Сегодня методы аутентификации развиваются быстрее, чем когда-либо прежде. Подумайте сами: вы берёте ноутбук, затем, чтобы зайти на свои любимые сайты, открываете браузер где опять логинетесь. В этих случаях вы не всегда используете свои корпоративные учётные данные.
Если вы слышите о новой услуге и хотите получить к ней доступ, есть вероятность, что вам будет предложено зарегистрироваться или использовать общедоступные учётные данные, например, из Microsoft, Facebook, Google и т. д.
Традиционная, использующая предоставление удостоверения подлинности для конкретной личности парадигма изменилась, и теперь используются более «известные» службы, такие как только что упомянутые.
Содержание:
Microsoft Passport
Microsoft Passport - это новый метод проверки подлинности на основе ключа, который выходит за рамки паролей и смягчает традиционные атаки на аутентификацию.
Пользователь регистрируется в Microsoft Passport, но должен убедиться, что поставщик аутентификации поддерживает аутентификацию Fast Identity Online (FIDO). Таким образом, используя двухэтапный процесс пользователь настраивает Microsoft Passport на своём устройстве и устанавливает жест или PIN-код. Затем, это может использоваться для аутентификации пользователя через Microsoft Passport
Во время установки сертификат асимметричной пары ключей хранится на устройстве. Закрытый ключ хранится в чипе TPM устройства. Закрытый ключ, во время процесса проверки подлинности, никогда не покидает устройства.
Открытый ключ зарегистрирован в Azure Active Directory и Windows Server Active Directory. Открытый и закрытый ключ учётной записи пользователя сопоставляются, что помогает в проверке пользователя. Дополнительные элементы управления реализуются через One Time Passwords, Phonefactor и так далее.
Подробнее. Для получения дополнительной информации о развёртывании Microsoft Passport перейдите на https://aka.ms/bh1m24.
Active Directory Federation Services
По мере освоения облачного мира, способность контролировать вашу личность становится всё более важной. И тут нужно думать, как можно использовать корпоративную идентичность для доступа к тем приложениям, которыми мы технически больше не владеем. А также, мы должны подумать о том, как в безопасном и контролируемом режиме без громоздкого процесса управления пользователями, обеспечить доступ к своим приложениям другим организациям.
Active Directory Federation Services (AD FS) предоставляет эту возможность, так что вы можете подключиться к приложениям, которые находятся на чужой территории или в облаке (Platform as a Service [PaaS] или SaaS) с вашей корпоративной идентичностью.
AD FS существует довольно давно (начиная с AD FS 2.0) но в Windows Server 2016, есть дополнительные усовершенствования технологии, гарантирующие, что она соответствует следующему уровню требований для организаций в облачном мире.
Вот некоторые из областей ключевых улучшений для AD FS:
Многофакторная проверка подлинности
Windows Server 2016, для упрощения процесса использования Azure MFA, в качестве основного поставщика для проверки подлинности, содержит встроенный адаптер Azure MFA. Больше нет необходимости развёртывать локальный сервер MFA.
Регистрация устройства для гибридного условного доступа
Теперь вы можете сконфигурировать AD FS для распознавания состояния устройства. Это означает, что вы можете управлять устройством и применять политики по мере необходимости. Это гарантирует совместимость устройства с корпоративной политикой и уменьшает потенциальные риски для корпоративных ресурсов.
Подробнее. Для получения дополнительной информации перейдите на https://aka.ms/i4jy7h .
Интеграция Windows 10 и Microsoft Passport
Microsoft Passport и AD FS были разработаны для интеграции, обеспечивая дополнительный контроль подлинности для пользователей Windows 10.
Интеграция Lightweight Directory Access Protocol (LDAP), для защиты не AD директорий
Многие организации не полагаются на Active Directory для своих идентификаторов. В этом случае AD FS будет интегрироваться в LDAP v3 совместимые каталоги. Это позволит продолжить интеграцию в облако с использованием этих же поставщиков проверки идентичности и того же самого опыта работы при использовании Active Directory.
Подробнее. Для получения дополнительной информации перейдите на https://aka.ms/qqupdh.
Улучшение аудита
В прошлом, аудит в AD FS был довольно сложным, с большим количеством подробной информации, которую трудно отслеживать. В Windows Server 2016, Microsoft эти действия упростила, дав более последовательный опыт аудита и предоставив более простые методы для отслеживания журналов.
Подробнее. Для получения дополнительной информации перейдите на https://aka.ms/ftbvm1 .
Улучшения SAML 2.0
В Windows Server 2016, была улучшена поддержка SAML, с включением импорта трастов на основе метаданных, содержащих несколько объектов. Теперь вы можете настроить поддержку AD FS для участия в конфедерациях, таких как InCommon Federations, а также в других реализациях, соответствующих eGov 2.0.
В Windows Server 2016 вы можете настраивать сообщения, изображения, логотипы и темы для каждого приложения, позволяя мультиорганизациям иметь одно развёртывание, а не несколько для отдельных устройств. Вы можете расширить эти настройки в каждом разделе.
Упрощённое управление паролями пользователей Federated Office 365
AD FS теперь может отправлять доверенным сторонам оповещения об истечении срока действия патента. Пользователи приложения будут уведомлены об их устаревших паролях, а затем смогут принять меры и изменить их.
Конфигурирование политики контроля доступа, без знания требований правил языка
В Windows Server 2016 появились новые шаблоны политики контроля доступа, которые упрощают настройку требований правил. Эти шаблоны принесли простой, основанный на пользовательском интерфейсе, процесс, который поможет быстро и безопасно создавать требования правил для организации.
Подробнее. Для получения дополнительной информации перейдите на https://aka.ms/rf833l .
Миграция из предыдущих версий AD FS
Процесс обновления для AD FS, в Windows Server 2016, был значительно упрощён. Теперь всё, что вам нужно сделать, это установить экземпляр Windows Server 2016 AD FS в существующий фарм, проверить функциональность и удалить предыдущие версии. AD FS в Windows Server 2016 может «действовать» как предыдущая версия AD FS.
Подробнее. Для получения дополнительной информации перейдите на страницу https://aka.ms/qo74pk.