 AD FS,以在您的組織中達成下列目標:
讓使用者從任何地方存取其個人裝置上的資源
工作場所加入能讓使用者將其個人裝置加入公司 Active Directory,並進而在從這些裝置存取公司資源時獲得存取權限和流暢體驗。
公司網路內透過 Web 應用程式 Proxy 保護並從互聯網存取的資源的預先驗證。
密碼變更可讓使用者在密碼過期時,從任何加入工作場所的裝置變更其密碼,以便繼續存取資源。
增強訪問控制風險管理工具
管理風險是每個IT組織中治理和合規性的重要層面。 Windows Server® 2012 R2 中的 AD FS 中有許多存取控制風險管理增強功能,包括下列各項:
根據網路位置進行彈性控制,以控管使用者如何驗證以存取AD FS保護的應用程式。
彈性原則,可判斷使用者是否需要根據用戶的數據、裝置數據和網路位置執行多重要素驗證。
每個應用程式控制項都會忽略 SSO,並強制使用者每次存取敏感性應用程式時提供認證。
根據用戶數據、裝置資料或網路位置的彈性個別應用程式存取原則。
AD FS 外部網路鎖定,可讓系統管理員保護 Active Directory 帳戶免受來自因特網的暴力密碼破解攻擊。
針對在 Active Directory 中被停用或刪除的任何加入工作場所的裝置進行存取撤銷。
使用AD FS來增強登入體驗
以下是 Windows Server® 2012 R2 中的新 AD FS 功能,可讓系統管理員自定義及增強登入體驗:
AD FS 服務的統一配置,變更只需執行一次,便會自動傳播至指定伺服器場中的其他 AD FS 同盟伺服器。
已更新的登入頁面看起來更現代,並能自動適應不同的設備尺寸。
支持對於未加入公司網域的裝置,自動切換至基於表單的驗證,同時仍允許這些裝置在公司網路(內部網路)內產生存取請求。
簡單的控件可自定義公司標誌、圖例影像、IT 支援的標準連結、首頁、隱私權等。
在登入頁面中自定義描述訊息。
自訂 Web 主題。
主領域探索 (HRD) 以使用者組織後綴為基礎,以增強公司合作夥伴的隱私權。
以個別應用程式為基礎的 HRD 篩選,以根據應用程式自動挑選領域。
單鍵錯誤報告,方便IT疑難解答。
可自定義的錯誤訊息。
當有多個驗證提供者可用時,用戶進行驗證的選擇。