正确识别 Active Directory 联合身份验证服务(AD FS)部署目标对于 AD FS 设计项目的成功至关重要。 确定优先级并结合部署目标,以便可以使用迭代方法设计和部署 AD FS。 可以利用与 AD FS 设计相关的现有、有记录和预定义的 AD FS 部署目标,开发适合您情况的可行解决方案。
以前版本的 AD FS 最常部署以实现以下目的:
在访问企业中基于声明的应用程序时,为员工或客户提供基于 Web 的 SSO 体验。
为员工或客户提供基于 Web 的 SSO 体验,以访问任何联合合作伙伴组织中的资源。
在远程访问内部托管的网站或服务时,为员工或客户提供基于 Web 的 SSO 体验。
在访问云中的资源或服务时,为员工或客户提供基于 Web 的 SSO 体验。
除这些属性外,Windows Server® 2012 R2 中的 AD FS 还添加了可帮助你实现以下功能的功能:
SSO 设备工作区加入和无缝第二重身份验证。 这使组织能够允许从用户的个人设备进行访问,并在提供此访问权限时管理风险。
使用多重访问控制管理风险。 AD FS 提供丰富的授权级别,用于控制谁有权访问哪些应用程序。 这可以基于用户属性(UPN、电子邮件、安全组成员身份、身份验证强度等)、设备属性(设备是否已加入工作区),或者请求属性(网络位置、IP 地址或用户代理)。
为敏感应用程序增加多重身份验证以管理风险。 AD FS 允许你控制策略,以便全局或按应用程序进行多重身份验证。 此外,AD FS 为任何多因素身份验证供应商提供扩展点,以便深入集成,从而为最终用户提供安全无缝的多因素身份验证体验。
提供身份验证和授权功能,用于从受 Web 应用程序代理保护的 Extranet 访问 Web 资源。
总之,可以将 Windows Server 2012 R2 中的 AD FS 部署到组织中实现以下目标:
让用户从任何位置访问其个人设备上的资源
工作区加入使用户能够将个人设备加入企业 Active Directory,因此,他们在从这些设备访问企业资源时能够获得访问权限和无缝体验。
对受 Web 应用程序代理保护并从 Internet 访问的公司网络中的资源进行预身份验证。
密码更改使用户能够在密码过期时从任何已加入工作区的设备更改其密码,以便他们能够继续访问资源。
增强访问控制风险管理工具
管理风险是每个 IT 组织中的治理和合规性的重要方面。 Windows Server® 2012 R2 中的 AD FS 中有许多访问控制风险管理增强功能,其中包括:
基于网络位置的灵活控制,以控制用户如何进行身份验证以访问受 AD FS 保护的应用程序。
灵活的策略,用于确定用户是否需要根据用户的数据、设备数据和网络位置执行多重身份验证。
按应用程序控制,可忽略 SSO 并强制用户在每次访问敏感应用程序时提供凭据。
基于用户数据、设备数据或网络位置的灵活按应用程序访问策略。
AD FS Extranet 锁定,使管理员能够保护 Active Directory 帐户免受来自 Internet 的暴力攻击。
访问吊销,可用于 Active Directory 中禁用或删除的任何加入工作区的设备。
使用 AD FS 增强登录体验
以下是 Windows Server® 2012 R2 中的新 AD FS 功能,使管理员能够自定义和增强登录体验:
AD FS 服务的统一自定义,使得更改可以一次完成,并自动传播到指定服务器场中所有的 AD FS 联合服务器中。
更新了外观新式的登录页,可自动适应不同的外形规格。
支持自动回退到基于表单的身份验证,面向未加入企业域但仍用于从企业网络 (Intranet) 内生成访问请求的设备提供。
用于自定义公司徽标、插图图像、IT 支持的标准链接、主页、隐私等的简单控件。
自定义登录页的描述消息。
自定义 Web 主题。
主领域发现 (HRD),基于用户的组织后缀,可以为公司的合作伙伴提供增强的隐私性。
HRD 按应用程序进行筛选,以根据应用程序自动选取领域。
一键式错误报告,方便 IT 故障排除。
可自定义的错误消息。
当有多个身份验证提供程序可用时,用户可以选择使用哪个身份验证。