Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Организации сталкиваются с атаками, которые пытаются использовать брутфорс, компрометировать или иным образом заблокировать учетные записи пользователей через отправку запросов аутентификации на основе пароля. Чтобы защитить организации от компрометации, AD FS представила такие возможности, как блокировка экстрасети "smart" и блокировка НА основе IP-адресов.
Однако эти способы устранения рисков реактивны. Чтобы обеспечить упреждающий способ, чтобы снизить серьезность этих атак, AD FS может запрашивать другие факторы перед сбором пароля.
Например, AD FS 2016 представила многофакторную проверку подлинности Microsoft Entra в качестве основной проверки подлинности, чтобы коды OTP из приложения Authenticator могли использоваться в качестве первого фактора. Начиная с AD FS 2019 можно настроить внешние поставщики проверки подлинности в качестве основных факторов проверки подлинности.
Существует два ключевых сценария, которые позволяют:
Сценарий 1. Защита пароля
Защитите систему входа на основе паролей от атак методом подбора паролей и блокировок, требованием дополнительного внешнего фактора в первую очередь. Запрос пароля отображается только при успешном завершении внешней проверки подлинности. Это устраняет удобный способ того, как злоумышленники пытались скомпрометировать или отключить учетные записи.
Этот сценарий состоит из двух компонентов:
- Запрос на многофакторную аутентификацию Microsoft Entra (доступен в AD FS 2016 и более поздних версиях) или использование внешнего фактора аутентификации в качестве основной аутентификации.
- Имя пользователя и пароль в качестве дополнительной проверки подлинности в AD FS
Сценарий 2. Бесплатный пароль
Полностью исключить пароли, но выполнить надежную многофакторную проверку подлинности с помощью методов, не основанных на паролях, в AD FS
- Многофакторная проверка подлинности Microsoft Entra с программой Authenticator
- Windows 10 Hello для бизнеса
- Аутентификация с помощью сертификата
- Внешние поставщики проверки подлинности
Концепции
Что действительно означает первичная аутентификация, так это метод, который сначала предлагается пользователю перед дополнительными факторами. Ранее единственными доступными основными методами в AD FS были встроенные методы для многофакторной аутентификации Active Directory или Microsoft Entra, а также других хранилищ аутентификации LDAP. Внешние методы можно настроить как дополнительную проверку подлинности, которая происходит после успешного завершения первичной проверки подлинности.
В AD FS 2019 внешняя проверка подлинности в качестве основной возможности означает, что все внешние поставщики проверки подлинности, зарегистрированные в ферме AD FS (с помощью Register-AdfsAuthenticationProvider), становятся доступными для первичной проверки подлинности и дополнительной проверки подлинности. Они могут быть включены так же, как встроенные поставщики, такие как проверка подлинности форм и проверка подлинности сертификатов, для использования интрасети и (или) экстрасети.
После включения внешнего поставщика для экстрасети, интрасети или обоих он становится доступным для пользователей. Если включено несколько методов, пользователи видят страницу выбора и смогут выбрать основной метод так же, как и для дополнительной проверки подлинности.
Предпосылки
Перед настройкой внешних поставщиков проверки подлинности в качестве основного убедитесь, что у вас есть следующие предварительные требования.
- Уровень поведения фермы AD FS (FBL) был поднят до "4" (это соответствует AD FS 2019.)
- Это значение FBL по умолчанию для новых ферм AD FS 2019.
- Для ферм AD FS на основе Windows Server 2012 R2 или 2016 уровень поведения фермы (FBL) можно повысить с помощью командлета PowerShell Invoke-AdfsFarmBehaviorLevelRaise. Дополнительные сведения об обновлении фермы AD FS см. в статье об обновлении фермы SQL или ферм WID.
- Вы можете проверить значение FBL с помощью командлета Get-AdfsFarmInformation.
- Ферма AD FS 2019 настроена на использование новых страниц для пользователей, содержащих элементы разбивки на страницы.
- Это поведение по умолчанию для новых ферм AD FS 2019.
- Для ферм AD FS, обновленных с Windows Server 2012 R2 или 2016, потоки с разбивкой на страницы включены автоматически, когда внешняя проверка подлинности в качестве основной (функции, описанной в этом документе) включена, как описано в следующем разделе этой статьи.
Включение внешних методов проверки подлинности в качестве основного
После проверки необходимых предварительных условий можно настроить дополнительные поставщики проверки подлинности в AD FS в качестве первичных с помощью PowerShell или консоли управления AD FS.
Использование PowerShell
PS C:\> Set-AdfsGlobalAuthenticationPolicy -AllowAdditionalAuthenticationAsPrimary $true
Служба AD FS должна быть перезапущена после включения или отключения дополнительной проверки подлинности в качестве основной.
Использование консоли управления AD FS
В консоли управления AD FS в разделе "Методы проверки подлинности службы"> в разделе "Основные методы проверки подлинности" выберите "Изменить"
Установите флажок "Разрешить дополнительные поставщики проверки подлинности" в качестве основного.
Служба AD FS должна быть перезапущена после включения или отключения дополнительной проверки подлинности в качестве основной.
Включение имени пользователя и пароля в качестве дополнительной проверки подлинности
Чтобы завершить сценарий защиты пароля, включите имя пользователя и пароль в качестве дополнительной проверки подлинности с помощью PowerShell или консоли управления AD FS. Примеры приведены для обоих методов.
Включение имени пользователя и пароля в качестве дополнительной проверки подлинности с помощью PowerShell
PS C:\> $providers = (Get-AdfsGlobalAuthenticationPolicy).AdditionalAuthenticationProvider
PS C:\>$providers = $providers + "FormsAuthentication"
PS C:\>Set-AdfsGlobalAuthenticationPolicy -AdditionalAuthenticationProvider $providers
Включение имени пользователя и пароля в качестве дополнительной проверки подлинности с помощью консоли управления AD FS
В консоли управления AD FS в разделе Служба - Методы проверки подлинности в разделе Дополнительные методы проверки подлинности выберите Изменить
Установите флажок для проверки подлинности форм , чтобы включить имя пользователя и пароль в качестве дополнительной проверки подлинности.