AD FS-Einstellungen für einmaliges Anmelden
Gilt für: Windows Server (alle unterstützten Versionen)
Mit dem einmaligen Anmelden (Single Sign-On, SSO) können sich Benutzer einmal authentifizieren und auf mehrere Ressourcen zugreifen, ohne zur Eingabe zusätzlicher Anmeldeinformationen aufgefordert zu werden. In diesem Artikel werden das Standardverhalten von AD FS für SSO sowie die Konfigurationseinstellungen beschrieben, mit denen Sie dieses Verhalten anpassen können.
Unterstützte Arten des einmaligen Anmeldens
AD FS unterstützt verschiedene Arten des einmaligen Anmeldens:
Sitzungs-SSO
Beim Sitzungs-SSO entfallen zusätzliche Aufforderungen, wenn der Benutzer während einer bestimmten Sitzung Anwendungen wechselt, Wenn eine bestimmte Sitzung endet, wird der Benutzer erneut aufgefordert, seine Anmeldeinformationen einzugeben. Sitzungs-SSO-Cookies werden für den authentifizierten Benutzer geschrieben.
AD FS legt standardmäßig Sitzungs-SSO-Cookies fest, wenn die Geräte der Benutzer nicht registriert sind. Wenn die Browsersitzung beendet wurde und neu gestartet wird, wird dieses Sitzungscookie gelöscht und es ist nicht mehr gültig.
Dauerhafte SSO
Beim dauerhaften SSO entfallen weitere Aufforderungen, wenn der Benutzer die Anwendungen wechselt, solange das Cookie für dauerhaftes SSO gültig ist. Persistente SSO-Cookies werden für den authentifizierten Benutzer geschrieben. Der Unterschied zwischen dauerhaften einmaligem Anmelden und sitzungsbasiertem einmaligem Anmelden besteht darin, dass das dauerhafte einmalige Anmelden über verschiedene Sitzungen hinweg beibehalten werden kann.
AD FS legt dauerhafte SSO-Cookies fest, wenn das Gerät registriert wird. AD FS legt auch ein dauerhaftes SSO-Cookie fest, wenn ein Benutzer die Option „Angemeldet bleiben“ auswählt. Wenn das persistente SSO-Cookie nicht mehr gültig ist, wird es abgelehnt und gelöscht.
Anwendungsspezifische SSO
Im OAuth-Szenario wird ein Aktualisierungstoken verwendet, um den SSO-Status des Benutzers innerhalb des Bereichs einer bestimmten Anwendung beizubehalten.
AD FS legt die Ablaufzeit eines Aktualisierungstokens basierend auf der Lebensdauer des persistenten SSO-Cookies für ein registriertes Gerät fest. Standardmäßig beträgt die Cookie-Lebensdauer für AD FS auf Windows Server 2012 R2 sieben Tage. Die Standardlebensdauer von Cookies für AD FS auf Windows Server 2016 beträgt maximal 90 Tage, wenn das Gerät innerhalb eines 14-tägigen Fensters für den Zugriff auf AD FS-Ressourcen verwendet wird.
Wenn das Gerät nicht registriert ist, aber ein Benutzer die Option „Angemeldet bleiben“ auswählt, entspricht die Ablaufzeit des Aktualisierungstokens der Lebensdauer des persistenten SSO-Cookies für „Angemeldet bleiben“. Die Lebensdauer des persistenten SSO-Cookies beträgt standardmäßig zwischen einem Tag und maximal sieben Tagen. Andernfalls entspricht die Lebensdauer des Aktualisierungstokens dem Sitzungs-SSO-Cookie (standardmäßig 8 Stunden).
Benutzer auf registrierten Geräten erhalten immer eine dauerhafte SSO, es sei denn, das dauerhafte einmalige Anmelden ist deaktiviert. Für nicht registrierte Geräte kann das persistente einmalige Anmelden durch Aktivieren der Funktion „Angemeldet bleiben“ (KMSI) realisiert werden.
Für Windows Server 2012 R2 müssen Sie diesen Hotfix installieren, der auch Teil des Updaterollups vom August 2014 für Windows RT 8.1, Windows 8.1 und Windows Server 2012 R2 ist, um PSSO für das Szenario „Angemeldet bleiben“ zu aktivieren.
| Aufgabe | PowerShell | BESCHREIBUNG |
|---|---|---|
| Aktivieren/Deaktivieren des dauerhaften einmaligen Anmeldens | Set-AdfsProperties –EnablePersistentSso <Boolean> |
Dauerhaftes einmaliges Anmelden ist standardmäßig aktiviert. Wenn sie deaktiviert ist, wird kein PSSO-Cookie erstellt. |
| „Angemeldet bleiben“ aktivieren/deaktivieren | Set-AdfsProperties –EnableKmsi <Boolean> |
Die Funktion „Angemeldet bleiben“ ist standardmäßig deaktiviert. Ist sie aktiviert, wird dem Endbenutzer auf der AD FS-Anmeldeseite die Option „Angemeldet bleiben“ angezeigt. |
AD FS 2016: Einmaliges Anmelden und authentifizierte Geräte
AD FS 2016 ändert das PSSO, wenn der Anforderer die Authentifizierung auf einem registrierten Gerät auf maximal 90 Tage erhöht, aber eine Authentifizierung innerhalb eines Zeitraums von 14 Tagen erfordert (Fenster zur Gerätenutzung). Nach der erstmaligen Bereitstellung von Anmeldeinformationen erhalten Benutzer mit registrierten Geräten standardmäßig eine einmalige Anmeldung für einen Zeitraum von maximal 90 Tagen. Voraussetzung dafür ist, dass sie das Gerät mindestens einmal aller 14 Tage für den Zugriff auf AD FS-Ressourcen verwenden. Nach 15 Tagen werden die Benutzer erneut zur Eingabe von Anmeldeinformationen aufgefordert.
Dauerhaftes einmaliges Anmelden ist standardmäßig aktiviert. Wenn die Funktion deaktiviert ist, wird kein PSSO-Cookie erstellt.
Set-AdfsProperties –EnablePersistentSso <Boolean\>
Das Gerätenutzungsfenster (standardmäßig 14 Tage) wird von der AD FS-Eigenschaft DeviceUsageWindowInDays gesteuert.
Set-AdfsProperties -DeviceUsageWindowInDays
Der maximale Zeitraum für einmaliges Anmelden (standardmäßig 90 Tage) wird von der AD FS-Eigenschaft PersistentSsoLifetimeMins gesteuert.
Set-AdfsProperties -PersistentSsoLifetimeMins
„Angemeldet bleiben“ für nicht authentifizierte Geräte
Für nicht registrierte Geräte wird der Zeitraum für einmaliges Anmelden durch die Einstellungen der Funktion Angemeldet bleiben (KMSI) bestimmt. KMSI ist standardmäßig deaktiviert und kann durch Festlegen der AD FS-Eigenschaft „KmsiEnabled“ auf „True“ aktiviert werden.
Set-AdfsProperties -EnableKmsi $true
Wenn KMSI deaktiviert ist, beträgt der Standardzeitraum für einmaliges Anmelden 8 Stunden. Der Zeitraum für einmaliges Anmelden kann mit der Eigenschaft „SsoLifetime“ konfiguriert werden. Die Eigenschaft wird in Minuten gemessen, sodass ihr Standardwert „480“ lautet.
Set-AdfsProperties –SsoLifetime <Int32\>
Wenn KMSI aktiviert ist, liegt der Standardzeitraum für einmaliges Anmelden bei 24 Stunden. Der Zeitraum für einmaliges Anmelden mit aktiviertem KMSI kann mithilfe der Eigenschaft „KmsiLifetimeMins“ konfiguriert werden. Die Eigenschaft wird in Minuten gemessen, sodass ihr Standardwert „1440“ lautet.
Set-AdfsProperties –KmsiLifetimeMins <Int32\>
Verhalten der mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA)
AD FS bietet relativ lange Zeiträume für das einmalige Anmelden. Es ist wichtig zu beachten, dass AD FS zur weiteren Authentifizierung (mehrstufige Authentifizierung) auffordert, wenn eine vorherige Anmeldung auf primären Anmeldeinformationen (nicht auf MFA) basiert, die aktuelle Anmeldung jedoch MFA erfordert. Dieses Verhalten ist unabhängig von der SSO-Konfiguration. Wenn AD FS eine Authentifizierungsanforderung empfängt, wird zunächst bestimmt, ob ein SSO-Kontext (z. B. ein Cookie) vorhanden ist und ob MFA erforderlich ist. Beispielsweise ist MFA erforderlich, wenn die Authentifizierungsanforderung von außerhalb erfolgt. In einem solchen Fall bewertet AD FS, ob der SSO-Kontext MFA enthält oder nicht. Wenn nicht, wird zur MFA aufgefordert.
PSSO-Sperrung
Zum Schutz der Sicherheit lehnt AD FS alle zuvor ausgestellten persistentenSSO-Cookies ab, wenn die folgenden Bedingungen erfüllt sind:
Änderung des Kennworts durch den Benutzer
Die Einstellung für dauerhaftes einmaliges Anmelden ist in AD FS deaktiviert.
Das Gerät wird vom Administrator deaktiviert, falls es verloren geht oder gestohlen wird.
AD FS empfängt ein persistentes SSO-Cookie, das für einen registrierten Benutzer ausgegeben wird, aber der Benutzer oder das Gerät ist nicht mehr registriert.
AD FS empfängt ein Cookie für dauerhaftes SSO für einen registrierten Benutzer, aber der Benutzer hat sich erneut registriert.
AD FS empfängt ein persistentes SSO-Cookie, das aufgrund der Einstellung „Angemeldet bleiben“ ausgegeben wird, die Einstellung „Angemeldet bleiben“ jedoch in AD FS deaktiviert ist.
AD FS empfängt ein persistentes SSO-Cookie, das für einen registrierten Benutzer ausgegeben wird, aber das Gerätezertifikat fehlt oder während der Authentifizierung geändert wurde.
Der AD FS-Administrator hat eine Abgrenzungszeit für dauerhaftes SSO festgelegt. Wenn eine Trennungszeit konfiguriert ist, lehnt AD FS alle persistenten SSO-Cookies ab, die vor diesem Zeitpunkt ausgegeben wurden.
Für die Ablehnung eines persistenten SSO-Cookies muss der Benutzer seine Anmeldeinformationen angeben, um sich erneut bei AD FS zu authentifizieren.
Führen Sie das folgende PowerShell-Cmdlet aus, um die zeitliche Grenze festzulegen:
Set-AdfsProperties -PersistentSsoCutoffTime <DateTime>
Aktivieren von PSSO für Benutzer von Office 365 für den Zugriff auf SharePoint Online
Nachdem PSSO aktiviert und konfiguriert wurde, erstellt AD FS unmittelbar nach der Benutzerauthentifizierung ein persistentes Cookie. Bei PSSO entfällt die Notwendigkeit, sich in nachfolgenden Sitzungen erneut zu authentifizieren, solange das Cookie noch gültig ist.
Benutzer können auch zusätzliche Authentifizierungsaufforderungen für Office 365 und SharePoint Online vermeiden. Konfigurieren Sie die folgenden beiden Anspruchsregeln in AD FS, um die Persistenz in Microsoft Entra ID und SharePoint Online auszulösen. Wenn Sie PSSO für Benutzer von Office 365 für den Zugriff auf SharePoint Online aktivieren möchten, installieren Sie diesen Hotfix. Er ist Teil vom Updaterollup vom August 2014 für Windows RT 8.1, Windows 8.1 und Windows Server 2012 R2.
Eine Ausstellungstransformationsregel für den Pass-Through des InsideCorporateNetwork-Anspruchs
@RuleTemplate = "PassThroughClaims"
@RuleName = "Pass through claim - InsideCorporateNetwork"
c:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"]
=> issue(claim = c);
A custom Issuance Transform rule to pass through the persistent SSO claim
@RuleName = "Pass Through Claim - Psso"
c:[Type == "https://schemas.microsoft.com/2014/03/psso"]
=> issue(claim = c);
Zusammenfassung:
| Einmaliges Anmelden | ADFS 2012 R2 Ist das Gerät registriert? |
ADFS 2016 Ist das Gerät registriert? |
|---|---|---|
| Nein Nein, aber KMSI Ja | Nein Nein, aber KMSI Ja | |
| SSO=>Aktualisierungstoken festlegen=> | 8 Stunden nicht zutreffend nicht zutreffend | 8 Stunden nicht zutreffend nicht zutreffend |
| PSSO=>Aktualisierungstoken festlegen=> | nicht zutreffend 24 Stunden 7 Tage | nicht zutreffend 24 Stunden max. 90 Tage mit 14-Tage-Fenster |
| Lebensdauer von Token | 1 Stunde 1 Stunde 1 Stunde | 1 Stunde 1 Stunde 1 Stunde |
Registriertes Gerät? Sie erhalten PSSO/persistentes SSO.
Nicht registriertes Gerät? Sie erhalten SSO.
Nicht registriertes Gerät, aber KMSI? Sie erhalten PSSO/persistentes SSO.
Wenn:
- [x] Admin das KMSI-Feature aktiviert hat [AND]
- [x] Benutzer aktiviert das KMSI-Kontrollkästchen auf der Anmeldeseite für Formulare
AD FS gibt nur dann ein neues Aktualisierungstoken aus, wenn die Gültigkeit des neueren Aktualisierungstokens länger ist als die des vorherigen Tokens. Die maximale Lebensdauer eines Tokens beträgt 84 Tage, aber AD FS behält die Gültigkeit des Tokens in einem gleitenden Fenster von 14 Tagen bei. Wenn das Aktualisierungstoken 8 Stunden lang gültig ist, was der regulären SSO-Zeit entspricht, wird kein neues Aktualisierungstoken ausgestellt.
Wissenswertes:
Für Verbundbenutzer, die das LastPasswordChangeTimestamp-Attribut nicht synchronisiert haben, werden Sitzungscookies und Aktualisierungstoken mit einem Max. Alterswert von 12 Stunden ausgestellt.
Sitzungscookies und Aktualisierungstoken für das maximale Alter werden ausgestellt, weil Microsoft Entra ID nicht bestimmen kann, wann Token widerrufen werden sollen, die sich auf alte Anmeldeinformationen beziehen. Dieses Verhalten kann beispielsweise durch ein geändertes Kennwort verursacht werden. Microsoft Entra ID muss häufiger Überprüfungen durchführen und sicherstellen, dass Benutzer und zugehörige Token weiterhin gültig sind.