Condividi tramite

Gestire i rischi con l'autenticazione a più fattori aggiuntiva per le applicazioni sensibili

In questa guida

Questa guida fornisce le informazioni seguenti:

Concetti chiave - Meccanismi di autenticazione in AD FS

Vantaggi dei meccanismi di autenticazione in AD FS

Active Directory Federation Services (AD FS) in Windows Server 2012 R2 offre agli amministratori IT un set di strumenti più completo e più flessibile per autenticare gli utenti che vogliono accedere alle risorse aziendali. Offre agli amministratori un controllo flessibile sui metodi di autenticazione primari e aggiuntivi, offre un'esperienza di gestione avanzata per la configurazione dei criteri di autenticazione (tramite l'interfaccia utente e Windows PowerShell) e migliora l'esperienza per gli utenti finali che accedono ad applicazioni e servizi protetti da AD FS. Di seguito sono riportati alcuni dei vantaggi della protezione delle applicazioni e dei servizi con AD FS in Windows Server 2012 R2:

  • Criteri di autenticazione globali: una funzionalità di gestione centrale, da cui un amministratore IT può scegliere i metodi di autenticazione usati per autenticare gli utenti in base al percorso di rete da cui accedono alle risorse protette. In questo modo gli amministratori possono eseguire le operazioni seguenti:

    • Imporre l'uso di metodi di autenticazione più sicuri per le richieste di accesso dalla extranet.

    • Abilitare l'autenticazione del dispositivo per l'autenticazione a due fattori senza problemi. Questo collega l'identità dell'utente al dispositivo registrato usato per accedere alla risorsa, offrendo così una verifica dell'identità composta più sicura prima dell'accesso alle risorse protette.

      Nota

      Per ulteriori informazioni su oggetto dispositivo, Device Registration Service, Workplace Join e il dispositivo come autenticazione a secondo fattore senza interruzioni e Single Sign-On, vedere Join to Workplace from Any Device for SSO and Seamless Second Factor Authentication Across Company Applications.

    • Impostare il requisito di autenticazione a più fattori per tutti gli accessi extranet o in modo condizionale in base all'identità dell'utente, al percorso di rete o a un dispositivo usato per accedere alle risorse protette.

  • Maggiore flessibilità nella configurazione dei criteri di autenticazione: è possibile configurare criteri di autenticazione personalizzati per le risorse protette da AD FS con valori aziendali diversi. Ad esempio, è possibile richiedere l'autenticazione a più fattori per le applicazioni con un elevato impatto aziendale.

  • Facilità d'uso: strumenti di gestione semplici e intuitivi, ad esempio lo snap-in MMC di gestione DI AD FS basato su GUI e i cmdlet di Windows PowerShell consentono agli amministratori IT di configurare i criteri di autenticazione con facilità relativa. Con Windows PowerShell è possibile creare script per le soluzioni da usare su larga scala e automatizzare attività amministrative banali.

  • Maggiore controllo sugli asset aziendali: poiché come amministratore è possibile usare AD FS per configurare un criterio di autenticazione applicabile a una risorsa specifica, si ha un maggiore controllo sul modo in cui le risorse aziendali sono protette. Le applicazioni non possono eseguire l'override dei criteri di autenticazione specificati dagli amministratori IT. Per applicazioni e servizi sensibili, è possibile abilitare il requisito MFA, l'autenticazione del dispositivo e, facoltativamente, l'autenticazione aggiornata ogni volta che si accede alla risorsa.

  • Supporto per provider di autenticazione a più fattori personalizzati: per le organizzazioni che usano metodi MFA di terze parti, AD FS offre la possibilità di incorporare e usare questi metodi di autenticazione senza problemi.

Ambito di autenticazione

In AD FS in Windows Server 2012 R2 è possibile specificare un criterio di autenticazione in un ambito globale applicabile a tutte le applicazioni e i servizi protetti da AD FS. È anche possibile impostare criteri di autenticazione per applicazioni e servizi specifici (relying party trust) protetti da AD FS. La specifica di un criterio di autenticazione per una determinata applicazione (per trust della parte fidata) non sostituisce i criteri di autenticazione globali. Se i criteri di autenticazione dell'attendibilità globale o per ogni parte affidabile richiedono l'autenticazione a più fattori, questa verrà attivata quando l'utente tenta di eseguire l'autenticazione a questa parte affidabile. Il criterio di autenticazione globale funge da fallback per i trust delle relying party (applicazioni e servizi) che non hanno configurato un criterio di autenticazione specifico.

Un criterio di autenticazione globale si applica a tutte le relying party protette da AD FS. È possibile configurare le impostazioni seguenti come parte dei criteri di autenticazione globali:

I criteri di autenticazione per l'affidabilità del relying party si applicano in modo specifico ai tentativi di accesso a tale affidabilità del relying party (applicazione o servizio). È possibile configurare le seguenti impostazioni come parte dei criteri di autenticazione per il trust del relying party:

  • Indica se gli utenti devono fornire le proprie credenziali ogni volta che si accede

  • Impostazioni di autenticazione a più fattori in base ai dati di utente/gruppo, registrazione del dispositivo e percorso della richiesta di accesso

Metodi di autenticazione primari e aggiuntivi

Con AD FS in Windows Server 2012 R2, oltre al meccanismo di autenticazione principale, gli amministratori possono configurare metodi di autenticazione aggiuntivi. I metodi di autenticazione primari sono incorporati e sono progettati per convalidare le identità degli utenti. È possibile configurare fattori di autenticazione aggiuntivi per richiedere che vengano fornite altre informazioni sull'identità dell'utente e di conseguenza garantire un'autenticazione più avanzata.

Con l'autenticazione primaria in AD FS in Windows Server 2012 R2, sono disponibili le opzioni seguenti:

  • Per accedere alle risorse pubblicate dall'esterno della rete aziendale, l'autenticazione basata su form è selezionata per impostazione predefinita. Inoltre, è anche possibile abilitare l'autenticazione del certificato ( in altre parole, l'autenticazione basata su smart card o l'autenticazione del certificato client utente che funziona con Active Directory Domain Services).

  • Per le risorse Intranet, l'autenticazione di Windows è selezionata per impostazione predefinita. Inoltre, è possibile abilitare moduli e/o autenticazione del certificato.

Selezionando più metodi di autenticazione, è possibile consentire agli utenti di scegliere il metodo con cui eseguire l'autenticazione nella pagina di accesso per l'applicazione o il servizio.

È anche possibile abilitare l'autenticazione del dispositivo per l'autenticazione a due fattori senza problemi. Questo collega l'identità dell'utente al dispositivo registrato usato per accedere alla risorsa, offrendo così una verifica dell'identità composta più sicura prima dell'accesso alle risorse protette.

Nota

Per ulteriori informazioni su oggetto dispositivo, Device Registration Service, Workplace Join e il dispositivo come autenticazione a secondo fattore senza interruzioni e Single Sign-On, vedere Join to Workplace from Any Device for SSO and Seamless Second Factor Authentication Across Company Applications.

Se si specifica il metodo di autenticazione di Windows (opzione predefinita) per le risorse Intranet, le richieste di autenticazione vengono sottoposte a questo metodo senza problemi nei browser che supportano l'autenticazione di Windows.

Nota

L'autenticazione di Windows non è supportata in tutti i browser. Il meccanismo di autenticazione in AD FS in Windows Server 2012 R2 rileva l'agente utente del browser dell'utente e usa un'impostazione configurabile per determinare se l'agente utente supporta l'autenticazione di Windows. Gli amministratori possono aggiungere a questo elenco di agenti utente (tramite il comando di Windows PowerShell Set-AdfsProperties -WIASupportedUserAgents , per specificare stringhe dell'agente utente alternative per i browser che supportano l'autenticazione di Windows. Se l'agente utente del client non supporta l'autenticazione di Windows, il metodo di fallback predefinito è Autenticazione basata su form.

Configurazione dell'MFA

Esistono due parti per configurare MFA in AD FS in Windows Server 2012 R2: specificare le condizioni in cui è necessaria l'autenticazione a più fattori e selezionare un metodo di autenticazione aggiuntivo. Per altre informazioni sui metodi di autenticazione aggiuntivi, vedere Configurare metodi di autenticazione aggiuntivi per AD FS.

Impostazioni MFA

Per le impostazioni MFA sono disponibili le opzioni seguenti (condizioni in cui richiedere l'autenticazione a più fattori):

  • È possibile richiedere l'autenticazione a più fattori per utenti e gruppi specifici nel dominio di Active Directory a cui è stato aggiunto il server federativo.

  • È possibile richiedere l'autenticazione a più fattori per i dispositivi registrati (aggiunti all'area di lavoro) o non registrati (non aggiunti all'area di lavoro).

    Windows Server 2012 R2 adotta un approccio incentrato sugli utenti per i dispositivi moderni in cui gli oggetti dispositivo rappresentano una relazione tra user@device e un'azienda. Gli oggetti Device sono una nuova classe in AD in Windows Server 2012 R2 che può essere usata per offrire un'identità composta quando si fornisce l'accesso alle applicazioni e ai servizi. Un nuovo componente di AD FS, ovvero il servizio di registrazione dispositivi (DRS), effettua il provisioning di un'identità del dispositivo in Active Directory e imposta un certificato nel dispositivo consumer che verrà usato per rappresentare l'identità del dispositivo. Puoi quindi utilizzare l'identità del dispositivo per associare il tuo dispositivo all'ambiente di lavoro, in altre parole, per connettere il tuo dispositivo personale all'Active Directory del tuo luogo di lavoro. Quando si aggiunge il dispositivo personale all'area di lavoro, diventa un dispositivo noto e fornisce un'autenticazione a due fattori facile per le risorse e le applicazioni protette. In altre parole, dopo l'aggiunta di un dispositivo all'area di lavoro, l'identità dell'utente è associata a questo dispositivo e può essere usata per una verifica uniforme dell'identità composta prima che venga eseguito l'accesso a una risorsa protetta.

    Per ulteriori informazioni su come unirsi e lasciare un'area di lavoro, vedere Join to Workplace from Any Device for SSO and Seamless Second Factor Authentication Across Company Applications.

  • È possibile richiedere l'autenticazione a più fattori quando la richiesta di accesso per le risorse protette proviene dalla extranet o dalla intranet.

Panoramica dello scenario

In questo scenario si abilita l'autenticazione a più fattori in base ai dati di appartenenza ai gruppi dell'utente per un'applicazione specifica. In altre parole, si configureranno criteri di autenticazione nel server federativo per richiedere l'autenticazione a più fattori quando gli utenti che appartengono a un determinato gruppo richiedono l'accesso a un'applicazione specifica ospitata in un server Web.

In particolare, in questo scenario, si abilitano criteri di autenticazione per un'applicazione di test basata su attestazioni denominata claimapp, in cui un utente di AD Robert Hatley dovrà sottoporsi a MFA poiché appartiene a un gruppo di Active Directory Finance.

Le istruzioni dettagliate per configurare e verificare questo scenario sono disponibili in Guida dettagliata: Gestire i rischi con l'autenticazione a più fattori aggiuntiva per le applicazioni sensibili. Per completare i passaggi di questa procedura dettagliata, è necessario configurare un ambiente lab e seguire la procedura descritta in Configurare l'ambiente lab per AD FS in Windows Server 2012 R2.

Altri scenari di abilitazione di MFA in AD FS includono quanto segue:

  • Abilitare l'autenticazione a più fattori, se la richiesta di accesso proviene dalla extranet. È possibile modificare il codice presentato nella sezione "Configurare criteri MFA" della Guida dettagliata: Gestire i rischi con l'autenticazione a più fattori aggiuntiva per le applicazioni sensibili con quanto segue:

    'c:[type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn" );'

  • Abilitare l'autenticazione a più fattori, se la richiesta di accesso proviene da un dispositivo non aggiunto all'area di lavoro. È possibile modificare il codice presentato nella sezione "Configurare criteri MFA" della Guida dettagliata: Gestire i rischi con l'autenticazione a più fattori aggiuntiva per le applicazioni sensibili con quanto segue:

    'NOT EXISTS([type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid"]) => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'

  • Abilitare l'autenticazione a più fattori, se l'accesso proviene da un utente con un dispositivo collegato all'ambiente di lavoro ma non registrato a questo utente. È possibile modificare il codice presentato nella sezione "Configurare criteri MFA" della Guida dettagliata: Gestire i rischi con l'autenticazione a più fattori aggiuntiva per le applicazioni sensibili con quanto segue:

    'c:[type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", value == "false"] => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'

Vedere anche

Guida dettagliata: Gestire i rischi con l'autenticazione a più fattori aggiuntiva per le applicazioni sensibiliConfigurare l'ambiente lab per AD FS in Windows Server 2012 R2