Сегодня методы аутентификации развиваются быстрее, чем когда-либо прежде. Подумайте сами: вы берёте ноутбук, затем, чтобы зайти на свои любимые сайты, открываете браузер где опять логинетесь. В этих случаях вы не всегда используете свои корпоративные учётные данные.
Если вы слышите о новой услуге и хотите получить к ней доступ, есть вероятность, что вам будет предложено зарегистрироваться или использовать общедоступные учётные данные, например, из Microsoft, Facebook, Google и т. д.
Традиционная, использующая предоставление удостоверения подлинности для конкретной личности парадигма изменилась, и теперь используются более «известные» службы, такие как только что упомянутые.
Содержание:
Microsoft Passport
Microsoft Passport - это новый метод проверки подлинности на основе ключа, который выходит за рамки паролей и смягчает традиционные атаки на аутентификацию.
Пользователь регистрируется в Microsoft Passport, но должен убедиться, что поставщик аутентификации поддерживает аутентификацию Fast Identity Online (FIDO). Таким образом, используя двухэтапный процесс пользователь настраивает Microsoft Passport на своём устройстве и устанавливает жест или PIN-код. Затем, это может использоваться для аутентификации пользователя через Microsoft Passport
Во время установки сертификат асимметричной пары ключей хранится на устройстве. Закрытый ключ хранится в чипе TPM устройства. Закрытый ключ, во время процесса проверки подлинности, никогда не покидает устройства.
Открытый ключ зарегистрирован в Azure Active Directory и Windows Server Active Directory. Открытый и закрытый ключ учётной записи пользователя сопоставляются, что помогает в проверке пользователя. Дополнительные элементы управления реализуются через One Time Passwords, Phonefactor и так далее.
Подробнее. Для получения дополнительной информации о развёртывании Microsoft Passport перейдите на https://aka.ms/bh1m24.
Active Directory Federation Services
По мере освоения облачного мира, способность контролировать вашу личность становится всё более важной. И тут нужно думать, как можно использовать корпоративную идентичность для доступа к тем приложениям, которыми мы технически больше не владеем. А также, мы должны подумать о том, как в безопасном и контролируемом режиме без громоздкого процесса управления пользователями, обеспечить доступ к своим приложениям другим организациям.
Active Directory Federation Services (AD FS) предоставляет эту возможность, так что вы можете подключиться к приложениям, которые находятся на чужой территории или в облаке (Platform as a Service [PaaS] или SaaS) с вашей корпоративной идентичностью.
AD FS существует довольно давно (начиная с AD FS 2.0) но в Windows Server 2016, есть дополнительные усовершенствования технологии, гарантирующие, что она соответствует следующему уровню требований для организаций в облачном мире.
Вот некоторые из областей ключевых улучшений для AD FS:
- Многофакторная проверка подлинности
Windows Server 2016, для упрощения процесса использования Azure MFA, в качестве основного поставщика для проверки подлинности, содержит встроенный адаптер Azure MFA. Больше нет необходимости развёртывать локальный сервер MFA.
- Регистрация устройства для гибридного условного доступа
Теперь вы можете сконфигурировать AD FS для распознавания состояния устройства. Это означает, что вы можете управлять устройством и применять политики по мере необходимости. Это гарантирует совместимость устройства с корпоративной политикой и уменьшает потенциальные риски для корпоративных ресурсов.
Подробнее. Для получения дополнительной информации перейдите на https://aka.ms/i4jy7h .
- Интеграция Windows 10 и Microsoft Passport
Microsoft Passport и AD FS были разработаны для интеграции, обеспечивая дополнительный контроль подлинности для пользователей Windows 10.
- Интеграция Lightweight Directory Access Protocol (LDAP), для защиты не AD директорий
Многие организации не полагаются на Active Directory для своих идентификаторов. В этом случае AD FS будет интегрироваться в LDAP v3 совместимые каталоги. Это позволит продолжить интеграцию в облако с использованием этих же поставщиков проверки идентичности и того же самого опыта работы при использовании Active Directory.
Подробнее. Для получения дополнительной информации перейдите на https://aka.ms/qqupdh.
- Улучшение аудита
В прошлом, аудит в AD FS был довольно сложным, с большим количеством подробной информации, которую трудно отслеживать. В Windows Server 2016, Microsoft эти действия упростила, дав более последовательный опыт аудита и предоставив более простые методы для отслеживания журналов.
Подробнее. Для получения дополнительной информации перейдите на https://aka.ms/ftbvm1 .
- Улучшения SAML 2.0
В Windows Server 2016, была улучшена поддержка SAML, с включением импорта трастов на основе метаданных, содержащих несколько объектов. Теперь вы можете настроить поддержку AD FS для участия в конфедерациях, таких как InCommon Federations, а также в других реализациях, соответствующих eGov 2.0.
Подробнее. Больше информации на https://aka.ms/d1xw4q.
- Индивидуализация входа в систему
В Windows Server 2016 вы можете настраивать сообщения, изображения, логотипы и темы для каждого приложения, позволяя мультиорганизациям иметь одно развёртывание, а не несколько для отдельных устройств. Вы можете расширить эти настройки в каждом разделе.
Подробнее. Дополнительная информация на https://aka.ms/f6rxu8.
- Упрощённое управление паролями пользователей Federated Office 365
AD FS теперь может отправлять доверенным сторонам оповещения об истечении срока действия патента. Пользователи приложения будут уведомлены об их устаревших паролях, а затем смогут принять меры и изменить их.
Подробнее. Дополнительная информация на https://aka.ms/i8jq9x.
- Конфигурирование политики контроля доступа, без знания требований правил языка
В Windows Server 2016 появились новые шаблоны политики контроля доступа, которые упрощают настройку требований правил. Эти шаблоны принесли простой, основанный на пользовательском интерфейсе, процесс, который поможет быстро и безопасно создавать требования правил для организации.
Подробнее. Для получения дополнительной информации перейдите на https://aka.ms/rf833l .
- Миграция из предыдущих версий AD FS
Процесс обновления для AD FS, в Windows Server 2016, был значительно упрощён. Теперь всё, что вам нужно сделать, это установить экземпляр Windows Server 2016 AD FS в существующий фарм, проверить функциональность и удалить предыдущие версии. AD FS в Windows Server 2016 может «действовать» как предыдущая версия AD FS.
Подробнее. Для получения дополнительной информации перейдите на страницу https://aka.ms/qo74pk.