Identifizieren der AD FS-BereitstellungszieleIdentify Your AD FS Deployment Goals

Die korrekte Identifizierung Ihrer Active Directory-Verbunddienste (AD FS) ( AD FS ) Bereitstellungs Ziele ist entscheidend für den Erfolg des AD FS Entwurfsprojekts.Correctly identifying your Active Directory Federation Services (AD FS) deployment goals is essential for the success of your AD FS design project. Priorisieren Sie die Bereitstellungs Ziele und kombinieren Sie Sie, damit Sie AD FS mit einem iterativen Ansatz entwerfen und bereitstellen können.Prioritize and, possibly, combine your deployment goals so that you can design and deploy AD FS by using an iterative approach. Sie können vorhandene, dokumentierte und vordefinierte AD FS Bereitstellungs Ziele nutzen, die für die AD FS Entwürfe relevant sind, und eine funktionierende Lösung für Ihre Situation entwickeln.You can take advantage of existing, documented, and predefined AD FS deployment goals that are relevant to the AD FS designs and develop a working solution for your situation.

Frühere Versionen von AD FS wurden am häufigsten bereitgestellt, um Folgendes zu erreichen:Prior versions of AD FS were most commonly deployed to achieve the following:

  • Bereitstellung eines webbasierten einmaligen Anmeldens für Ihre Mitarbeiter oder Kunden - beim Zugriff - auf Anspruchs basierte Anwendungen in Ihrem Unternehmen.Providing your employees or customers with a web-based, SSO experience when accessing claims-based applications within your enterprise.

  • Bereitstellung eines webbasierten einmaligen Anmeldens für Ihre Mitarbeiter oder Kunden - für den Zugriff auf Ressourcen in beliebigen Verbund Partnerorganisationen.Providing your employees or customers with a web-based, SSO experience to access resources in any federation partner organization.

  • Bereitstellung eines webbasierten einmaligen Anmeldens für Ihre Mitarbeiter oder Kunden - beim Remote Zugriff auf Intern gehostete Websites oder Dienste.Providing your employees or customers with a Web-based, SSO experience when remote accessing internally hosted Web sites or services.

  • Bereitstellung eines webbasierten einmaligen Anmeldens für Ihre Mitarbeiter oder Kunden - beim Zugriff auf Ressourcen oder Dienste in der Cloud.Providing your employees or customers with a web-based, SSO experience when accessing resources or services in the cloud.

Zusätzlich zu diesen Features bietet AD FS in Windows Server ® 2012 R2 Funktionen, mit deren Hilfe Sie Folgendes erreichen können:In addition to these, AD FS in Windows Server® 2012 R2 adds functionality that can help you achieve the following:

  • Gerätearbeitsplatzbeitritt für einmalige Anmeldung und nahtlose zweistufige Authentifizierung.Device workplace join for SSO and seamless second factor authentication. Dies ermöglicht es Organisationen, den Zugriff von persönlichen Geräten des Benutzers zuzulassen und das Risiko bei der Bereitstellung dieses Zugriffs zu verwalten.This enables organizations to allow access from user's personal devices and manage the risk when providing this access.

  • Verwalten von Risiken mit der mehrstufigen - Zugriffs Steuerung.Managing risk with multi-factor access control. AD FS bietet eine umfassende Autorisierung, die steuert, wer Zugriff auf welche Anwendungen hat.AD FS provides a rich level of authorization that controls who has access to what applications. Dies kann auf Benutzer Attribut ( -UPN, e-Mail-Adresse, Mitgliedschaft in Sicherheitsgruppen, Authentifizierungs Stärke usw. ) , Geräte Attributen, ( ob es sich um einen Arbeitsplatz Beitritt ) oder einen ( Netzwerk Speicherort, eine IP-Adresse oder einen Benutzer-Agent für Anforderungs Attribute handelt ) .This can be based on user attributes (UPN, email, security group membership, authentication strength, etc.), device attributes (whether the device is workplace joined) or request attributes (network location, IP address, or user agent).

  • Verwalten von Risiken mit zusätzlicher mehrstufiger - Authentifizierung für sensible Anwendungen.Managing risk with additional multi-factor authentication for sensitive applications. AD FS ermöglicht es Ihnen, Richtlinien zu steuern, um potenziell eine mehrstufige - Authentifizierung Global oder pro Anwendung zu erfordern.AD FS allows you to control policies to potentially require multi-factor authentication globally or on a per application basis. Außerdem bietet AD FS Erweiterbarkeits Punkte für jeden Multi - -Factor-Anbieter, um eine nahtlose Integration für Endbenutzer zu gewährleisten - .In addition, AD FS provides extensibility points for any multi-factor vendor to integrate deeply for a secure and seamless multi-factor experience for end users.

  • Bereitstellen von Authentifizierungs-und Autorisierungs Funktionen für den Zugriff auf Webressourcen, die vom webanwendungsproxy geschützt werden.Providing authentication and authorization capabilities for accessing web resources from the extranet that are protected by the Web Application Proxy.

Zusammenfassend kann AD FS in Windows Server 2012 R2 bereitgestellt werden, um in Ihrer Organisation die folgenden Ziele zu erreichen:To summarize, AD FS in Windows Server 2012 R2 can be deployed to achieve the following goals in your organization:

Ermöglichen Sie Ihren Benutzern, von überall aus auf Ressourcen auf Ihren persönlichen Geräten zuzugreifen.Enable your users to access resources on their personal devices from anywhere

  • Arbeitsplatzbeitritt, der Benutzern ermöglicht, ihre persönlichen Geräten dem Active Directory des Unternehmens hinzuzufügen, und dann von diesen Geräten aus nahtlos auf Unternehmensressourcen zuzugreifen.Workplace join that enables users to join their personal devices to corporate Active Directory and as a result gain access and seamless experiences when accessing corporate resources from these devices.

  • -Vorauthentifizierung von Ressourcen innerhalb des Unternehmensnetzwerks, die durch den webanwendungsproxy geschützt sind und auf die über das Internet zugegriffen wird.Pre-authentication of resources inside the corporate network that are protected by the Web Application proxy and accessed from the internet.

  • Kennwortänderung, damit Benutzer von jedem Gerät aus, dass dem Arbeitsplatz beigetreten ist, ihr Kennwort ändern können, wenn es abgelaufen ist, damit sie weiterhin auf Ressourcen zugreifen können.Password change to enable users to change their password from any workplace joined device when their password has expired so that they can continue to access resources.

Verbessern der Zugriffs Steuerungs Tools für die Risiko VerwaltungEnhance your access control risk management tools

Verwalten von Risiken ist ein wichtiger Aspekt der Governance und Compliance in jeder IT-Organisation.Managing risk is an important aspect of governance and compliance in every IT organization. In AD FS in Windows Server 2012 R2 gibt es viele Verbesserungen der Zugriffs Steuerungs-Risiko Verwaltung ® , einschließlich der folgenden:There are numerous access control risk management enhancements in AD FS in Windows Server® 2012 R2, including the following:

  • Flexible Steuerelemente basierend auf der Netzwerkadresse, um zu steuern, wie sich ein Benutzer authentifiziert, um auf eine AD FS - gesicherte Anwendung zuzugreifen.Flexible controls based on network location to govern how a user authenticates to access an AD FS-secured application.

  • Flexible Richtlinie, um zu bestimmen, ob ein Benutzer - die mehrstufige Authentifizierung basierend auf den Daten des Benutzers, den Gerätedaten und dem Netzwerk Speicherort durchführen muss.Flexible policy to determine if a user needs to perform multi-factor authentication based on the user's data, device data, and network location.

  • Hiermit wird pro - Anwendungssteuerung das einmalige Anmelden ignoriert, und der Benutzer wird gezwungen, bei jedem Zugriff auf eine sensible Anwendung Anmelde Informationen einzugeben.Per-application control to ignore SSO and force the user to provide credentials every time they access a sensitive application.

  • Flexible - Zugriffsrichtlinien pro Anwendung basierend auf Benutzerdaten, Gerätedaten oder Netzwerkstandort.Flexible per-application access policy based on user data, device data, or network location.

  • AD FS Extranet Lockout ermöglicht Administratoren den Schutz von Active Directory-Konten vor böswilligen Angriffen aus dem Internet.AD FS Extranet Lockout, which enables administrators to protect Active Directory accounts from brute force attacks from the internet.

  • Sperrung des Zugriffs für alle Arbeitsplatzbeitrittgeräte, die in Active Directory gelöscht oder deaktiviert werden.Access revocation for any workplace joined device that is disabled or deleted in Active Directory.

Verwenden Sie AD FS, um das Anmeldeverfahren zu verbessern. -Use AD FS to enhance the sign-in experience

Im folgenden finden Sie neue AD FS Funktionen in Windows Server ® 2012 R2, die es dem Administrator ermöglichen, den Anmeldevorgang anzupassen und zu verbessern - :The following are new AD FS capabilities in Windows Server® 2012 R2 that enable administrator to customize and enhance the sign-in experience:

  • Einheitliche Anpassung des AD FS-Diensts, wobei die Änderungen einmal vorgenommen und dann automatisch auf die übrigen AD FS-Verbundserver einer bestimmten Farm verteilt werden.Unified customization of the AD FS service, where the changes are made once and then automatically propagated to the rest of the AD FS federation servers in a given farm.

  • Aktualisierte Anmelde - Seiten, die modern Aussehen und sich automatisch auf verschiedene Formular Faktoren abstimmen.Updated sign-in pages that look modern and cater to different form factors automatically.

  • Unterstützung für automatisches Fall Back auf Formular - basierte Authentifizierung für Geräte, die nicht mit der Unternehmens Domäne verknüpft sind, aber weiterhin verwendet werden, um Zugriffs Anforderungen innerhalb des Unternehmensnetzwerks zu generieren ( ) .Support for automatic fallback to forms-based authentication for devices that are not joined to the corporate domain but are still used generate access requests from within the corporate network (intranet).

  • Einfache Steuerelemente zur Anpassung von Firmenlogo, Abbildung, Standardlinks für IT-Support, Startseite, Datenschutz etc.Simple controls to customize the company logo, illustration image, standard links for IT support, home page, privacy, etc.

  • Anpassung der Beschreibungs Meldungen auf den Anmelde - Seiten.Customization of description messages in the sign-in pages.

  • Anpassung von Webdesigns.Customization of web themes.

  • Die Startbereichs Ermittlung ( ) basiert auf dem Suffix der Organisation des Benutzers, um den Schutz der Partner eines Unternehmens zu verbessern.Home Realm Discovery (HRD) based on organizational suffix of the user for enhanced privacy of a company's partners.

  • Die HRD filtert pro - Anwendung, um automatisch einen Bereich auf der Grundlage der Anwendung auszuwählen.HRD filtering on a per-application basis to automatically pick a realm based on the application.

  • Eine - Klick-Fehlerberichterstattung für einfachere IT-Problembehandlung.One-click error reporting for easier IT troubleshooting.

  • Anpassbare Fehlermeldungen.Customizable error messages.

  • Authentifizierungswahl durch den Benutzer, wenn mehrere Authentifizierungsanbieter verfügbar sind.User authentication choice when more than one authentication provider is available.

Weitere InformationenSee Also

AD FS-Entwurfshandbuch in Windows Server 2012 R2AD FS Design Guide in Windows Server 2012 R2