Nouveautés des services de fédération Active Directory (AD FS)What's new in Active Directory Federation Services

Nouveautés des services de fédération Active Directory (AD FS) pour Windows Server 2019What's new in Active Directory Federation Services for Windows Server 2019

Connexions protégéesProtected Logins

Voici un bref résumé des mises à jour des connexions protégées disponibles dans AD FS 2019 :The following is a brief summary of updates to protected logins available in AD FS 2019:

  • Fournisseurs d’authentification externes en tant que fournisseurs principaux - Les clients peuvent maintenant utiliser des produits d’authentification tiers comme premier facteur et ne pas exposer de mots de passe comme premier facteur.External Auth Providers as Primary - Customers can now use 3rd party authentication products as the first factor and not expose passwords as the first factor. Dans les cas où un fournisseur d’authentification externe peut prouver deux facteurs, il peut revendiquer l’authentification MFA.In the cases where an external auth provider can prove 2 factors it can claim MFA.
  • Authentification par mot de passe en tant qu’authentification supplémentaire - Les clients disposent d’une option de boîte de réception entièrement prise en charge afin d’utiliser le mot de passe uniquement pour le facteur supplémentaire après l’utilisation d’une option sans mot de passe comme premier facteur.Password Authentication as additional Authentication - Customers have a fully supported inbox option to use password only for the additional factor after a password less option is used as the first factor. Cela améliore l’expérience client par rapport à AD FS 2016, où les clients devaient télécharger un adaptateur github qui est désormais pris en charge tel quel.This improves the customer experience from ADFS 2016 where customers had to download a github adapter which is supported as is.
  • Module d’évaluation des risques enfichable  - Les clients peuvent maintenant créer leurs propres modules plug-ins pour bloquer certains types de requêtes lors de la phase de préauthentification.Pluggable Risk Assessment Module - Customers can now build their own plug in modules to block certain types of requests during pre-authentication stage. Cela permet aux clients d’utiliser plus facilement l’intelligence du cloud, par exemple la protection d’identité, afin de bloquer les connexions pour les utilisateurs à risque ou les transactions risquées.This makes it easier for customers to use cloud intelligence such as Identity protection to block logins for risky users or risky transactions. Pour plus d’informations, consultez Créer des plug-ins avec un modèle d’évaluation des risques AD FS 2019.For more information see Build Plug-ins with AD FS 2019 Risk Assessment Model
  • Améliorations apportées à ESL - Amélioration du QFE ESL dans la version 2016 avec l’ajout des fonctionnalités suivantes :ESL improvements - Improves on the ESL QFE in 2016 by adding the following capabilities
    • Permet aux clients d’être en mode audit tout en étant protégé par la fonctionnalité de verrouillage extranet « classique » disponible depuis AD FS 2012 R2.Enables customers to be in audit mode while being protected by 'classic' extranet lockout functionality available since ADFS 2012R2. Actuellement, les clients de la version 2016 ne disposeraient d’aucune protection en mode audit.Currently 2016 customers would have no protection while in audit mode.
    • Active le seuil de verrouillage indépendant pour les emplacements familiers.Enables independent lockout threshold for familiar locations. Cela permet à plusieurs instances d’applications qui s’exécutent avec un compte de service commun de substituer les mots de passe avec le moins d’impact possible.This makes it possible for multiple instances of apps running with a common service account to roll over passwords with the least amount of impact.

Améliorations de sécurité supplémentairesAdditional security improvements

Les améliorations de sécurité supplémentaires suivantes sont disponibles dans AD FS 2019 :The following additional security improvements are available in AD FS 2019:

  • PowerShell (PSH) à distance à l’aide de la connexion par carte à puce - Les clients peuvent maintenant utiliser des cartes à puce pour se connecter à distance à AD FS par le biais de PSH, et ainsi gérer toutes les fonctions PSH, notamment les applets de commande PSH multinœuds.Remote PowerShell (PSH) using SmartCard Login - Customers can now use smartcards to remote connect to ADFS via PSH and use that to manage all PSH functions include multi-node PSH cmdlets.
  • Personnalisation d’en-tête HTTP Les clients peuvent maintenant personnaliser les en-têtes HTTP émis pendant les réponses AD FS.HTTP Header customization - Customers can now customize HTTP headers emitted during ADFS responses. Cela comprend les en-têtes suivants :This includes the following headers
    • HSTS : indique que les points de terminaison AD FS peuvent seulement être utilisés sur des points de terminaison HTTPS pour l’application par un navigateur conforme.HSTS: This conveys that ADFS endpoints can only be used on HTTPS endpoints for a compliant browser to enforce
    • x-frame-options : permet aux administrateurs AD FS d’autoriser des parties de confiance spécifiques à incorporer des iFrames pour les pages de connexion interactive AD FS.x-frame-options: Allows ADFS admins to allow specific relying parties to embed iFrames for ADFS interactive login pages. À utiliser avec précaution et uniquement sur les hôtes HTTPS.This should be used with care and only on HTTPS hosts.
    • En-tête futur : des en-têtes futurs supplémentaires peuvent également être configurés.Future header: Additional future headers can be configured as well.

Pour plus d’informations, consultez Personnaliser des en-têtes de réponse de sécurité HTTP avec AD FS 2019.For more information see Customize HTTP security response headers with AD FS 2019

Fonctionnalités d’authentification/de stratégieAuthentication/Policy capabilities

Les fonctionnalités d’authentification/de stratégie suivantes sont disponibles dans AD FS 2019 :The following authentication/policy capabilities are in AD FS 2019:

  • Spécifier la méthode d’authentification pour une authentification supplémentaire par RP -Les clients peuvent maintenant utiliser des règles de revendication pour déterminer le fournisseur d’authentification supplémentaire à appeler.Specify auth method for additional auth per RP - Customers can now use claims rules to decide which additional authentication provider to invoke for additional authentication provider. C’est utile pour deux cas d’usage :This is useful for 2 use cases
    • Les clients effectuent la transition d’un fournisseur d’authentification supplémentaire à un autre.Customers are transitioning from one additional authentication provider to another. De cette façon, quand ils intègrent des utilisateurs à un fournisseur d’authentification plus récent, ils peuvent utiliser des groupes pour contrôler quel le fournisseur d’authentification supplémentaire est appelé.This way as they onboard users to a newer authentication provider they can use groups to control which additional authentication provider is called.
    • Les clients ont besoin d’un fournisseur d’authentification supplémentaire spécifique (par exemple un certificat) pour certaines applications.Customers have needs for a specific additional authentication provider (e.g. certificate) for certain applications.
  • Limiter l’authentification des appareils basée sur TLS uniquement aux applications qui en ont besoin - Les clients peuvent maintenant restreindre les authentifications des appareils basées sur le protocole TLS aux seules applications qui effectuent un accès conditionnel basé sur l’appareil.Restrict TLS based device auth only to applications that require it - Customers can now restrict client TLS based device authentications to only applications performing device based conditional access. Cela empêche toute invite indésirable pour l’authentification des appareils (ou les échecs si l’application cliente ne peut pas la gérer) pour les applications qui ne nécessitent pas l’authentification des appareils basée sur TLS.This prevents any unwanted prompts for device authentication (or failures if the client application cannot handle) for applications that do not require TLS based device authentication.
  • Prise en charge de l’actualisation MFA - AD FS prend maintenant en charge la possibilité de redemander les informations d’identification du deuxième facteur en fonction de leur actualisation.MFA freshness support - AD FS now supports the ability to re-do 2nd factor credential based on the freshness of the 2nd factor credential. Cela permet aux clients d’effectuer une transaction initiale avec deux facteurs et de se voir demander le deuxième facteur de manière périodique uniquement.This allows customers to do an initial transaction with 2 factors and only prompt for the 2nd factor on a periodic basis. Cela est uniquement disponible pour les applications qui peuvent fournir un paramètre supplémentaire dans la demande, et n’est pas un paramètre configurable dans AD FS.This is only available to applications that can provide an additional parameter in the request and is not a configurable setting in ADFS. Ce paramètre est pris en charge par Azure AD quand l’option « Mémoriser mon authentification multifacteur pour X jours » est configurée et que l’indicateur « supportsMFA » a la valeur true dans les paramètres d’approbation de domaine fédéré dans Azure AD.This parameter is supported by Azure AD when "Remember my MFA for X days" is configured and the 'supportsMFA' flag is set to true on the federated domain trust settings in Azure AD.

Améliorations apportées à l’authentification unique pour la connexionSign-in SSO improvements

Les améliorations suivantes ont été apportées à l’authentification unique pour la connexion dans AD FS 2019 :The following sign-in SSO improvements have been made in AD FS 2019:

  • Expérience utilisateur paginée avec thème centré - AD FS dispose maintenant d’un flux d’expérience utilisateur paginé qui lui permet de valider et de fournir une expérience de connexion plus fluide.Paginated UX with Centered Theme - ADFS now has moved to a paginated UX flow that allows ADFS to validate and provide a more smoother sign-in experience. AD FS utilise désormais une interface utilisateur centrée (au lieu du côté droit de l’écran).ADFS now uses a centered UI (instead of the right side of the screen). Vous aurez peut-être besoin d’images de logo et d’arrière-plan plus récentes adaptées à cette expérience.You may require newer logo and background images to align with this experience. Cela reflète également les fonctionnalités proposées dans Azure AD.This also mirrors functionality offered in Azure AD.
  • Résolutions de bogues État d’authentification unique persistant pour les appareils Win10 lors de l’authentification PRT Cela résout un problème selon lequel l’état MFA n’était pas conservé lors de l’utilisation de l’authentification PRT pour les appareils Windows 10.Bug fix: Persistent SSO state for Win10 devices when doing PRT auth This addresses an issue where MFA state was not persisted when using PRT authentication for Windows 10 devices. La conséquence de ce problème était que les utilisateurs finaux étaient souvent invités à entrer des informations d’identification de deuxième facteur (MFA).The result of the issue was that end users would get prompted for 2nd factor credential (MFA) frequently. Le correctif rend également l’expérience cohérente quand l’authentification de l’appareil est effectuée avec succès par le biais du protocole TLS du client et du mécanisme PRT.The fix also makes the experience consistent when device auth is successfully performed via client TLS and via PRT mechanism.

Prise en charge de la création d’applications métier modernesSuppport for building modern line-of-business apps

La prise en charge suivante pour la création d’applications métier modernes a été ajoutée à AD FS 2019 :The following support for building modern LOB apps has been added to AD FS 2019:

  • Profil de flux d’appareil OAuth - AD FS prend maintenant en charge le profil de flux d’appareil OAuth pour effectuer des connexions sur des appareils qui n’ont pas de surface d’interface utilisateur, afin de prendre en charge des expériences de connexion riches.Oauth Device flow/profile - AD FS now supports the OAuth device flow profile to perform logins on devices that do not have a UI surface area to support rich login experiences. Cela permet à l’utilisateur d’effectuer l’expérience de connexion sur un autre appareil.This allows the user to complete the login experience on a different device. Cette fonctionnalité est requise pour l’expérience Azure CLI dans Azure Stack, et peut être utilisée dans d’autres cas.This functionality is required for Azure CLI experience in Azure Stack and can be used in other cases.
  • Suppression du paramètre « Resource » - AD FS a maintenant supprimé la nécessité de spécifier un paramètre de ressource qui est conforme aux spécifications OAuth actuelles.Removal of 'Resource' parameter - AD FS has now removed the requirement to specify a resource parameter which is in line with current Oauth specifications. Les clients peuvent désormais spécifier l’identificateur d’approbation de la partie de confiance en tant que paramètre d’étendue, en plus des autorisations demandées.Clients can now provide the Relying Party trust identifier as the scope parameter in addition to permissions requested.
  • En-têtes CORS dans les réponses AD FS - Les clients peuvent maintenant créer des applications monopages qui autorisent les bibliothèques JS côté client à valider la signature de l’id_token en interrogeant les clés de signature à partir du document de découverte OIDC sur AD FS.CORS headers in AD FS responses - Customers can now build Single Page Applications that allow client side JS libraries to validate the signature of the id_token by querying for the signing keys from the OIDC discovery document on AD FS.
  • Prise en charge de PKCE - AD FS ajoute la prise en charge de PKCE pour fournir un workflow de code d’authentification sécurisé dans OAuth.PKCE support - AD FS adds PKCE support to provide a secure auth code flow within OAuth. Cela ajoute une couche supplémentaire de sécurité à ce flux, afin d’empêcher le détournement du code et sa relecture à partir d’un autre client.This adds an additional layer of security to this flow to prevent hijacking the code and replaying it from a different client.
  • Résolution de bogue : envoi de x5t et revendication kid - il s’agit d’une résolution de bogue mineur.Bug fix: Send x5t and kid claim - This is a minor bug fix. AD FS envoie maintenant en plus la revendication « kid » afin de désigner l’indicateur d’ID de clé pour la vérification de la signature.AD FS now additionally sends the 'kid' claim to denote the key id hint for verifying the signature. Avant, AD FS l’envoyait uniquement en tant que revendication « x5t ».Previously AD FS only sent this as 'x5t' claim.

Améliorations de la prise en chargeSupportability improvements

Les améliorations de prise en charge suivantes ne font pas partie d’AD FS 2019 :The following supportability improvements are not part of AD FS 2019:

  • Envoyer les détails de l’erreur aux administrateurs AD FS - Permet aux administrateurs de configurer les utilisateurs finaux pour qu’ils envoient des journaux de débogage relatifs à un échec de l’authentification de l’utilisateur final, afin qu’ils soient stockés en tant que fichiers compressés pour une consommation aisée.Send error details to AD FS admins - Allows admins to configure end users to send debug logs relating to a failure in end user authentication to be stored as a zipped filed for easy consumption. Les administrateurs peuvent également configurer une connexion SMTP de façon à envoyer automatiquement le fichier compressé à un compte e-mail de triage ou à créer automatiquement un ticket basé sur l’e-mail.Admins can also configure an SMTP connection to automail the zipped file to a triage email account or to auto create a ticket based on the email.

Mises à jour de déploiementDeployment updates

Les mises à jour de déploiement suivantes sont maintenant incluses dans AD FS 2019 :The following deployment updates are now included in AD FS 2019:

  • Niveau de comportement de batterie de serveurs 2019 - Comme avec AD FS 2016, une nouvelle version du niveau de comportement de batterie de serveurs est nécessaire pour activer les nouvelles fonctionnalités décrites ci-dessus.Farm Behavior Level 2019 - As with AD FS 2016, there is a new Farm Behavior Level version that is required to enable new functionality discussed above. Cela permet de passer de :This allows going from:
    • 2012 R2-> 20192012 R2-> 2019
    • 2016 -> 20192016 -> 2019

Mises à jour SAMLSAML updates

La mise à jour SAML suivante se trouve dans AD FS 2019 :The following SAML update is in AD FS 2019:

  • Résolutions de bogues dans la fédération agrégée - De nombreuses résolutions de bogues ont été appliquées à la prise en charge de la fédération agrégée (par exemple InCommon).Bug fix: Fix bugs in aggregated federation - There have been numerous bug fixes around aggregated federation support (e.g. InCommon). Les résolutions concernent les aspects suivants :The fixes have been around the following:
    • Amélioration de la mise à l’échelle pour les quantités élevées d’entités dans le document de métadonnées de fédération agrégée. Auparavant, cela échouait avec l’erreur « ADMIN0017 ».Improved scaling for large # of entities in the aggregated federation metadata doc. Previously, this would fail with "ADMIN0017" error.
    • Interrogation à l’aide du paramètre « ScopeGroupID » par le biais de l’applet de commande PowerShell (PSH) AdfsRelyingPartyTrustsGroup.Query using 'ScopeGroupID' parameter via Get-AdfsRelyingPartyTrustsGroup PSH (PowerShell) cmdlet.
    • Gestion des conditions d’erreur liées aux entityID en doubleHandling error conditions around duplicate entityID

Spécification de ressource de style Azure AD dans le paramètre d’étendueAzure AD style resource specification in scope parameter

Auparavant, AD FS exigeait que la ressource et l’étendue souhaitées se trouvent dans un paramètre distinct dans toute requête d’authentification.Previously, AD FS required the desired resource and scope to be in a separate parameter in any authentication request. Par exemple, une requête OAuth ordinaire ressemblait à ce qui suit : 7 https://fs.contoso.com/adfs/oauth2/authorize?
response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:
adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login
For example, a typical oauth request would look like below: 7 https://fs.contoso.com/adfs/oauth2/authorize?
response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:
adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login

Avec AD FS sur Server 2019, vous pouvez désormais transmettre la valeur de ressource incorporée dans le paramètre d’étendue.With AD FS on Server 2019, you can now pass the resource value embedded in the scope parameter. C’est cohérent avec la manière dont il est également possible d’effectuer une authentification auprès d’Azure AD.This is consistent with how one can do authentication against Azure AD also.

Le paramètre d’étendue peut maintenant être organisé sous forme de liste séparée par des espaces, où chaque entrée est structurée en tant que ressource/étendue.The scope parameter can now be organized as a space separated list where each entry is structure as resource/scope.

Notes

Une seule ressource peut être spécifiée dans la demande d’authentification.Only one resource can be specified in the authentication request. Si plusieurs ressources sont incluses dans la demande, AD FS retourne une erreur et l’authentification échoue.If more than one resource is included in the request, AD FS will return an error and authentication will not succeed.

Prise en charge de PKCE (Proof Key for Code Exchange) pour oAuthProof Key for Code Exchange (PKCE) support for oAuth

Les clients publics OAuth utilisant l’octroi de code d’autorisation sont exposés à une attaque par interception du code d’autorisation.OAuth public clients using the Authorization Code Grant are susceptible to the authorization code interception attack. L’attaque est bien décrite dans la RFC 7636.The attack is well described in RFC 7636. Pour l’atténuer, AD FS dans Server 2019 prend en charge PKCE pour le flux d’octroi de codes d’autorisation OAuth.To mitigate this attack, AD FS in Server 2019 supports Proof Key for Code Exchange (PKCE) for OAuth Authorization Code Grant flow.

Pour tirer parti de la prise en charge de PKCE, cette spécification ajoute des paramètres supplémentaires aux requêtes d’autorisation et de jeton d’accès OAuth 2.0.To leverage the PKCE support, This specification adds additional parameters to the OAuth 2.0 Authorization and Access Token Requests.

Proofkey

A.A. Le client crée et enregistre un secret nommé « code_verifier », et dérive une version transformée « t(code_verifier) » (appelée « code_challenge »), qui est envoyée dans la requête d’autorisation OAuth 2.0 avec la méthode de transformation « t_m ».The client creates and records a secret named the "code_verifier" and derives a transformed version "t(code_verifier)" (referred to as the "code_challenge"), which is sent in the OAuth 2.0 Authorization Request along with the transformation method "t_m".

B.B. Le point de terminaison d’autorisation répond comme d’habitude, mais enregistre « t(code_verifier) » et la méthode de transformation.The Authorization Endpoint responds as usual but records "t(code_verifier)" and the transformation method.

C.C. Le client envoie alors le code d’autorisation dans la requête de jeton d’accès comme d’habitude, mais il inclut le secret « code_verifier » généré à l’étape A.The client then sends the authorization code in the Access Token Request as usual but includes the "code_verifier" secret generated at (A).

D.D. AD FS transforme « code_verifier » et le compare à « t(code_verifier) » obtenu à l’étape B.The AD FS transforms "code_verifier" and compares it to "t(code_verifier)" from (B). L’accès est refusé s’ils ne sont pas égaux.Access is denied if they are not equal.

Forum Aux QuestionsFAQ

Notes

Vous pouvez rencontrer cette erreur dans les journaux des événements d’administration ADFS : Requête OAuth non valide reçue.You may encounter this error in ADFS Admin event logs: Received invalid Oauth request. Le client « NOM » n’est pas autorisé à accéder à la ressource avec l’étendue « ugs ».The client 'NAME' is forbidden to access the resource with scope 'ugs'. Pour corriger cette erreur :To remediate this error:

  1. Lancez la console de gestion AD FS.Launch AD FS management console. Accédez à « Services > Descriptions d’étendue ».Browse to "Services > Scope Descriptions"
  2. Cliquez avec le bouton droit sur « Descriptions d’étendue » et sélectionnez « Ajouter une description d’étendue ».Right click "Scope Descriptions" and select "Add Scope Description"
  3. Sous le nom, tapez « ugs » et cliquez sur Appliquer > OK.Under name type "ugs" and Click Apply > OK
  4. Lancez PowerShell en tant qu’administrateur.Launch PowerShell as Administrator
  5. Exécutez la commande « Get-AdfsApplicationPermission ».Execute the command "Get-AdfsApplicationPermission". Recherchez l’élément ScopeNames :{openid, aza} qui contient le ClientRoleIdentifier.Look for the ScopeNames :{openid, aza} that has the ClientRoleIdentifier. Notez la valeur de ObjectIdentifier.Make a note of the ObjectIdentifier.
  6. Exécutez la commande « Set-AdfsApplicationPermission -TargetIdentifier <ObjectIdentifier de l’étape 5> -AddScope 'ugs'Execute the command "Set-AdfsApplicationPermission -TargetIdentifier <ObjectIdentifier from step 5> -AddScope 'ugs'
  7. Redémarrez le service ADFS.Restart the ADFS service.
  8. Sur le client : Redémarrez le client.On the client: Restart the client. L’utilisateur est invité à provisionner WHFB.User should be prompted to provision WHFB.
  9. Si la fenêtre de provisionnement ne s’affiche pas, collectez les journaux de suivi NGC pour un dépannage supplémentaire.If the provisioning window does not pop up then need to collect NGC trace logs and further troubleshoot.

Q.Q. Puis-je transmettre une valeur de ressource dans le cadre de la valeur d’étendue, comme pour les requêtes exécutées sur Azure AD ?Can I pass resource value as part of the scope value like how requests are done against Azure AD?
A.A. Avec AD FS sur Server 2019, vous pouvez désormais transmettre la valeur de ressource incorporée dans le paramètre d’étendue.With AD FS on Server 2019, you can now pass the resource value embedded in the scope parameter. Le paramètre d’étendue peut maintenant être organisé sous forme de liste séparée par des espaces, où chaque entrée est structurée en tant que ressource/étendue.The scope parameter can now be organized as a space separated list where each entry is structure as resource/scope. Par exemple, .For example < create a valid sample request>

Q.Q. AD FS prend-il en charge l’extension PKCE ?Does AD FS support PKCE extension?
A.A. AD FS dans Server 2019 prend en charge PKCE (Proof Key for Code Exchange) pour le flux d’octroi de codes d’autorisation OAuth.AD FS in Server 2019 supports Proof Key for Code Exchange (PKCE) for OAuth Authorization Code Grant flow

Nouveautés des services de fédération Active Directory (AD FS) pour Windows Server 2016What's new in Active Directory Federation Services for Windows Server 2016

Si vous recherchez des informations sur les versions antérieures d’AD FS, consultez les articles suivants : AD FS dans Windows Server 2012 ou 2012 R2 et AD FS 2.0If you are looking for information on earlier versions of AD FS, see the following articles: ADFS in Windows Server 2012 or 2012 R2 and AD FS 2.0

Les services de fédération Active Directory (AD FS) fournissent un contrôle d’accès et une authentification unique parmi un large éventail d’applications, notamment Office 365, les applications SaaS basées sur le cloud et les applications sur le réseau d’entreprise.Active Directory Federation Services provides access control and single sign on across a wide variety of applications including Office 365, cloud based SaaS applications, and applications on the corporate network.

  • Du point de vue de l’organisation informatique, cela vous permet de fournir une authentification et un contrôle d’accès aux applications modernes et héritées, localement et dans le cloud, sur la base du même ensemble d’informations d’identification et de stratégies.For the IT organization, it enables you to provide sign on and access control to both modern and legacy applications, on premises and in the cloud, based on the same set of credentials and policies.
  • Du point de vue de l’utilisateur, cela offre une authentification fluide à l’aide des mêmes informations d’identification de compte.For the user, it provides seamless sign on using the same, familiar account credentials.
  • Du point de vue du développeur, cela permet d’authentifier facilement les utilisateurs dont les identités résident dans l’annuaire de l’organisation, afin que vous puissiez concentrer vos efforts sur votre application, et non sur l’authentification ou l’identité.For the developer, it provides an easy way to authenticate users whose identities live in the organizational directory so that you can focus your efforts on your application, not authentication or identity.

Cet article décrit les nouveautés d’AD FS dans Windows Server 2016 (AD FS 2016).This article describes what is new in AD FS in Windows Server 2016 (AD FS 2016).

Supprimer les mots de passe de l’extranetEliminate Passwords from the Extranet

AD FS 2016 offre trois nouvelles options de connexion sans mot de passe, ce qui permet aux organisations d’éviter les risques de compromission du réseau due à l’hameçonnage, à la fuite ou au vol de mot de passe.AD FS 2016 enables three new options for sign on without passwords, enabling organizations to avoid risk of network compromise from phished, leaked or stolen passwords.

Se connecter avec Azure Multi-Factor AuthenticationSign in with Azure Multi-factor Authentication

AD FS 2016 s’appuie sur les fonctionnalités d’authentification multifacteur (MFA) d’AD FS dans Windows Server 2012 R2 en autorisant la connexion à l’aide d’un code Azure MFA uniquement, sans entrée préalable d’un nom d’utilisateur et d’un mot de passe.AD FS 2016 builds upon the multi-factor authentication (MFA) capabilities of AD FS in Windows Server 2012 R2 by allowing sign on using only an Azure MFA code, without first entering a username and password.

  • Avec Azure MFA comme méthode d’authentification principale, l’utilisateur est invité à entrer son nom d’utilisateur et le code secret à usage unique de l’application Azure Authenticator.With Azure MFA as the primary authentication method, the user is prompted for their username and the OTP code from the Azure Authenticator app.
  • Avec Azure MFA comme méthode d’authentification secondaire ou supplémentaire, l’utilisateur fournit les informations d’identification d’authentification principales (à l’aide de l’authentification Windows intégrée, du nom d’utilisateur et du mot de passe, de la carte à puce ou du certificat d’utilisateur ou d’appareil), puis reçoit une invite de connexion Azure MFA vocale, textuelle ou par code secret à usage unique.With Azure MFA as the secondary or additional authentication method, the user provides primary authentication credentials (using Windows Integrated Authentication, username and password, smart card, or user or device certificate), then sees a prompt for text, voice, or OTP based Azure MFA login.
  • Avec le nouvel adaptateur Azure MFA intégré, l’installation et la configuration d’Azure MFA avec AD FS n’a jamais été aussi simple.With the new built-in Azure MFA adapter, setup and configuration for Azure MFA with AD FS has never been simpler.
  • Les organisations peuvent tirer parti d’Azure MFA sans avoir besoin d’un serveur Azure MFA local.Organizations can take advantage of Azure MFA without the need for an on premises Azure MFA server.
  • Azure MFA peut être configuré pour un intranet ou un extranet, ou dans le cadre d’une stratégie de contrôle d’accès.Azure MFA can be configured for intranet or extranet, or as part of any access control policy.

Pour plus d’informations sur Azure MFA avec AD FS, consultez :For more information about Azure MFA with AD FS

Accès sans mot de passe à partir des appareils conformesPassword-less Access from Compliant Devices

AD FS 2016 s’appuie sur les fonctionnalités d’inscription d’appareils précédentes pour activer l’authentification et le contrôle d’accès en fonction de l’état de conformité de l’appareil.AD FS 2016 builds on previous device registration capabilities to enable sign on and access control based the device compliance status. Les utilisateurs peuvent se connecter à l’aide des informations d’identification de l’appareil, et la conformité est réévaluée quand les attributs de l’appareil changent, afin que vous puissiez toujours garantir l’application des stratégies.Users can sign on using the device credential, and compliance is re-evaluated when device attributes change, so that you can always ensure policies are being enforced. Cela permet d’activer des stratégies telles que :This enables policies such as

  • Activer l’accès uniquement à partir d’appareils managés et/ou conformesEnable Access only from devices that are managed and/or compliant
  • Activer l’accès extranet uniquement à partir d’appareils managés et/ou conformesEnable Extranet Access only from devices that are managed and/or compliant
  • Exiger l’authentification multifacteur pour les ordinateurs qui ne sont pas managés ou sont non conformesRequire multi-factor authentication for computers that are not managed or not compliant

AD FS fournit le composant local des stratégies d’accès conditionnel dans un scénario hybride.AD FS provides the on premises component of conditional access policies in a hybrid scenario. Quand vous inscrivez des appareils auprès d’Azure AD pour l’accès conditionnel aux ressources cloud, l’identité de l’appareil peut également être utilisée pour les stratégies AD FS.When you register devices with Azure AD for conditional access to cloud resources, the device identity can be used for AD FS policies as well.

Nouveautés

Pour plus d’informations sur l’utilisation de l’accès conditionnel basé sur l’appareil dans le cloud, consultez :For more information about using device based conditional access in the cloud

Pour plus d’informations sur l’utilisation de l’accès conditionnel basé sur l’appareil avec AD FS, consultez :For more information about using device based conditional access with AD FS

Se connecter avec Windows Hello EntrepriseSign in with Windows Hello for Business

Notes

Actuellement, Google Chrome et les nouveaux navigateurs de projet open source Microsoft Edge basé sur Chromium ne sont pas pris en charge pour l’authentification unique basée sur le navigateur avec Microsoft Windows Hello Entreprise.Currently, Google Chrome and the new Microsoft Edge built on Chromium open source project browsers are not supported for browser based single-sign on (SSO) with Microsoft Windows Hello for Business. Utilisez Internet Explorer ou une version antérieure de Microsoft Edge.Please use Internet Explorer or an older version of Microsoft Edge.

Les appareils Windows 10 contiennent Windows Hello et Windows Hello Entreprise, qui remplacent les mots de passe utilisateur par des informations d’identification de l’utilisateur puissantes, protégées par un mouvement de l’utilisateur (un code confidentiel, un mouvement biométrique comme une empreinte digitale ou une reconnaissance faciale).Windows 10 devices introduce Windows Hello and Windows Hello for Business, replacing user passwords with strong device-bound user credentials protected by a user's gesture (a PIN, a biometric gesture like fingerprint, or facial recognition). AD FS 2016 prend en charge ces nouvelles fonctionnalités de Windows 10 afin que les utilisateurs puissent se connecter aux applications AD FS à partir de l’intranet ou de l’extranet sans avoir besoin de fournir un mot de passe.AD FS 2016 supports these new Windows 10 capabilities so that users can sign in to AD FS applications from the intranet or the extranet without the need to provide a password.

Pour plus d’informations sur l’utilisation de Microsoft Windows Hello Entreprise dans votre organisation, consultez :For more information about using Microsoft Windows Hello for Business in your organization

Sécuriser l’accès aux applicationsSecure Access to Applications

Authentification moderneModern Authentication

AD FS 2016 prend en charge les protocoles modernes les plus récents qui offrent une meilleure expérience utilisateur pour Windows 10, ainsi que pour les appareils et applications iOS et Android les plus récents.AD FS 2016 supports the latest modern protocols that provide a better user experience for Windows 10 as well as the latest iOS and Android devices and apps.

Pour plus d’informations, consultez Scénarios AD FS pour les développeurs.For more information see AD FS Scenarios for Developers

Configurer des stratégies de contrôle d’accès sans avoir à connaître le langage de règles de revendicationConfigure access control policies without having to know claim rules language

Avant, les administrateurs AD FS devaient configurer des stratégies à l’aide du langage de règles de revendication AD FS, ce qui compliquait la configuration et la maintenance des stratégies.Previously, AD FS administrators had to configure policies using the AD FS claim rule language, making it difficult to configure and maintain policies. Avec les stratégies de contrôle d’accès, les administrateurs peuvent utiliser des modèles intégrés pour appliquer des stratégies courantes telles que :With access control policies, administrators can use built in templates to apply common policies such as

  • Autoriser l’accès intranet uniquementPermit intranet access only
  • Autoriser tout le monde et exiger l’authentification MFA à partir de l’extranetPermit everyone and require MFA from Extranet
  • Autoriser tout le monde et exiger l’authentification MFA pour un groupe spécifiquePermit everyone and require MFA from a specific group

Les modèles sont faciles à personnaliser à l’aide d’un processus piloté par un Assistant qui permet d’ajouter des exceptions ou des règles de stratégie supplémentaires, et ils peuvent être appliqués à une ou plusieurs applications afin d’appliquer les stratégies de manière cohérente.The templates are easy to customize using a wizard driven process to add exceptions or additional policy rules and can be applied to one or many applications for consistent policy enforcement.

Pour plus d’informations, consultez Stratégies de contrôle d’accès dans AD FS.For more information see Access control policies in AD FS.

Activer l’authentification avec des annuaires LDAP non-Active DirectoryEnable sign on with non-AD LDAP directories

De nombreuses organisations ont une combinaison d’Active Directory et d’annuaires tiers.Many organizations have a combination of Active Directory and third-party directories. Avec l’ajout de la prise en charge dans AD FS de l’authentification des utilisateurs stockés dans des annuaires compatibles LDAP v3, AD FS peut désormais être utilisé pour :With the addition of AD FS support for authenticating users stored in LDAP v3-compliant directories, AD FS can now be used for:

  • Les utilisateurs d’annuaires tiers compatibles LDAP v3.Users in third party, LDAP v3 compliant directories
  • Les utilisateurs des forêts Active Directory pour lesquelles aucune approbation bidirectionnelle Active Directory n’est configurée.Users in Active Directory forests to which an Active Directory two-way trust is not configured
  • Les utilisateurs des services AD LDS (Active Directory Lightweight Directory Services).Users in Active Directory Lightweight Directory Services (AD LDS)

Pour plus d’informations, consultez Configurer AD FS pour authentifier les utilisateurs stockés dans des annuaires LDAP.For more information see Configure AD FS to authenticate users stored in LDAP directories.

Meilleure expérience de connexionBetter Sign-in experience

Personnaliser l’expérience de connexion pour les applications AD FSCustomize sign in experience for AD FS applications

Vous nous avez suggéré que la possibilité de personnaliser l’expérience de connexion pour chaque application serait une bonne idée en terme de convivialité, en particulier pour les organisations qui fournissent une authentification pour les applications qui représentent plusieurs entreprises ou marques différentes.We heard from you that the ability to customize the logon experience for each application would be a great usability improvement, especially for organizations who provide sign on for applications that represent multiple different companies or brands.

Avant, AD FS dans Windows Server 2012 R2 offrait une expérience d’authentification commune pour toutes les applications par partie de confiance, avec la possibilité de personnaliser un sous-ensemble de contenu textuel par application.Previously, AD FS in Windows Server 2012 R2 provided a common sign on experience for all relying party applications, with the ability to customize a subset of text based content per application. Avec Windows Server 2016, vous pouvez personnaliser non seulement les messages, mais aussi les images, le logo et le thème web par application.With Windows Server 2016, you can customize not only the messages, but images, logo and web theme per application. Vous pouvez aussi créer des thèmes web personnalisés et les appliquer par partie de confiance.Additionally, you can create new, custom web themes and apply these per relying party.

Pour plus d’informations, consultez Personnalisation de la connexion utilisateur AD FS.For more information see AD FS user sign-in customization.

Améliorations fonctionnelles et de facilité de gestionManageability and Operational Enhancements

La section suivante décrit les scénarios fonctionnels améliorés introduits avec les services AD FS dans Windows Server 2016.The following section describes the improved operational scenarios that are introduced with Active Directory Federation Services in Windows Server 2016.

Audit rationalisé pour faciliter la gestion administrativeStreamlined auditing for easier administrative management

Dans AD FS pour Windows Server 2012 R2, un grand nombre d’événements d’audit étaient générés pour une demande unique, et les informations pertinentes sur une activité de connexion ou d’émission de jetons étaient soit absentes (dans certaines versions d’AD FS), soit réparties sur plusieurs événements d’audit.In AD FS for Windows Server 2012 R2 there were numerous audit events generated for a single request and the relevant information about a log-in or token issuance activity is either absent (in some versions of AD FS) or spread across multiple audit events. Par défaut, les événements d’audit AD FS sont désactivés en raison de leur nature détaillée.By default the AD FS audit events are turned off due to their verbose nature. Avec la publication d’AD FS 2016, l’audit est plus rationalisé et moins détaillé.With the release of AD FS 2016, auditing has become more streamlined and less verbose.

Pour plus d’informations, consultez Améliorations de l’audit apportées à AD FS dans Windows Server 2016.For more information see Auditing enhancements to AD FS in Windows Server 2016.

Amélioration de l’interopérabilité avec SAML 2.0 pour la participation aux confédérationsImproved interoperability with SAML 2.0 for participation in confederations

AD FS 2016 offre une prise en charge du protocole SAML supplémentaire, notamment la prise en charge de l’importation des approbations basées sur des métadonnées contenant plusieurs entités.AD FS 2016 contains additional SAML protocol support, including support for importing trusts based on metadata that contains multiple entities. Cela vous permet de configurer AD FS pour participer à des confédérations telles que la fédération InCommon et d’autres implémentations conformes à la norme eGov 2.0.This enables you to configure AD FS to participate in confederations such as InCommon Federation and other implementations conforming to the eGov 2.0 standard.

Pour plus d’informations, consultez Interopérabilité améliorée avec SAML 2.0.For more information see Improved interoperability with SAML 2.0.

Gestion simplifiée des mots de passe pour les utilisateurs Office 365 fédérésSimplified password management for federated O365 users

Vous pouvez configurer les services AD FS pour envoyer des revendications d’expiration de mot de passe aux approbations de partie de confiance (applications) protégées par AD FS.You can configure Active Directory Federation Services (AD FS) to send password expiry claims to the relying party trusts (applications) that are protected by AD FS. Le mode d’utilisation de ces revendications dépend de l’application.How these claims are used depends on the application. Par exemple, avec Office 365 comme partie de confiance, des mises à jour ont été implémentées dans Exchange et Outlook pour informer les utilisateurs fédérés de l’expiration prochaine de leurs mots de passe.For example, with Office 365 as your relying party, updates have been implemented to Exchange and Outlook to notify federated users of their soon-to-be-expired passwords.

Pour plus d’informations, consultez Configurer AD FS pour envoyer les revendications d’expiration de mot de passe.For more information see Configure AD FS to send password expiry claims.

Simplification du passage d’AD FS dans Windows Server 2012 R2 à AD FS dans Windows Server 2016Moving from AD FS in Windows Server 2012 R2 to AD FS in Windows Server 2016 is easier

Auparavant, la migration vers une nouvelle version d’AD FS nécessitait l’exportation de la configuration à partir de l’ancienne batterie de serveurs et l’importation vers une nouvelle batterie parallèle.Previously, migrating to a new version of AD FS required exporting configuration from the old farm and importing to a brand new, parallel farm.

Désormais, le passage d’AD FS sur Windows Server 2012 R2 à AD FS sur Windows Server 2016 est beaucoup plus facile.Now, moving from AD FS on Windows Server 2012 R2 to AD FS on Windows Server 2016 has become much easier. Il vous suffit d’ajouter un nouveau serveur Windows Server 2016 à une batterie de serveurs Windows Server 2012 R2, et la batterie de serveurs agira au niveau du comportement de batterie Windows Server 2012 R2 ; ainsi, elle se présentera et se comportera exactement comme une batterie de serveurs Windows Server 2012 R2.Simply add a new Windows Server 2016 server to a Windows Server 2012 R2 farm, and the farm will act at the Windows Server 2012 R2 farm behavior level, so it looks and behaves just like a Windows Server 2012 R2 farm.

Ensuite, ajoutez de nouveaux serveurs Windows Server 2016 à la batterie, vérifiez la fonctionnalité et supprimez les anciens serveurs de l’équilibreur de charge.Then, add new Windows Server 2016 servers to the farm, verify the functionality and remove the older servers from the load balancer. Une fois que tous les nœuds de la batterie exécutent Windows Server 2016, vous pouvez mettre à niveau le niveau de comportement de batterie de serveurs vers 2016 et commencer à utiliser les nouvelles fonctionnalités.Once all farm nodes are running Windows Server 2016, you are ready to upgrade the farm behavior level to 2016 and begin using the new features.

Pour plus d’informations, consultez Mise à niveau vers AD FS dans Windows Server 2016.For more information see Upgrading to AD FS in Windows Server 2016.