Nouveautés des services de fédération Active Directory (AD FS)What's new in Active Directory Federation Services

Nouveautés de Services ADFS pour Windows Server 2019What's new in Active Directory Federation Services for Windows Server 2019

Connexions protégéesProtected Logins

Voici un bref résumé des mises à jour des connexions protégées disponibles dans AD FS 2019:The following is a brief summary of updates to protected logins available in AD FS 2019:

  • Fournisseurs d’authentification externes en tant que clients principaux : les clients peuvent désormais utiliser les produits d’authentification tiers comme premier facteur et ne pas exposer les mots de passe comme premier facteur.External Auth Providers as Primary - Customers can now use 3rd party authentication products as the first factor and not expose passwords as the first factor. Dans les cas où un fournisseur d’authentification externe peut prouver 2 facteurs, il peut revendiquer l’authentification MFA.In the cases where an external auth provider can prove 2 factors it can claim MFA.
  • Authentification par mot de passe en tant qu’authentification supplémentaire : les clients disposent d’une option de boîte de réception entièrement prise en charge pour utiliser le mot de passe uniquement pour le facteur supplémentaire après l’utilisation d’une option de mot de passe pour le premier facteur.Password Authentication as additional Authentication - Customers have a fully supported inbox option to use password only for the additional factor after a password less option is used as the first factor. Cela améliore l’expérience client d’ADFS 2016, où les clients devaient télécharger un adaptateur GitHub qui est pris en charge comme c’est le cas.This improves the customer experience from ADFS 2016 where customers had to download a github adapter which is supported as is.
  • Module d’évaluation des risques enfichables : les clients peuvent désormais créer leurs propres modules plug-in pour bloquer certains types de demandes lors de la phase de pré-authentification.Pluggable Risk Assessment Module - Customers can now build their own plug in modules to block certain types of requests during pre-authentication stage. Cela permet aux clients d’utiliser plus facilement l’intelligence du Cloud, par exemple Identity Protection, pour bloquer les connexions pour les utilisateurs à risque ou les transactions risquées.This makes it easier for customers to use cloud intelligence such as Identity protection to block logins for risky users or risky transactions. Pour plus d’informations, consultez créer des plug-ins avec le modèle d’évaluation des risques AD FS 2019For more information see Build Plug-ins with AD FS 2019 Risk Assessment Model
  • Améliorations de ESL : améliore le QFE ESL dans 2016 en ajoutant les fonctionnalités suivantesESL improvements - Improves on the ESL QFE in 2016 by adding the following capabilities
    • Permet aux clients d’être en mode audit tout en étant protégé par la fonctionnalité de verrouillage extranet «classique» disponible depuis la 2012 R2 ADFS.Enables customers to be in audit mode while being protected by 'classic' extranet lockout functionality available since ADFS 2012R2. Actuellement, 2016 clients n’auraient pas de protection en mode audit.Currently 2016 customers would have no protection while in audit mode.
    • Active le seuil de verrouillage indépendant pour les emplacements familiers.Enables independent lockout threshold for familiar locations. Cela permet à plusieurs instances d’applications qui s’exécutent avec un compte de service commun de restaurer les mots de passe avec le moins d’impact possible.This makes it possible for multiple instances of apps running with a common service account to roll over passwords with the least amount of impact.

Améliorations de sécurité supplémentairesAdditional security improvements

Les améliorations de sécurité supplémentaires suivantes sont disponibles dans AD FS 2019:The following additional security improvements are available in AD FS 2019:

  • PSH à distance à l’aide de la connexion par carte à puce: les clients peuvent désormais utiliser des cartes à puce pour se connecter à AD FS via PSH et l’utiliser pour gérer toutes les fonctions PSH incluent des applets de commande PSH à nœuds multiples.Remote PSH using SmartCard Login - Customers can now use smartcards to remote connect to ADFS via PSH and use that to manage all PSH functions include multi-node PSH cmdlets.
  • Personnalisation d’en-tête http : les clients peuvent désormais personnaliser les en-têtes http émis pendant les réponses ADFS.HTTP Header customization - Customers can now customize HTTP headers emitted during ADFS responses. Cela comprend les en-têtes suivantsThis includes the following headers
    • HSTS Cela indique que les points de terminaison ADFS ne peuvent être utilisés que sur des points de terminaison HTTPs pour qu’un navigateur conforme appliqueHSTS: This conveys that ADFS endpoints can only be used on HTTPS endpoints for a compliant browser to enforce
    • x-Frame-options: Permet aux administrateurs ADFS d’autoriser des parties de confiance spécifiques à incorporer des iFrames pour les pages de connexion interactive ADFS.x-frame-options: Allows ADFS admins to allow specific relying parties to embed iFrames for ADFS interactive login pages. Elle doit être utilisée avec précaution et uniquement sur les hôtes HTTPs.This should be used with care and only on HTTPS hosts.
    • En-tête futur: Des en-têtes futurs supplémentaires peuvent également être configurés.Future header: Additional future headers can be configured as well.

Pour plus d’informations, consultez personnaliser les en-têtes de réponse de sécurité http avec AD FS 2019For more information see Customize HTTP security response headers with AD FS 2019

Fonctionnalités d’authentification/de stratégieAuthentication/Policy capabilities

Les fonctionnalités d’authentification/de stratégie suivantes se trouvent dans AD FS 2019:The following authentication/policy capabilities are in AD FS 2019:

  • Spécifier la méthode d’authentification pour une authentification supplémentaire par RP -les clients peuvent maintenant utiliser des règles de revendication pour déterminer le fournisseur d’authentification supplémentaire à appeler pour le fournisseur d’authentification supplémentaire.Specify auth method for additional auth per RP - Customers can now use claims rules to decide which additional authentication provider to invoke for additional authentication provider. Cela est utile pour deux cas d’utilisationThis is useful for 2 use cases
    • Les clients passent d’un fournisseur d’authentification supplémentaire à un autre.Customers are transitioning from one additional authentication provider to another. De cette façon, lorsqu’ils intègrent des utilisateurs à un fournisseur d’authentification plus récent, ils peuvent utiliser des groupes pour contrôler le fournisseur d’authentification supplémentaire appelé.This way as they onboard users to a newer authentication provider they can use groups to control which additional authentication provider is called.
    • Les clients ont besoin d’un fournisseur d’authentification supplémentaire spécifique (par exemple, un certificat) pour certaines applications.Customers have needs for a specific additional authentication provider (e.g. certificate) for certain applications.
  • Limiter l’authentification des appareils basée sur TLS uniquement aux applications qui en ont besoin : les clients peuvent désormais restreindre les authentifications des appareils basés sur TLS client aux seules applications qui effectuent un accès conditionnel basé sur les appareils.Restrict TLS based device auth only to applications that require it - Customers can now restrict client TLS based device authentications to only applications performing device based conditional access. Cela empêche les invites indésirables pour l’authentification des appareils (ou les échecs si l’application cliente ne peut pas gérer) pour les applications qui ne nécessitent pas l’authentification des appareils basée sur TLS.This prevents any unwanted prompts for device authentication (or failures if the client application cannot handle) for applications that do not require TLS based device authentication.
  • Prise en charge de l’actualisation MFA : AD FS prend désormais en charge la possibilité de réexécuter les informations d’identification du 2e facteur en fonction de l’actualisation des informations d’identification du 1er facteur.MFA freshness support - AD FS now supports the ability to re-do 2nd factor credential based on the freshness of the 2nd factor credential. Cela permet aux clients d’effectuer une transaction initiale avec 2 facteurs et de demander le second facteur sur une base périodique.This allows customers to do an initial transaction with 2 factors and only prompt for the 2nd factor on a periodic basis. Cela est uniquement disponible pour les applications qui peuvent fournir un paramètre supplémentaire dans la demande et qui n’est pas un paramètre configurable dans ADFS.This is only available to applications that can provide an additional parameter in the request and is not a configurable setting in ADFS. Ce paramètre est pris en charge par Azure AD lorsque l’option «Mémoriser mon MFA pour X jours» est configurée et que l’indicateur «supportsMFA» a la valeur true dans les paramètres d’approbation de domaine fédéré dans Azure AD.This parameter is supported by Azure AD when "Remember my MFA for X days" is configured and the 'supportsMFA' flag is set to true on the federated domain trust settings in Azure AD.

Améliorations de l’authentification unique pour la connexionSign-in SSO improvements

Les améliorations de l’authentification unique de connexion suivantes ont été apportées dans AD FS 2019:The following sign-in SSO improvements have been made in AD FS 2019:

  • Expérience utilisateur paginée avec thème centré -ADFS maintenant a été déplacé vers un processus d’expérience utilisateur paginé qui permet à ADFS de valider et de fournir une expérience de connexion plus lisse.Paginated UX with Centered Theme - ADFS now has moved to a paginated UX flow that allows ADFS to validate and provide a more smoother sign-in experience. ADFS utilise désormais une interface utilisateur centrée (au lieu du côté droit de l’écran).ADFS now uses a centered UI (instead of the right side of the screen). Vous pouvez avoir besoin d’images de logo et d’arrière-plan plus récentes pour l’adapter à cette expérience.You may require newer logo and background images to align with this experience. Cela reflète également les fonctionnalités proposées dans Azure AD.This also mirrors functionality offered in Azure AD.
  • Résolution de bogue: État SSO persistant pour les appareils Win10 lors de l' authentification PRT: cela résout un problème où l’État MFA n’a pas été conservé lors de l’utilisation de l’authentification PRT pour les appareils Windows 10.Bug fix: Persistent SSO state for Win10 devices when doing PRT auth This addresses an issue where MFA state was not persisted when using PRT authentication for Windows 10 devices. Le problème est dû au fait que les utilisateurs finaux sont souvent invités à entrer des informations d’identification de 2e facteur (MFA).The result of the issue was that end users would get prompted for 2nd factor credential (MFA) frequently. Le correctif rend également l’expérience cohérente lorsque l’authentification de l’appareil est effectuée avec succès via le protocole TLS du client et via le mécanisme PRT.The fix also makes the experience consistent when device auth is successfully performed via client TLS and via PRT mechanism.

Prise en charge pour la création d’applications métier modernesSuppport for building modern line-of-business apps

La prise en charge suivante de la création d’applications métier modernes a été ajoutée à AD FS 2019:The following support for building modern LOB apps has been added to AD FS 2019:

  • Flow/profil d’appareil OAuth : AD FS prend désormais en charge le profil de workflow d’appareil OAuth pour effectuer des connexions sur des appareils qui n’ont pas de surface d’interface utilisateur pour prendre en charge les expériences de connexion enrichies.Oauth Device flow/profile - AD FS now supports the OAuth device flow profile to perform logins on devices that do not have a UI surface area to support rich login experiences. Cela permet à l’utilisateur d’effectuer l’expérience de connexion sur un autre appareil.This allows the user to complete the login experience on a different device. Cette fonctionnalité est requise pour l’expérience Azure CLI dans Azure Stack et peut être utilisée dans d’autres cas.This functionality is required for Azure CLI experience in Azure Stack and can be used in other cases.
  • La suppression du paramètre «Resource» -AD FS a maintenant supprimé la nécessité de spécifier un paramètre de ressource qui est conforme aux spécifications OAuth actuelles.Removal of 'Resource' parameter - AD FS has now removed the requirement to specify a resource parameter which is in line with current Oauth specifications. Les clients peuvent désormais fournir l’identificateur d’approbation de la partie de confiance en tant que paramètre d’étendue en plus des autorisations demandées.Clients can now provide the Relying Party trust identifier as the scope parameter in addition to permissions requested.
  • En-têtes cors dans les réponses de AD FS : les clients peuvent désormais créer des applications à page unique qui permettent aux bibliothèques js côté client de valider la signature du id_token en interrogeant les clés de signature à partir du document de découverte OIDC sur AD FS.CORS headers in AD FS responses - Customers can now build Single Page Applications that allow client side JS libraries to validate the signature of the id_token by querying for the signing keys from the OIDC discovery document on AD FS.
  • Prise en charge PKCE : AD FS ajoute la prise en charge de PKCE pour fournir un code d’authentification sécurisé dans OAuth.PKCE support - AD FS adds PKCE support to provide a secure auth code flow within OAuth. Cela ajoute une couche supplémentaire de sécurité à ce Flow pour empêcher le détournement du code et sa relecture à partir d’un autre client.This adds an additional layer of security to this flow to prevent hijacking the code and replaying it from a different client.
  • Résolution de bogue: Send x5t et Kid claim : il s’agit d’un correctif de bogue mineur.Bug fix: Send x5t and kid claim - This is a minor bug fix. AD FS à présent envoie en plus la revendication «Kid» pour désigner l’indicateur d’ID de clé pour la vérification de la signature.AD FS now additionally sends the 'kid' claim to denote the key id hint for verifying the signature. Auparavant AD FS envoyée uniquement en tant que revendication «x5t».Previously AD FS only sent this as 'x5t' claim.

Améliorations de la prise en chargeSupportability improvements

Les améliorations de prise en charge suivantes ne font pas partie de AD FS 2019:The following supportability improvements are not part of AD FS 2019:

  • Envoyer les détails de l’erreur aux administrateurs de AD FS : permet aux administrateurs de configurer les utilisateurs finaux pour qu’ils envoient des journaux de débogage relatifs à un échec de l’authentification de l’utilisateur final afin qu’ils soient stockés en tant que fichiers Zippés pour une consommation facileSend error details to AD FS admins - Allows admins to configure end users to send debug logs relating to a failure in end user authentication to be stored as a zipped filed for easy consumption. Les administrateurs peuvent également configurer une connexion SMTP pour envoyer automatiquement le fichier zippé à un compte de messagerie de triage ou pour créer automatiquement un ticket basé sur l’e-mail.Admins can also configure an SMTP connection to automail the zipped file to a triage email account or to auto create a ticket based on the email.

Mises à jour du déploiementDeployment updates

Les mises à jour de déploiement suivantes sont maintenant incluses dans AD FS 2019:The following deployment updates are now included in AD FS 2019:

  • Niveau de comportement de la batterie de serveurs 2019 -comme avec AD FS 2016, une nouvelle version du niveau de comportement de la batterie de serveurs est nécessaire pour activer les nouvelles fonctionnalités décrites ci-dessus.Farm Behavior Level 2019 - As with AD FS 2016, there is a new Farm Behavior Level version that is required to enable new functionality discussed above. Cela permet de passer par:This allows going from:
    • 2012 R2-> 20192012 R2-> 2019
    • 2016-> 20192016 -> 2019

Mises à jour SAMLSAML updates

La mise à jour SAML suivante se trouve dans AD FS 2019:The following SAML update is in AD FS 2019:

  • Résolution de bogue: Correction des bogues dans la Fédération agrégée: de nombreux correctifs de bogues ont été appliqués à la prise en charge de la Fédération agrégée (par exemple, inhabituel).Bug fix: Fix bugs in aggregated federation - There have been numerous bug fixes around aggregated federation support (e.g. InCommon). Les correctifs ont été mis en rapport avec les éléments suivants:The fixes have been around the following:
    • Amélioration de la mise à l’échelle pour les grands nombres d’entités dans le document de métadonnées de Fédération agrégé. Auparavant, cela échouait avec l’erreur «ADMIN0017».Improved scaling for large # of entities in the aggregated federation metadata doc. Previously, this would fail with "ADMIN0017" error.
    • Interrogez à l’aide du paramètre «ScopeGroupID» via l’applet de commande AdfsRelyingPartyTrustsGroup PSH.Query using 'ScopeGroupID' parameter via Get-AdfsRelyingPartyTrustsGroup PSH cmdlet.
    • Gestion des conditions d’erreur autour des entityID en doubleHandling error conditions around duplicate entityID

Spécification de ressource de style Azure AD dans le paramètre d’étendueAzure AD style resource specification in scope parameter

Auparavant, AD FS nécessitait que la ressource et la portée souhaitées se trouvent dans un paramètre distinct dans une demande d’authentification.Previously, AD FS required the desired resource and scope to be in a separate parameter in any authentication request. Par exemple, une requête OAuth typique ressemble à ce qui suit: 7 https://FS.contoso.com/ADFS/oauth2/Authorize?
response_type = code & client_id = claimsxrayclient & ressource = urn: Microsoft:
ADFS: claimsxray & étendue = OAuth & redirect_uri = https://adfshelp.Microsoft.com/
claimsxray/ TokenResponse & prompt = connexion
For example, a typical oauth request would look like below: 7 https://fs.contoso.com/adfs/oauth2/authorize?
response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:
adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login

Avec AD FS sur le serveur 2019, vous pouvez désormais transmettre la valeur de ressource incorporée dans le paramètre d’étendue.With AD FS on Server 2019, you can now pass the resource value embedded in the scope parameter. Cela est cohérent avec la manière dont il est possible d’effectuer une authentification par rapport à Azure AD également.This is consistent with how one can do authentication against Azure AD also.

Le paramètre d’étendue peut désormais être organisé comme une liste séparée par des espaces, où chaque entrée est structure en tant que ressource/étendue.The scope parameter can now be organized as a space separated list where each entry is structure as resource/scope. Exemple :For example

< créer un exemple de demande valide >< create a valid sample request>

Notes

Une seule ressource peut être spécifiée dans la demande d’authentification.Only one resource can be specified in the authentication request. Si plusieurs ressources sont incluses dans la demande, AD FS renvoie une erreur et l’authentification échoue.If more than one resource is included in the request, AD FS will return an error and authentication will not succeed.

Clé de vérification pour la prise en charge de l’échange de code (PKCE) pour oAuthProof Key for Code Exchange (PKCE) support for oAuth

Les clients publics OAuth utilisant l’octroi de code d’autorisation sont exposés à l’attaque d’interception de code d’autorisation.OAuth public clients using the Authorization Code Grant are susceptible to the authorization code interception attack. L’attaque est bien décrite dans le document RFC 7636.The attack is well described in RFC 7636. Pour atténuer cette attaque, AD FS dans le serveur 2019 prend en charge la clé de vérification pour l’échange de code (PKCE) pour le workflow d’octroi de code d’autorisation OAuth.To mitigate this attack, AD FS in Server 2019 supports Proof Key for Code Exchange (PKCE) for OAuth Authorization Code Grant flow.

Pour tirer parti de la prise en charge PKCE, cette spécification ajoute des paramètres supplémentaires aux demandes d’autorisation et de jeton d’accès OAuth 2,0.To leverage the PKCE support, This specification adds additional parameters to the OAuth 2.0 Authorization and Access Token Requests.

Proofkey

R.A. Le client crée et enregistre un secret nommé «code_verifier» et dérive une version transformée «t (code_verifier)» (appelée «code_challenge»), qui est envoyée dans la demande d’autorisation 2,0 OAuth avec la méthode de transformation «t_m».The client creates and records a secret named the "code_verifier" and derives a transformed version "t(code_verifier)" (referred to as the "code_challenge"), which is sent in the OAuth 2.0 Authorization Request along with the transformation method "t_m".

B.B. Le point de terminaison d’autorisation répond comme d’habitude, mais enregistre «t (code_verifier)» et la méthode de transformation.The Authorization Endpoint responds as usual but records "t(code_verifier)" and the transformation method.

C.C. Le client envoie alors le code d’autorisation dans la demande de jeton d’accès comme d’habitude, mais il comprend le secret «code_verifier» généré à (A).The client then sends the authorization code in the Access Token Request as usual but includes the "code_verifier" secret generated at (A).

E.D. Le AD FS transforme «code_verifier» et le compare à «t (code_verifier)» à partir de (B).The AD FS transforms "code_verifier" and compares it to "t(code_verifier)" from (B). L’accès est refusé s’ils ne sont pas égaux.Access is denied if they are not equal.

Questions fréquentes (FAQ)FAQ

QUESTION.Q. Puis-je passer une valeur de ressource dans le cadre de la valeur d’étendue comme la façon dont les requêtes sont effectuées sur Azure AD?Can I pass resource value as part of the scope value like how requests are done against Azure AD?
UN.A. Avec AD FS sur le serveur 2019, vous pouvez désormais transmettre la valeur de ressource incorporée dans le paramètre d’étendue.With AD FS on Server 2019, you can now pass the resource value embedded in the scope parameter. Le paramètre d’étendue peut désormais être organisé comme une liste séparée par des espaces, où chaque entrée est structure en tant que ressource/étendue.The scope parameter can now be organized as a space separated list where each entry is structure as resource/scope. Exemple :For example
< créer un exemple de demande valide >< create a valid sample request>

QUESTION.Q. AD FS prend-il en charge l’extension PKCE?Does AD FS support PKCE extension?
UN.A. AD FS du serveur 2019 prend en charge la clé de vérification pour l’échange de code (PKCE) pour le workflow d’octroi de code d’autorisation OAuthAD FS in Server 2019 supports Proof Key for Code Exchange (PKCE) for OAuth Authorization Code Grant flow

Nouveautés des services de fédération Active Directory (AD FS) pour Windows Server 2016What's new in Active Directory Federation Services for Windows Server 2016

Si vous recherchez des informations sur les versions antérieures de AD FS, consultez les articles suivants:If you are looking for information on earlier versions of AD FS, see the following articles:
ADFS dans Windows Server 2012 ou 2012 R2 et AD FS 2,0ADFS in Windows Server 2012 or 2012 R2 and AD FS 2.0

Services ADFS fournit un contrôle d’accès et une authentification unique sur un large éventail d’applications, notamment Office 365, les applications SaaS basées sur le Cloud et les applications sur le réseau d’entreprise.Active Directory Federation Services provides access control and single sign on across a wide variety of applications including Office 365, cloud based SaaS applications, and applications on the corporate network.

  • Pour l’organisation informatique, elle vous permet de fournir une authentification et un contrôle d’accès aux applications modernes et héritées, localement et dans le Cloud, en fonction du même ensemble d’informations d’identification et de stratégies.For the IT organization, it enables you to provide sign on and access control to both modern and legacy applications, on premises and in the cloud, based on the same set of credentials and policies.
  • Pour l’utilisateur, il fournit une authentification transparente à l’aide des mêmes informations d’identification de compte familières.For the user, it provides seamless sign on using the same, familiar account credentials.
  • Pour le développeur, il offre un moyen simple d’authentifier les utilisateurs dont les identités résident dans l’annuaire d’organisation afin que vous puissiez concentrer vos efforts sur votre application, et non sur l’authentification ou l’identité.For the developer, it provides an easy way to authenticate users whose identities live in the organizational directory so that you can focus your efforts on your application, not authentication or identity.

Cet article décrit les nouveautés de AD FS dans Windows Server 2016 (AD FS 2016).This article describes what is new in AD FS in Windows Server 2016 (AD FS 2016).

Supprimer les mots de passe de l’extranetEliminate Passwords from the Extranet

AD FS 2016 offre trois nouvelles options de connexion sans mot de passe, ce qui permet aux organisations d’éviter les risques de compromission du réseau contre les mots de passe de hameçonnage, de fuite ou de vol.AD FS 2016 enables three new options for sign on without passwords, enabling organizations to avoid risk of network compromise from phished, leaked or stolen passwords.

Se connecter avec Azure Multi-Factor AuthenticationSign in with Azure Multi-factor Authentication

AD FS 2016 s’appuie sur les fonctionnalités d’authentification multifacteur (MFA) de AD FS dans Windows Server 2012 R2 en autorisant la connexion à l’aide d’un code Azure MFA uniquement, sans entrer d’abord un nom d’utilisateur et un mot de passe.AD FS 2016 builds upon the multi-factor authentication (MFA) capabilities of AD FS in Windows Server 2012 R2 by allowing sign on using only an Azure MFA code, without first entering a username and password.

  • Avec Azure MFA comme méthode d’authentification principale, l’utilisateur est invité à entrer son nom d’utilisateur et le code de mot de passe à usage unique à partir de l’application Azure Authenticator.With Azure MFA as the primary authentication method, the user is prompted for their username and the OTP code from the Azure Authenticator app.
  • Avec Azure MFA comme méthode d’authentification secondaire ou supplémentaire, l’utilisateur fournit les informations d’identification d’authentification principales (à l’aide de l’authentification intégrée Windows, du nom d’utilisateur et du mot de passe, de la carte à puce ou du certificat d’utilisateur ou d’appareil), puis voit une invite de texte, connexion Azure MFA basée sur un mot de passe à usage unique.With Azure MFA as the secondary or additional authentication method, the user provides primary authentication credentials (using Windows Integrated Authentication, username and password, smart card, or user or device certificate), then sees a prompt for text, voice, or OTP based Azure MFA login.
  • Avec le nouvel adaptateur Azure MFA intégré, le programme d’installation et de configuration pour Azure MFA avec AD FS n’a jamais été plus simple.With the new built-in Azure MFA adapter, setup and configuration for Azure MFA with AD FS has never been simpler.
  • Les organisations peuvent tirer parti de l’authentification multifacteur Azure sans avoir besoin d’un serveur Azure MFA local.Organizations can take advantage of Azure MFA without the need for an on premises Azure MFA server.
  • L’authentification multifacteur Azure peut être configurée pour un intranet ou un extranet, ou dans le cadre d’une stratégie de contrôle d’accès.Azure MFA can be configured for intranet or extranet, or as part of any access control policy.

Pour plus d’informations sur Azure MFA avec AD FSFor more information about Azure MFA with AD FS

Accès sans mot de passe à partir des appareils conformesPassword-less Access from Compliant Devices

AD FS 2016 s’appuie sur les fonctionnalités d’inscription d’appareils précédentes pour activer l’authentification et le contrôle d’accès en fonction de l’état de conformité de l’appareil.AD FS 2016 builds on previous device registration capabilities to enable sign on and access control based the device compliance status. Les utilisateurs peuvent se connecter à l’aide des informations d’identification de l’appareil, et la conformité est réévaluée lorsque les attributs de l’appareil changent, afin que vous puissiez toujours garantir l’application des stratégies.Users can sign on using the device credential, and compliance is re-evaluated when device attributes change, so that you can always ensure policies are being enforced. Cela permet d’activer des stratégies telles queThis enables policies such as

  • Activer l’accès uniquement à partir d’appareils gérés et/ou conformesEnable Access only from devices that are managed and/or compliant
  • Activer l’accès extranet uniquement à partir d’appareils gérés et/ou conformesEnable Extranet Access only from devices that are managed and/or compliant
  • Exiger l’authentification multifacteur pour les ordinateurs qui ne sont pas gérés ou non conformesRequire multi-factor authentication for computers that are not managed or not compliant

AD FS fournit le composant local des stratégies d’accès conditionnel dans un scénario hybride.AD FS provides the on premises component of conditional access policies in a hybrid scenario. Lorsque vous inscrivez des appareils avec Azure AD pour l’accès conditionnel aux ressources de Cloud, l’identité de l’appareil peut également être utilisée pour les stratégies de AD FS.When you register devices with Azure AD for conditional access to cloud resources, the device identity can be used for AD FS policies as well.

Nouveautés

Pour plus d’informations sur l’utilisation de l’accès conditionnel basé sur les appareils dans le CloudFor more information about using device based conditional access in the cloud

Pour plus d’informations sur l’utilisation de l’accès conditionnel basé sur les appareils avec AD FSFor more information about using device based conditional access with AD FS

Se connecter avec Windows Hello entrepriseSign in with Windows Hello for Business

Les appareils Windows 10 présentent Windows Hello et Windows Hello entreprise, en remplaçant les mots de passe utilisateur par des informations d’identification de l’utilisateur puissantes, protégées par le mouvement de l’utilisateur (un code confidentiel, un mouvement biométrique comme une empreinte digitale ou une reconnaissance faciale).Windows 10 devices introduce Windows Hello and Windows Hello for Business, replacing user passwords with strong device-bound user credentials protected by a user's gesture (a PIN, a biometric gesture like fingerprint, or facial recognition). AD FS 2016 prend en charge ces nouvelles fonctionnalités Windows 10 afin que les utilisateurs puissent se connecter à AD FS applications à partir de l’intranet ou de l’extranet sans avoir besoin de fournir un mot de passe.AD FS 2016 supports these new Windows 10 capabilities so that users can sign in to AD FS applications from the intranet or the extranet without the need to provide a password.

Pour plus d’informations sur l’utilisation de Microsoft Windows Hello entreprise dans votre organisationFor more information about using Microsoft Windows Hello for Business in your organization

Sécuriser l’accès aux applicationsSecure Access to Applications

Authentification moderneModern Authentication

AD FS 2016 prend en charge les derniers protocoles modernes qui offrent une meilleure expérience utilisateur pour Windows 10, ainsi que pour les appareils et applications iOS et Android les plus récents.AD FS 2016 supports the latest modern protocols that provide a better user experience for Windows 10 as well as the latest iOS and Android devices and apps.

Pour plus d’informations, consultez AD FS des scénarios pour les développeursFor more information see AD FS Scenarios for Developers

Configurer des stratégies de contrôle d’accès sans avoir à connaître le langage des règles de revendicationConfigure access control policies without having to know claim rules language

Auparavant, AD FS administrateurs devaient configurer des stratégies à l’aide du langage de règle de revendication AD FS, ce qui complique la configuration et la maintenance des stratégies.Previously, AD FS administrators had to configure policies using the AD FS claim rule language, making it difficult to configure and maintain policies. Avec les stratégies de contrôle d’accès, les administrateurs peuvent utiliser des modèles intégrés pour appliquer des stratégies courantes telles queWith access control policies, administrators can use built in templates to apply common policies such as

  • Autoriser l’accès intranet uniquementPermit intranet access only
  • Autoriser tout le monde et demander l’authentification MFA à l’extranetPermit everyone and require MFA from Extranet
  • Autoriser tout le monde et demander l’authentification MFA d’un groupe spécifiquePermit everyone and require MFA from a specific group

Les modèles sont faciles à personnaliser à l’aide d’un processus piloté par un Assistant pour ajouter des exceptions ou des règles de stratégie supplémentaires et peuvent être appliqués à une ou plusieurs applications pour l’application cohérente des stratégies.The templates are easy to customize using a wizard driven process to add exceptions or additional policy rules and can be applied to one or many applications for consistent policy enforcement.

Pour plus d’informations , consultez stratégies de contrôle d’accès dans AD FS.For more information see Access control policies in AD FS.

Activer l’authentification avec des annuaires LDAP non-Active DirectoryEnable sign on with non-AD LDAP directories

De nombreuses organisations ont une combinaison de Active Directory et de répertoires tiers.Many organizations have a combination of Active Directory and third-party directories. Avec l’ajout de la prise en charge de AD FS pour l’authentification des utilisateurs stockés dans des annuaires compatibles LDAP v3, AD FS peut désormais être utilisé pour:With the addition of AD FS support for authenticating users stored in LDAP v3-compliant directories, AD FS can now be used for:

  • Utilisateurs de tiers, répertoires compatibles LDAP v3Users in third party, LDAP v3 compliant directories
  • Les utilisateurs de Active Directory forêts pour lesquelles une approbation Active Directory bidirectionnelle n’est pas configuréeUsers in Active Directory forests to which an Active Directory two-way trust is not configured
  • Utilisateurs de services AD LDS (Active Directory Lightweight Directory Services) (AD LDS)Users in Active Directory Lightweight Directory Services (AD LDS)

Pour plus d’informations, consultez configurer AD FS pour authentifier les utilisateurs stockés dans les annuaires LDAP.For more information see Configure AD FS to authenticate users stored in LDAP directories.

Meilleure expérience de connexionBetter Sign-in experience

Personnaliser l’expérience de connexion pour les applications AD FSCustomize sign in experience for AD FS applications

Nous avons appris que la possibilité de personnaliser l’expérience de connexion pour chaque application serait une amélioration de la convivialité, en particulier pour les organisations qui fournissent une authentification pour les applications qui représentent plusieurs entreprises ou marques différentes.We heard from you that the ability to customize the logon experience for each application would be a great usability improvement, especially for organizations who provide sign on for applications that represent multiple different companies or brands.

Auparavant, AD FS dans Windows Server 2012 R2 offrait une expérience d’authentification commune pour toutes les applications par partie de confiance, avec la possibilité de personnaliser un sous-ensemble de contenu textuel par application.Previously, AD FS in Windows Server 2012 R2 provided a common sign on experience for all relying party applications, with the ability to customize a subset of text based content per application. Avec Windows Server 2016, vous pouvez personnaliser non seulement les messages, mais aussi les images, le logo et le thème Web par application.With Windows Server 2016, you can customize not only the messages, but images, logo and web theme per application. En outre, vous pouvez créer des thèmes Web personnalisés et les appliquer par partie de confiance.Additionally, you can create new, custom web themes and apply these per relying party.

Pour plus d’informations, consultez Personnalisation de la connexion de l’utilisateur AD FS.For more information see AD FS user sign-in customization.

Facilité de gestion et améliorations opérationnellesManageability and Operational Enhancements

La section suivante décrit les scénarios opérationnels améliorés introduits avec Services ADFS dans Windows Server 2016.The following section describes the improved operational scenarios that are introduced with Active Directory Federation Services in Windows Server 2016.

Audit rationalisé pour faciliter la gestion administrativeStreamlined auditing for easier administrative management

Dans AD FS pour Windows Server 2012 R2, un grand nombre d’événements d’audit ont été générés pour une requête unique et les informations pertinentes sur une activité de connexion ou d’émission de jetons sont absentes (dans certaines versions de AD FS) ou réparties sur plusieurs événements d’audit.In AD FS for Windows Server 2012 R2 there were numerous audit events generated for a single request and the relevant information about a log-in or token issuance activity is either absent (in some versions of AD FS) or spread across multiple audit events. Par défaut, les événements d’audit AD FS sont désactivés en raison de leur nature détaillée.By default the AD FS audit events are turned off due to their verbose nature.
Avec la sortie de AD FS 2016, l’audit est devenu plus rationalisé et moins détaillé.With the release of AD FS 2016, auditing has become more streamlined and less verbose.

Pour plus d’informations , consultez améliorations apportées à l’audit de AD FS dans Windows Server 2016.For more information see Auditing enhancements to AD FS in Windows Server 2016.

Interopérabilité améliorée avec SAML 2,0 pour la participation aux conversionsImproved interoperability with SAML 2.0 for participation in confederations

AD FS 2016 contient une prise en charge du protocole SAML supplémentaire, notamment la prise en charge de l’importation d’approbations basées sur des métadonnées contenant plusieurs entités.AD FS 2016 contains additional SAML protocol support, including support for importing trusts based on metadata that contains multiple entities. Cela vous permet de configurer AD FS pour participer à des conversions telles que la Fédération inhabituelle et d’autres implémentations conformes à la norme eGov 2,0.This enables you to configure AD FS to participate in confederations such as InCommon Federation and other implementations conforming to the eGov 2.0 standard.

Pour plus d’informations , consultez interopérabilité améliorée avec SAML 2,0.For more information see Improved interoperability with SAML 2.0.

Gestion simplifiée des mots de passe pour les utilisateurs Office 365 fédérésSimplified password management for federated O365 users

Vous pouvez configurer Services ADFS (AD FS) pour envoyer des revendications d’expiration de mot de passe aux approbations de partie de confiance (applications) protégées par AD FS.You can configure Active Directory Federation Services (AD FS) to send password expiry claims to the relying party trusts (applications) that are protected by AD FS. Le mode d’utilisation de ces revendications dépend de l’application.How these claims are used depends on the application. Par exemple, avec Office 365 en tant que partie de confiance, des mises à jour ont été implémentées sur Exchange et Outlook pour notifier les utilisateurs fédérés de leurs mots de passe arrivant à expiration.For example, with Office 365 as your relying party, updates have been implemented to Exchange and Outlook to notify federated users of their soon-to-be-expired passwords.

Pour plus d’informations , consultez configurer AD FS pour envoyer des revendications d’expiration de mot de passe.For more information see Configure AD FS to send password expiry claims.

Il est plus facile de passer de AD FS dans Windows Server 2012 R2 à AD FS dans Windows Server 2016Moving from AD FS in Windows Server 2012 R2 to AD FS in Windows Server 2016 is easier

Auparavant, la migration vers une nouvelle version de AD FSait l’exportation de la configuration de l’ancienne batterie de serveurs et l’importation vers une nouvelle batterie parallèle.Previously, migrating to a new version of AD FS required exporting configuration from the old farm and importing to a brand new, parallel farm.

Désormais, le passage d’AD FS sur Windows Server 2012 R2 à AD FS sur Windows Server 2016 est devenu beaucoup plus facile.Now, moving from AD FS on Windows Server 2012 R2 to AD FS on Windows Server 2016 has become much easier. Ajoutez simplement un nouveau serveur Windows Server 2016 à une batterie de serveurs Windows Server 2012 R2, et la batterie de serveurs agira au niveau du comportement de la batterie de serveurs Windows Server 2012 R2, de sorte qu’elle se présente comme une batterie de serveurs Windows Server 2012 R2.Simply add a new Windows Server 2016 server to a Windows Server 2012 R2 farm, and the farm will act at the Windows Server 2012 R2 farm behavior level, so it looks and behaves just like a Windows Server 2012 R2 farm.

Ensuite, ajoutez de nouveaux serveurs Windows Server 2016 à la batterie, vérifiez la fonctionnalité et supprimez les serveurs plus anciens de l’équilibreur de charge.Then, add new Windows Server 2016 servers to the farm, verify the functionality and remove the older servers from the load balancer. Une fois que tous les nœuds de la batterie de serveurs exécutent Windows Server 2016, vous êtes prêt à mettre à niveau le niveau de comportement de la batterie de serveurs vers 2016 et à commencer à utiliser les nouvelles fonctionnalités.Once all farm nodes are running Windows Server 2016, you are ready to upgrade the farm behavior level to 2016 and begin using the new features.

Pour plus d’informations , consultez Mise à niveau vers AD FS dans Windows Server 2016.For more information see Upgrading to AD FS in Windows Server 2016.