Neuerungen in Active Directory-VerbunddiensteWhat's new in Active Directory Federation Services

Neuerungen in Active Directory-Verbunddienste für Windows Server 2019What's new in Active Directory Federation Services for Windows Server 2019

Geschützte AnmeldungenProtected Logins

Es folgt eine kurze Zusammenfassung der Aktualisierungen geschützter Anmeldungen, die in AD FS 2019 verfügbar sind:The following is a brief summary of updates to protected logins available in AD FS 2019:

  • Externe Authentifizierungsanbieter als primäre Authentifizierung: Kunden können jetzt Authentifizierungsprodukte von Drittanbietern als ersten Faktor verwenden und müssen Kennwörter nicht als ersten Faktor verfügbar machen.External Auth Providers as Primary - Customers can now use 3rd party authentication products as the first factor and not expose passwords as the first factor. In Fällen, in denen ein externer Authentifizierungsanbieter zwei Faktoren nachweisen kann, besteht MFA-Anspruch.In the cases where an external auth provider can prove 2 factors it can claim MFA.
  • Kennwortauthentifizierung als zusätzliche Authentifizierung: Kunden verfügen über eine vollständig unterstützte Eingangsoption, um das Kennwort nur für den zusätzlichen Faktor zu verwenden, nachdem eine Option ohne Kennwort als erster Faktor verwendet wurde.Password Authentication as additional Authentication - Customers have a fully supported inbox option to use password only for the additional factor after a password less option is used as the first factor. Dies verbessert die Benutzerfreundlichkeit von AD FS 2016. Bei dieser Komponente mussten Kunden einen GitHub-Adapter herunterladen, der unverändert unterstützt wird.This improves the customer experience from ADFS 2016 where customers had to download a github adapter which is supported as is.
  • Austauschbares Risikobewertungsmodul: Kunden können jetzt eigene Plug-In-Module erstellen, um bestimmte Anforderungstypen während der Vorauthentifizierung zu blockieren.Pluggable Risk Assessment Module - Customers can now build their own plug in modules to block certain types of requests during pre-authentication stage. Dadurch können Kunden Cloud Intelligence-Lösungen wie Identity Protection (Identitätsschutz) einfacher verwenden, um Anmeldungen für riskante Benutzer oder riskante Transaktionen zu blockieren.This makes it easier for customers to use cloud intelligence such as Identity protection to block logins for risky users or risky transactions. Weitere Informationen findest du unter Erstellen von Plug-Ins mit dem Risikobewertungsmodell von AD FS 2019.For more information see Build Plug-ins with AD FS 2019 Risk Assessment Model
  • ESL-Verbesserungen: Durch Hinzufügen der folgenden Funktionen wird das ESL-QFE in 2016 verbessert.ESL improvements - Improves on the ESL QFE in 2016 by adding the following capabilities
    • Ermöglicht es Kunden, sich im Überwachungsmodus zu befinden und gleichzeitig durch die „klassische“ Extranetsperrfunktion geschützt zu sein, die ab AD FS 2012R2 verfügbar ist.Enables customers to be in audit mode while being protected by 'classic' extranet lockout functionality available since ADFS 2012R2. Derzeit sind 2016-Kunden im Überwachungsmodus nicht geschützt.Currently 2016 customers would have no protection while in audit mode.
    • Aktiviert einen unabhängigen Sperrschwellenwert für bekannte Orte.Enables independent lockout threshold for familiar locations. Dadurch können mehrere Instanzen von Apps, die mit einem gemeinsamen Dienstkonto ausgeführt werden, einen Rollover für Kennwörter mit minimalen Auswirkungen durchführen.This makes it possible for multiple instances of apps running with a common service account to roll over passwords with the least amount of impact.

Zusätzliche SicherheitsverbesserungenAdditional security improvements

In AD FS 2019 sind die folgenden zusätzlichen Sicherheitsverbesserungen verfügbar:The following additional security improvements are available in AD FS 2019:

  • Remote-PSH mithilfe von SmartCard-Anmeldung: Kunden können jetzt mithilfe von Smartcards über PSH eine Remoteverbindung mit AD FS herstellen und diese zum Verwalten aller PSH-Funktionen verwenden, einschließlich PSH-Cmdlets mit mehreren Knoten.Remote PSH using SmartCard Login - Customers can now use smartcards to remote connect to ADFS via PSH and use that to manage all PSH functions include multi-node PSH cmdlets.
  • Anpassung von HTTP-Headern: Kunden können jetzt HTTP-Header anpassen, die bei AD FS-Antworten ausgegeben werden.HTTP Header customization - Customers can now customize HTTP headers emitted during ADFS responses. Dies schließt die folgenden Header ein:This includes the following headers
    • HSTS: Dadurch wird vermittelt, dass AD FS-Endpunkte nur für HTTPS-Endpunkte verwendet werden können, damit ein kompatibler Browser erzwungen wird.HSTS: This conveys that ADFS endpoints can only be used on HTTPS endpoints for a compliant browser to enforce
    • x-frame-options: Ermöglicht es AD FS-Administratoren, bestimmten vertrauenden Seiten das Einbetten von iFrames für interaktive AD FS-Anmeldeseiten zu gestatten.x-frame-options: Allows ADFS admins to allow specific relying parties to embed iFrames for ADFS interactive login pages. Dies sollte mit Bedacht und nur auf HTTPS-Hosts erfolgen.This should be used with care and only on HTTPS hosts.
    • Zukünftige Header: Es können auch weitere zukünftige Header konfiguriert werden.Future header: Additional future headers can be configured as well.

Weitere Informationen findest du unter Anpassen der HTTP-Sicherheitsantwortheader mit AD FS 2019.For more information see Customize HTTP security response headers with AD FS 2019

Authentifizierungs-/RichtlinienfunktionenAuthentication/Policy capabilities

In AD FS 2019 sind die folgenden Authentifizierungs-/Richtlinienfunktionen verfügbar:The following authentication/policy capabilities are in AD FS 2019:

  • Authentifizierungsmethode für zusätzliche Authentifizierung pro RP angeben: Kunden können jetzt Anspruchsregeln verwenden, um zu entscheiden, welcher weitere Authentifizierungsanbieter als zusätzlicher Authentifizierungsanbieter aufgerufen werden soll.Specify auth method for additional auth per RP - Customers can now use claims rules to decide which additional authentication provider to invoke for additional authentication provider. Dies ist in zwei Anwendungsfällen nützlich.This is useful for 2 use cases
    • Kunden wechseln von einem zusätzlichen Authentifizierungsanbieter zu einem anderen.Customers are transitioning from one additional authentication provider to another. Wenn diese Kunden Benutzer in einen neueren Authentifizierungsanbieter integrieren, können sie Gruppen verwenden, um zu steuern, welcher zusätzliche Authentifizierungsanbieter aufgerufen wird.This way as they onboard users to a newer authentication provider they can use groups to control which additional authentication provider is called.
    • Kunden müssen für bestimmte Anwendungen einen bestimmten zusätzlichen Authentifizierungsanbieter (z. B. ein Zertifikat) verwenden.Customers have needs for a specific additional authentication provider (e.g. certificate) for certain applications.
  • TLS-basierte Geräteauthentifizierung nur auf Anwendungen beschränken, die sie erfordern: Kunden können jetzt clientseitige TLS-basierte Geräteauthentifizierungen auf Anwendungen beschränken, die gerätebasierten bedingten Zugriff ausführen.Restrict TLS based device auth only to applications that require it - Customers can now restrict client TLS based device authentications to only applications performing device based conditional access. Dadurch werden unerwünschte Eingabeaufforderungen zur Geräteauthentifizierung (oder Fehler, wenn die Clientanwendung diese nicht verarbeiten kann) für Anwendungen verhindert, die keine TLS-basierte Geräteauthentifizierung erfordern.This prevents any unwanted prompts for device authentication (or failures if the client application cannot handle) for applications that do not require TLS based device authentication.
  • Unterstützung von MFA-Aktualität: AD FS unterstützt jetzt die Möglichkeit, die Anmeldeinformationen des zweiten Faktors auf der Grundlage der Aktualität dieser Anmeldeinformationen wieder zu verwenden.MFA freshness support - AD FS now supports the ability to re-do 2nd factor credential based on the freshness of the 2nd factor credential. Dadurch können Kunden eine erste Transaktion mit zwei Faktoren ausführen und nur in regelmäßigen Abständen den zweiten Faktor anfordern.This allows customers to do an initial transaction with 2 factors and only prompt for the 2nd factor on a periodic basis. Dies ist nur für Anwendungen verfügbar, die einen zusätzlichen Parameter in der Anforderung bereitstellen können. Dies ist keine konfigurierbare Einstellung in AD FS.This is only available to applications that can provide an additional parameter in the request and is not a configurable setting in ADFS. Dieser Parameter wird von Azure AD unterstützt, wenn „Meine MFA für X Tage speichern“ konfiguriert ist und in Azure AD das Flag „supportsMFA“ in den Vertrauenseinstellungen der Verbunddomäne auf „true“ festgelegt ist.This parameter is supported by Azure AD when "Remember my MFA for X days" is configured and the 'supportsMFA' flag is set to true on the federated domain trust settings in Azure AD.

Verbesserungen beim einmaligen AnmeldenSign-in SSO improvements

In AD FS 2019 wurden die folgenden Verbesserungen beim einmaligen Anmelden vorgenommen:The following sign-in SSO improvements have been made in AD FS 2019:

  • Paginierte Benutzeroberfläche mit zentriertem Design: In AD FS wurde die Benutzeroberfläche zu einem paginierten UX-Flow umgestaltet, sodass AD FS eine optimierte Anmeldeoberfläche validieren und bereitstellen kann.Paginated UX with Centered Theme - ADFS now has moved to a paginated UX flow that allows ADFS to validate and provide a more smoother sign-in experience. In AD FS wird jetzt eine zentrierte Benutzeroberfläche (anstelle der rechten Seite des Bildschirms) verwendet.ADFS now uses a centered UI (instead of the right side of the screen). Möglicherweise benötigst du ein neueres Logo und neuere Hintergrundbilder, die an diese Oberfläche angepasst sind.You may require newer logo and background images to align with this experience. Dadurch wird auch die in Azure AD angebotene Funktionalität widergespiegelt.This also mirrors functionality offered in Azure AD.
  • Programmfehlerbehebung: Persistenter SSO-Status für Windows 10-Geräte bei der PRT-Authentifizierung: Damit wird ein Problem behoben, bei dem der MFA-Status bei Verwendung der PRT-Authentifizierung für Windows 10-Geräte nicht persistent war.Bug fix: Persistent SSO state for Win10 devices when doing PRT auth This addresses an issue where MFA state was not persisted when using PRT authentication for Windows 10 devices. Dieses Problem führte dazu, dass Endbenutzer häufig zur Eingabe von Anmeldeinformationen des zweiten Faktors (MFA) aufgefordert wurden.The result of the issue was that end users would get prompted for 2nd factor credential (MFA) frequently. Durch die Fehlerbehebung wird auch die Benutzererfahrung konsistent, wenn die Geräteauthentifizierung erfolgreich über Client-TLS und über den PRT-Mechanismus durchgeführt wird.The fix also makes the experience consistent when device auth is successfully performed via client TLS and via PRT mechanism.

Unterstützung für das Erstellen von modernen branchenspezifischen AppsSuppport for building modern line-of-business apps

In AD FS 2019 wurde die folgende Unterstützung für das Erstellen von modernen branchenspezifischen Apps hinzugefügt:The following support for building modern LOB apps has been added to AD FS 2019:

  • OAuth-Geräteflow/-Profil: AD FS unterstützt jetzt das OAuth-Geräteflowprofil zum Ausführen von Anmeldungen auf Geräten, die nicht über einen Benutzeroberflächenbereich verfügen, der umfangreiche Anmeldefunktionen unterstützt.Oauth Device flow/profile - AD FS now supports the OAuth device flow profile to perform logins on devices that do not have a UI surface area to support rich login experiences. Dadurch können Benutzer die Anmeldung auf einem anderen Gerät durchführen.This allows the user to complete the login experience on a different device. Diese Funktion ist für Azure CLI in Azure Stack erforderlich und kann auch in anderen Fällen verwendet werden.This functionality is required for Azure CLI experience in Azure Stack and can be used in other cases.
  • Entfernung des Ressourcenparameters: In AD FS muss jetzt kein Ressourcenparameter mehr angegeben werden, der mit den aktuellen OAuth-Spezifikationen übereinstimmt.Removal of 'Resource' parameter - AD FS has now removed the requirement to specify a resource parameter which is in line with current Oauth specifications. Clients können jetzt zusätzlich zu den angeforderten Berechtigungen den Bezeichner der Vertrauensstellung der vertrauenden Seite als Bereichsparameter angeben.Clients can now provide the Relying Party trust identifier as the scope parameter in addition to permissions requested.
  • CORS-Header in AD FS-Antworten: Kunden können jetzt Single-Page-Anwendungen erstellen, mit denen clientseitige JS-Bibliotheken die Signatur des ID-Tokens (id_token) überprüfen können, indem sie die Signaturschlüssel aus dem OIDC-Discovery-Dokument in AD FS abfragen.CORS headers in AD FS responses - Customers can now build Single Page Applications that allow client side JS libraries to validate the signature of the id_token by querying for the signing keys from the OIDC discovery document on AD FS.
  • PKCE-Unterstützung: AD FS umfasst jetzt PKCE-Unterstützung, um einen sicheren Authentifizierungscodeflow in OAuth zu ermöglichen.PKCE support - AD FS adds PKCE support to provide a secure auth code flow within OAuth. Dadurch wird diesem Flow eine zusätzliche Sicherheitsebene hinzugefügt, um den Code vor Hijacking zu schützen und zu verhindern, dass er von einem anderen Client wiedergegeben werden kann.This adds an additional layer of security to this flow to prevent hijacking the code and replaying it from a different client.
  • Programmfehlerbehebung: „x5t“- und „kid“-Anspruch senden: Hierbei handelt es sich um eine kleinere Programmfehlerbehebung.Bug fix: Send x5t and kid claim - This is a minor bug fix. AD FS sendet jetzt zusätzlich den „kid“-Anspruch, um den Schlüssel-ID-Hinweis zum Überprüfen der Signatur anzugeben.AD FS now additionally sends the 'kid' claim to denote the key id hint for verifying the signature. Zuvor hat AD FS dies nur als „x5t“-Anspruch gesendet.Previously AD FS only sent this as 'x5t' claim.

Verbesserungen der UnterstützbarkeitSupportability improvements

Die folgenden Verbesserungen der Unterstützbarkeit sind nicht Teil von AD FS 2019:The following supportability improvements are not part of AD FS 2019:

  • Fehlerdetails an AD FS-Administratoren senden: Dadurch können Administratoren Endbenutzer so konfigurieren, dass Debugprotokolle zu einem Fehler bei der Endbenutzerauthentifizierung gesendet werden, die zur einfachen Nutzung als ZIP-Datei gespeichert werden.Send error details to AD FS admins - Allows admins to configure end users to send debug logs relating to a failure in end user authentication to be stored as a zipped filed for easy consumption. Administratoren können auch eine SMTP-Verbindung konfigurieren, um die ZIP-Datei automatisch an ein Triage-E-Mail-Konto zu senden oder ein Ticket auf der Grundlage der E-Mail automatisch zu erstellen.Admins can also configure an SMTP connection to automail the zipped file to a triage email account or to auto create a ticket based on the email.

BereitstellungsaktualisierungenDeployment updates

Die folgenden Bereitstellungsaktualisierungen sind jetzt in AD FS 2019 enthalten:The following deployment updates are now included in AD FS 2019:

  • Farmverhaltensebene 2019: Wie in AD FS 2016 gibt es eine neue Version der Farmverhaltensebene, die zum Aktivieren von neuen Funktionen erforderlich ist, die oben erläutert werden.Farm Behavior Level 2019 - As with AD FS 2016, there is a new Farm Behavior Level version that is required to enable new functionality discussed above. Dies ermöglicht einen Wechsel von:This allows going from:
    • 2012 R2 -> 20192012 R2-> 2019
    • 2016 -> 20192016 -> 2019

SAML-UpdatesSAML updates

In AD FS 2019 ist das folgende SAML-Update enthalten:The following SAML update is in AD FS 2019:

  • Programmfehlerbehebung: Beheben von Fehlern im aggregierten Verbund: Es gibt zahlreiche Fehlerbehebungen für die Unterstützung des aggregierten Verbunds (z. B. „InCommon“).Bug fix: Fix bugs in aggregated federation - There have been numerous bug fixes around aggregated federation support (e.g. InCommon). Die Fehlerbehebungen beziehen sich auf die folgenden Punkte:The fixes have been around the following:
    • Verbesserte Skalierung für eine große Anzahl von Entitäten im Dokument für aggregierte Verbundmetadaten. Zuvor ist dabei der Fehler „ADMIN0017“ aufgetreten.Improved scaling for large # of entities in the aggregated federation metadata doc. Previously, this would fail with "ADMIN0017" error.
    • Abfragen mit dem Parameter „ScopeGroupID“ über das PSH-Cmdlet „Get-AdfsRelyingPartyTrustsGroup“.Query using 'ScopeGroupID' parameter via Get-AdfsRelyingPartyTrustsGroup PSH cmdlet.
    • Behandeln von Fehlerbedingungen im Zusammenhang mit einer doppelten Entitäts-ID (entityID)Handling error conditions around duplicate entityID

Azure AD-Stilressourcenspezifikation im BereichsparameterAzure AD style resource specification in scope parameter

Zuvor war es in AD FS erforderlich, dass die gewünschte Ressource und der gewünschte Bereich in einem separaten Parameter in jeder Authentifizierungsanforderung enthalten waren.Previously, AD FS required the desired resource and scope to be in a separate parameter in any authentication request. Eine typische OAuth-Anforderung sieht beispielsweise wie folgt aus: 7 https://fs.contoso.com/adfs/oauth2/authorize?
response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:
adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login
For example, a typical oauth request would look like below: 7 https://fs.contoso.com/adfs/oauth2/authorize?
response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:
adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login

Bei AD FS unter Windows Server 2019 kann jetzt der im Bereichsparameter eingebettete Ressourcenwert übergeben werden.With AD FS on Server 2019, you can now pass the resource value embedded in the scope parameter. Dies entspricht auch der Art und Weise, wie eine Authentifizierung bei Azure AD durchgeführt werden kann.This is consistent with how one can do authentication against Azure AD also.

Der Bereichsparameter kann jetzt als eine durch Leerzeichen getrennte Liste organisiert werden, wobei jeder Eintrag als Ressource/Bereich strukturiert ist.The scope parameter can now be organized as a space separated list where each entry is structure as resource/scope.

Hinweis

In der Authentifizierungsanforderung kann nur eine Ressource angegeben werden.Only one resource can be specified in the authentication request. Wenn in der Anforderung mehrere Ressourcen enthalten sind, gibt AD FS einen Fehler zurück, und die Authentifizierung kann nicht erfolgreich ausgeführt werden.If more than one resource is included in the request, AD FS will return an error and authentication will not succeed.

Proof Key for Code Exchange-Unterstützung (PKCE-Unterstützung) für OAuthProof Key for Code Exchange (PKCE) support for oAuth

Öffentliche OAuth-Clients die den Authorization Code Grant-Typ verwenden, sind anfällig für den Angriff zum Abfangen des Autorisierungscodes.OAuth public clients using the Authorization Code Grant are susceptible to the authorization code interception attack. Der Angriff ist in RFC 7636 gut beschrieben.The attack is well described in RFC 7636. Um diesen Angriff zu entschärfen, unterstützt AD FS unter Windows Server 2019 die Erweiterung „Proof Key for Code Exchange“ (PKCE) für den OAuth Authorization Code Grant-Datenfluss.To mitigate this attack, AD FS in Server 2019 supports Proof Key for Code Exchange (PKCE) for OAuth Authorization Code Grant flow.

Um die PKCE-Unterstützung zu nutzen, fügt diese Spezifikation den OAuth 2.0-Autorisierungs- und Zugriffstokenanforderungen zusätzliche Parameter hinzu.To leverage the PKCE support, This specification adds additional parameters to the OAuth 2.0 Authorization and Access Token Requests.

Prüfschlüssel

A.A. Der Client erstellt einen geheimen Schlüssel mit dem Namen „code_verifier“, zeichnet diesen auf und leitet eine transformierte Version „t(code_verifier)“ (als „code_challenge“ bezeichnet) ab, die zusammen mit der Transformationsmethode „t_m“ in der OAuth 2.0-Autorisierungsanforderung gesendet wird.The client creates and records a secret named the "code_verifier" and derives a transformed version "t(code_verifier)" (referred to as the "code_challenge"), which is sent in the OAuth 2.0 Authorization Request along with the transformation method "t_m".

B.B. Der Autorisierungsendpunkt antwortet wie gewohnt, zeichnet jedoch „t(code_verifier)“ und die Transformationsmethode auf.The Authorization Endpoint responds as usual but records "t(code_verifier)" and the transformation method.

C.C. Der Client sendet dann den Autorisierungscode in der Zugriffstokenanforderung wie gewohnt, schließt jedoch den unter (A) generierten geheimen Schlüssel „code_verifier“ ein.The client then sends the authorization code in the Access Token Request as usual but includes the "code_verifier" secret generated at (A).

D.D. AD FS transformiert den geheimen Schlüssel „code_verifier“ und vergleicht ihn mit „t(code_verifier)“ aus (B).The AD FS transforms "code_verifier" and compares it to "t(code_verifier)" from (B). Wenn sie nicht gleich sind, wird der Zugriff verweigert.Access is denied if they are not equal.

Häufig gestellte FragenFAQ

Hinweis

Dieser Fehler kann in den Ereignisprotokollen von ADFS Admin auftreten: Es wurde eine ungültige OAuth-Anforderung empfangen.You may encounter this error in ADFS Admin event logs: Received invalid Oauth request. Dem Client „NAME“ ist der Zugriff auf die Ressource mit dem Bereich „ugs“ untersagt.The client 'NAME' is forbidden to access the resource with scope 'ugs'. So behebst du diesen FehlerTo remediate this error:

  1. Starte die AD FS-Verwaltungskonsole.Launch AD FS management console. Navigiere zu „Dienste > Bereichsbeschreibungen“.Brose to "Services > Scope Descriptions"
  2. Klicke mit der rechten Maustaste auf „Bereichsbeschreibungen“ und wähle „Bereichsbeschreibung hinzufügen“ aus.Right click "Scope Descriptions" and select "Add Scope Description"
  3. Gebe unter Name den Namen „ugs“ ein und klicke dann auf „Übernehmen“ > „OK“.Under name type "ugs" and Click Apply > OK
  4. Führe PowerShell als Administrator aus.Launch Powershell as Administrator
  5. Führe den Befehl „Get-AdfsApplicationPermission“ aus.Execute the command "Get-AdfsApplicationPermission". Suche nach „ScopeNames :{openid, aza}“, die „ClientRoleIdentifier“ aufweisen.Look for the ScopeNames :{openid, aza} that has the ClientRoleIdentifier. Notiere den „ObjectIdentifier“.Make a note of the ObjectIdentifier.
  6. Führe den Befehl „Set-AdfsApplicationPermission -TargetIdentifier <ObjectIdentifier aus Schritt 5> -AddScope 'ugs'“ aus.Execute the command "Set-AdfsApplicationPermission -TargetIdentifier <ObjectIdentifier from step 5> -AddScope 'ugs'
  7. Starte den ADFS-Dienst neu.Restart the ADFS service.
  8. Auf dem Client: Starte den Client neu.On the client: Restart the client. Der Benutzer sollte zur Bereitstellung von WHFB aufgefordert werden.User should be prompted to provision WHFB.
  9. Wenn das Bereitstellungsfenster nicht angezeigt wird, musst du Protokolle zur NGC-Nachverfolgung sammeln und eine weitere Problembehandlung durchführen.If the provisioning window does not pop up then need to collect NGC trace logs and further troubleshoot.

F.Q. Kann ich den Ressourcenwert als Teil des Bereichswerts übergeben, so wie Anforderungen für Azure AD durchgeführt werden?Can I pass resource value as part of the scope value like how requests are done against Azure AD?
A.A. Bei AD FS unter Windows Server 2019 kann jetzt der im Bereichsparameter eingebettete Ressourcenwert übergeben werden.With AD FS on Server 2019, you can now pass the resource value embedded in the scope parameter. Der Bereichsparameter kann jetzt als eine durch Leerzeichen getrennte Liste organisiert werden, wobei jeder Eintrag als Ressource/Bereich strukturiert ist.The scope parameter can now be organized as a space separated list where each entry is structure as resource/scope. Beispiel:For example
<eine gültige Beispielanforderung erstellen>< create a valid sample request>

F.Q. Unterstützt AD FS die PKCE-Erweiterung?Does AD FS support PKCE extension?
A.A. AD FS unter Windows Server 2019 unterstützt die Erweiterung „Proof Key for Code Exchange“ (PKCE) für den OAuth Authorization Code Grant-Datenfluss.AD FS in Server 2019 supports Proof Key for Code Exchange (PKCE) for OAuth Authorization Code Grant flow

Neuerungen in Active Directory-Verbunddienste für Windows Server 2016What's new in Active Directory Federation Services for Windows Server 2016

Informationen zu früheren Versionen von AD FS findest du in den folgenden Artikeln:If you are looking for information on earlier versions of AD FS, see the following articles:
Active Directory-Verbunddienste (AD FS) für Windows Server 2012 oder 2012 R2 und Active Directory-Verbunddienste (AD FS) 2.0ADFS in Windows Server 2012 or 2012 R2 and AD FS 2.0

Active Directory-Verbunddienste (AD FS) ermöglicht die Zugriffssteuerung und einmaliges Anmelden für eine Vielzahl von Anwendungen einschließlich Office 365, cloudbasierter SaaS-Anwendungen und Anwendungen im Unternehmensnetzwerk.Active Directory Federation Services provides access control and single sign on across a wide variety of applications including Office 365, cloud based SaaS applications, and applications on the corporate network.

  • Der IT-Organisation ermöglicht AD FS das Bereitstellen der Anmeldung und Zugriffssteuerung sowohl für moderne als auch für ältere Anwendungen, lokal und in der Cloud, basierend auf demselben Satz von Anmeldeinformationen und Richtlinien.For the IT organization, it enables you to provide sign on and access control to both modern and legacy applications, on premises and in the cloud, based on the same set of credentials and policies.
  • Dem Benutzer ermöglicht AD FS eine nahtlose Anmeldung mit denselben, vertrauten Kontoanmeldeinformationen.For the user, it provides seamless sign on using the same, familiar account credentials.
  • Dem Entwickler bietet AD FS eine einfache Möglichkeit zum Authentifizieren von Benutzern, deren Identitäten im Organisationsverzeichnis gespeichert sind, sodass du dich auf die Anwendung konzentrieren kannst und dich nicht mit der Authentifizierung oder Identität befassen musst.For the developer, it provides an easy way to authenticate users whose identities live in the organizational directory so that you can focus your efforts on your application, not authentication or identity.

In diesem Artikel werden die Neuerungen in AD FS für Windows Server 2016 (AD FS 2016) beschrieben.This article describes what is new in AD FS in Windows Server 2016 (AD FS 2016).

Vermeiden von Kennwörtern im ExtranetEliminate Passwords from the Extranet

AD FS 2016 bietet drei neue Optionen für die Anmeldung ohne Kennwörter, sodass Organisationen das Risiko einer Netzwerkgefährdung durch über Phishing erlangte, kompromittierte oder gestohlene Kennwörter vermeiden können.AD FS 2016 enables three new options for sign on without passwords, enabling organizations to avoid risk of network compromise from phished, leaked or stolen passwords.

Anmelden mit Azure Multi-Factor AuthenticationSign in with Azure Multi-factor Authentication

AD FS 2016 basiert auf den Funktionen für die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) von AD FS unter Windows Server 2012 R2, wobei die Anmeldung nur mit einem Azure MFA-Code zugelassen wird, ohne zuvor einen Benutzernamen und ein Kennwort einzugeben.AD FS 2016 builds upon the multi-factor authentication (MFA) capabilities of AD FS in Windows Server 2012 R2 by allowing sign on using only an Azure MFA code, without first entering a username and password.

  • Wenn Azure MFA die primäre Authentifizierungsmethode ist, wird der Benutzer zur Eingabe seines Benutzernamens und des OTP-Codes aus der Microsoft Authenticator-App aufgefordert.With Azure MFA as the primary authentication method, the user is prompted for their username and the OTP code from the Azure Authenticator app.
  • Wenn Azure MFA als sekundäre oder zusätzliche Authentifizierungsmethode verwendet wird, stellt der Benutzer Anmeldeinformationen für die primäre Authentifizierung bereit (mittels integrierter Windows-Authentifizierung, Benutzername und Kennwort, Smartcard oder Benutzer- oder Gerätezertifikat). Und dann wird dem Benutzer eine Eingabeaufforderung für die text-, sprach- oder OTP-basierte Azure MFA-Anmeldung angezeigt.With Azure MFA as the secondary or additional authentication method, the user provides primary authentication credentials (using Windows Integrated Authentication, username and password, smart card, or user or device certificate), then sees a prompt for text, voice, or OTP based Azure MFA login.
  • Dank des neuen integrierten Azure MFA-Adapters ist die Einrichtung und Konfiguration von Azure MFA mit AD FS einfacher als jemals zuvor.With the new built-in Azure MFA adapter, setup and configuration for Azure MFA with AD FS has never been simpler.
  • Organisationen können Azure MFA nutzen, ohne einen lokalen Azure MFA-Server verwenden zu müssen.Organizations can take advantage of Azure MFA without the need for an on premises Azure MFA server.
  • Azure MFA kann für das Intranet oder Extranet oder als Teil einer Zugriffssteuerungsrichtlinie konfiguriert werden.Azure MFA can be configured for intranet or extranet, or as part of any access control policy.

Weitere Informationen zu Azure MFA mit AD FS:For more information about Azure MFA with AD FS

Kennwortloser Zugriff über kompatible GerätePassword-less Access from Compliant Devices

AD FS 2016 baut auf früheren Geräteregistrierungsfunktionen auf, um die Anmeldung und Zugriffssteuerung basierend auf dem Konformitätsstatus der Geräte zu ermöglichen.AD FS 2016 builds on previous device registration capabilities to enable sign on and access control based the device compliance status. Benutzer können sich mit den Geräteanmeldeinformationen anmelden, und die Konformität wird bei Änderungen der Geräteattribute erneut ausgewertet, sodass immer sichergestellt wird, dass Richtlinien erzwungen werden.Users can sign on using the device credential, and compliance is re-evaluated when device attributes change, so that you can always ensure policies are being enforced. Dadurch können beispielsweise die folgenden Richtlinien angewendet werden:This enables policies such as

  • Zugriff nur von verwalteten und/oder kompatiblen Geräten zulassenEnable Access only from devices that are managed and/or compliant
  • Extranetzugriff nur von verwalteten und/oder kompatiblen Geräten zulassenEnable Extranet Access only from devices that are managed and/or compliant
  • Mehrstufige Authentifizierung für nicht verwaltete oder nicht kompatible Computer erforderlichRequire multi-factor authentication for computers that are not managed or not compliant

AD FS bietet die lokale Komponente der Richtlinien für bedingten Zugriff in einem Hybridszenario.AD FS provides the on premises component of conditional access policies in a hybrid scenario. Wenn du Geräte bei Azure AD für den bedingten Zugriff auf Cloudressourcen registrierst, kann die Geräteidentität auch für AD FS-Richtlinien verwendet werden.When you register devices with Azure AD for conditional access to cloud resources, the device identity can be used for AD FS policies as well.

Neuerungen

Weitere Informationen zum Verwenden des gerätebasierten bedingten Zugriffs in der Cloud:For more information about using device based conditional access in the cloud

Weitere Informationen zum Verwenden des gerätebasierten bedingten Zugriffs mit AD FS:For more information about using device based conditional access with AD FS

Anmelden mit Windows Hello for BusinessSign in with Windows Hello for Business

Hinweis

Derzeit werden Google Chrome und die neuen Chromium-basierten Microsoft Edge-Open-Source-Projektbrowser nicht für browserbasiertes einmaliges Anmelden (Single-Sign On, SSO) mit Microsoft Windows Hello for Business unterstützt.Currently, Google Chrome and the new Microsoft Edge built on Chromium open source project browsers are not supported for browser based single-sign on (SSO) with Microsoft Windows Hello for Business. Verwende Internet Explorer oder eine ältere Version von Microsoft Edge.Please use Internet Explorer or an older version of Microsoft Edge.

Auf Windows 10-Geräten werden Windows Hello und Windows Hello for Business eingeführt, wobei Benutzerkennwörter durch sichere gerätegebundene Benutzeranmeldeinformationen ersetzt werden, die durch eine Benutzergeste (eine PIN, eine biometrische Geste wie ein Fingerabdruck oder Gesichtserkennung) geschützt sind.Windows 10 devices introduce Windows Hello and Windows Hello for Business, replacing user passwords with strong device-bound user credentials protected by a user's gesture (a PIN, a biometric gesture like fingerprint, or facial recognition). AD FS 2016 unterstützt diese neuen Windows 10-Funktionen, sodass sich Benutzer sich über das Intranet oder Extranet bei AD FS-Anwendungen anmelden können, ohne ein Kennwort angeben zu müssen.AD FS 2016 supports these new Windows 10 capabilities so that users can sign in to AD FS applications from the intranet or the extranet without the need to provide a password.

Weitere Informationen zum Verwenden von Microsoft Windows Hello for Business in der Organisation:For more information about using Microsoft Windows Hello for Business in your organization

Sicherer Zugriff auf AnwendungenSecure Access to Applications

Moderne AuthentifizierungModern Authentication

AD FS 2016 unterstützt die neuesten modernen Protokolle, die mehr Benutzerfreundlichkeit für Windows 10- sowie für die neuesten iOS- und Android-Geräte und -Apps bieten.AD FS 2016 supports the latest modern protocols that provide a better user experience for Windows 10 as well as the latest iOS and Android devices and apps.

Weitere Informationen findest du unter AD FS-Szenarien für Entwickler.For more information see AD FS Scenarios for Developers

Konfigurieren von Zugriffssteuerungsrichtlinien ohne Kenntnis der AnspruchsregelspracheConfigure access control policies without having to know claim rules language

Bisher mussten AD FS-Administratoren Richtlinien mithilfe der AD FS-Anspruchsregelsprache konfigurieren, wodurch das Konfigurieren und Verwalten von Richtlinien erschwert wurde.Previously, AD FS administrators had to configure policies using the AD FS claim rule language, making it difficult to configure and maintain policies. Bei Zugriffssteuerungsrichtlinien können Administratoren integrierte Vorlagen verwenden, um allgemeine Richtlinien anzuwenden, wie beispielsweise:With access control policies, administrators can use built in templates to apply common policies such as

  • Nur Intranetzugriff zulassenPermit intranet access only
  • Jedem Einzelnen Zugriff gewähren und MFA für Extranetzugriffe verlangenPermit everyone and require MFA from Extranet
  • Jedem Einzelnen Zugriff gewähren und MFA für bestimmte Gruppe verlangenPermit everyone and require MFA from a specific group

Die Vorlagen können mithilfe eines assistentengesteuerten Prozesses problemlos angepasst werden, um Ausnahmen oder zusätzliche Richtlinienregeln hinzuzufügen, und auf eine oder mehrere Anwendungen angewendet werden, um eine konsistente Richtlinienerzwingung zu erreichen.The templates are easy to customize using a wizard driven process to add exceptions or additional policy rules and can be applied to one or many applications for consistent policy enforcement.

Weitere Informationen findest du unter Zugriffssteuerungsrichtlinien in AD FS.For more information see Access control policies in AD FS.

Aktivieren der Anmeldung mit Nicht-AD-LDAP-VerzeichnissenEnable sign on with non-AD LDAP directories

Viele Organisationen verwenden eine Kombination aus Active Directory-Verzeichnissen und Verzeichnissen von Drittanbietern.Many organizations have a combination of Active Directory and third-party directories. Durch die hinzugefügte AD FS-Unterstützung für das Authentifizieren von Benutzern, die in LDAP v3-kompatiblen Verzeichnissen gespeichert sind, kann AD FS jetzt für Folgendes verwendet werden:With the addition of AD FS support for authenticating users stored in LDAP v3-compliant directories, AD FS can now be used for:

  • Benutzer in LDAP v3-kompatiblen Verzeichnissen von DrittanbieternUsers in third party, LDAP v3 compliant directories
  • Benutzer in Active Directory-Gesamtstrukturen, für die keine bidirektionale Active Directory-Vertrauensstellung konfiguriert istUsers in Active Directory forests to which an Active Directory two-way trust is not configured
  • Benutzer in Active Directory Lightweight Directory Services (AD LDS)Users in Active Directory Lightweight Directory Services (AD LDS)

Weitere Informationen findest du unter Konfigurieren von AD FS zum Authentifizieren von Benutzern, die in LDAP-Verzeichnissen gespeichert sind.For more information see Configure AD FS to authenticate users stored in LDAP directories.

Bessere AnmeldeoberflächeBetter Sign-in experience

Anpassen der Anmeldeoberfläche für AD FS-AnwendungenCustomize sign in experience for AD FS applications

Wir haben gehört, dass die Möglichkeit, die Anmeldeoberfläche für jede Anwendung anzupassen, eine erhebliche Verbesserung der Benutzerfreundlichkeit darstellen würde, insbesondere für Organisationen, die Anmeldungen für Anwendungen bereitstellen, die mehrere verschiedene Unternehmen oder Marken umfassen.We heard from you that the ability to customize the logon experience for each application would be a great usability improvement, especially for organizations who provide sign on for applications that represent multiple different companies or brands.

In AD FS für Windows Server 2012 R2 wurde zuvor eine gemeinsame Anmeldeoberfläche für alle Anwendungen der vertrauenden Seite bereitgestellt, mit der Möglichkeit, eine Teilmenge von textbasierten Inhalten pro Anwendung anzupassen.Previously, AD FS in Windows Server 2012 R2 provided a common sign on experience for all relying party applications, with the ability to customize a subset of text based content per application. Unter Windows Server 2016 kannst du nicht nur die Meldungen, sondern auch die Bilder, das Logo und das Webdesign pro Anwendung anpassen.With Windows Server 2016, you can customize not only the messages, but images, logo and web theme per application. Darüber hinaus kannst du neue, benutzerdefinierte Webdesigns erstellen und diese pro vertrauende Seite anwenden.Additionally, you can create new, custom web themes and apply these per relying party.

Weitere Informationen findest du unter AD FS: Anpassung der Benutzeranmeldung.For more information see AD FS user sign-in customization.

Verwaltbarkeit und operative ErweiterungenManageability and Operational Enhancements

Im folgenden Abschnitt werden die verbesserten operativen Szenarien beschrieben, die in Active Directory-Verbunddienste (AD FS) für Windows Server 2016 eingeführt werden.The following section describes the improved operational scenarios that are introduced with Active Directory Federation Services in Windows Server 2016.

Optimierte Überwachung für eine einfachere administrative VerwaltungStreamlined auditing for easier administrative management

In AD FS für Windows Server 2012 R2 wurden zahlreiche Überwachungsereignisse für eine einzige Anforderung generiert, und die relevanten Informationen zu einer Anmelde- oder Tokenausstellungsaktivität sind entweder nicht vorhanden (in einigen Versionen von AD FS) oder auf mehrere Überwachungsereignisse verteilt.In AD FS for Windows Server 2012 R2 there were numerous audit events generated for a single request and the relevant information about a log-in or token issuance activity is either absent (in some versions of AD FS) or spread across multiple audit events. Die AD FS-Überwachungsereignisse sind aufgrund ihrer Ausführlichkeit standardmäßig deaktiviert.By default the AD FS audit events are turned off due to their verbose nature.
Mit der Veröffentlichung von AD FS 2016 ist die Überwachung optimiert und weniger ausführlich.With the release of AD FS 2016, auditing has become more streamlined and less verbose.

Weitere Informationen findest du unter Überwachen von Erweiterungen für AD FS unter Windows Server 2016.For more information see Auditing enhancements to AD FS in Windows Server 2016.

Verbesserte Interoperabilität mit SAML 2.0 für die Teilnahme an VerbündenImproved interoperability with SAML 2.0 for participation in confederations

AD FS 2016 umfasst zusätzliche Unterstützung für das SAML-Protokoll, einschließlich der Unterstützung für das Importieren von Vertrauensstellungen basierend auf Metadaten, die mehrere Entitäten enthalten.AD FS 2016 contains additional SAML protocol support, including support for importing trusts based on metadata that contains multiple entities. Dadurch kann AD FS für die Teilnahme an Verbünden wie der InCommon Federation und anderen Implementierungen konfiguriert werden, die dem eGov 2.0-Standard entsprechen.This enables you to configure AD FS to participate in confederations such as InCommon Federation and other implementations conforming to the eGov 2.0 standard.

Weitere Informationen findest du unter Verbesserte Interoperabilität mit SAML 2.0.For more information see Improved interoperability with SAML 2.0.

Vereinfachte Kennwortverwaltung für Office 365-VerbundbenutzerSimplified password management for federated O365 users

Du kannst Active Directory Federation Services (AD FS) so konfigurieren, dass Ansprüche beim Kennwortablauf an die Vertrauensstellungen der vertrauenden Seite (Anwendungen) gesendet werden, die durch AD FS geschützt sind.You can configure Active Directory Federation Services (AD FS) to send password expiry claims to the relying party trusts (applications) that are protected by AD FS. Wie diese Ansprüche verwendet werden, hängt von der jeweiligen Anwendung ab.How these claims are used depends on the application. Beispiel: Bei Office 365 als vertrauende Seite werden Updates in Exchange und Outlook implementiert, damit Verbundbenutzer über ihre bald ablaufenden Kennwörter benachrichtigt werden.For example, with Office 365 as your relying party, updates have been implemented to Exchange and Outlook to notify federated users of their soon-to-be-expired passwords.

Weitere Informationen findest du unter Konfigurieren von AD FS zum Senden von Ansprüchen beim Kennwortablauf.For more information see Configure AD FS to send password expiry claims.

Einfachere Umstellung von AD FS für Windows Server 2012 R2 auf AD FS für Windows Server 2016Moving from AD FS in Windows Server 2012 R2 to AD FS in Windows Server 2016 is easier

Bisher erforderte die Migration zu einer neuen Version von AD FS das Exportieren der Konfiguration aus der alten Farm und das Importieren in eine ganz neue parallele Farm.Previously, migrating to a new version of AD FS required exporting configuration from the old farm and importing to a brand new, parallel farm.

Die Umstellung von AD FS für Windows Server 2012 R2 auf AD FS für Windows Server 2016 gestaltet sich jetzt viel einfacher.Now, moving from AD FS on Windows Server 2012 R2 to AD FS on Windows Server 2016 has become much easier. Füge einfach einer Windows Server 2012 R2-Farm einen neuen Windows Server 2016-Server hinzu. Die Farm verhält sich dann auf der Verhaltensebene der Windows Server 2012 R2-Farm, sodass sie das Aussehen und Verhalten einer Windows Server 2012 R2-Farm aufweist.Simply add a new Windows Server 2016 server to a Windows Server 2012 R2 farm, and the farm will act at the Windows Server 2012 R2 farm behavior level, so it looks and behaves just like a Windows Server 2012 R2 farm.

Füge der Farm dann neue Windows Server 2016-Server hinzu, überprüfe die Funktionalität, und entferne die älteren Server aus dem Lastenausgleich.Then, add new Windows Server 2016 servers to the farm, verify the functionality and remove the older servers from the load balancer. Sobald alle Farmknoten unter Windows Server 2016 ausgeführt werden, kannst du die Farmverhaltensebene auf 2016 aktualisieren und die neuen Features verwenden.Once all farm nodes are running Windows Server 2016, you are ready to upgrade the farm behavior level to 2016 and begin using the new features.

Weitere Informationen findest du unter Aktualisieren auf AD FS unter Windows Server 2016.For more information see Upgrading to AD FS in Windows Server 2016.