Bagikan melalui

Mengelola Risiko dengan Autentikasi Multifaktor Tambahan untuk Aplikasi Sensitif

  • Artikel

Dalam panduan ini

Panduan ini menyediakan informasi berikut:

Konsep Utama - Mekanisme autentikasi di Layanan Federasi Direktori Aktif

Manfaat mekanisme autentikasi di Layanan Federasi Direktori Aktif

Layanan Federasi Direktori Aktif (AD FS) di Windows Server 2012 R2 menyediakan seperangkat alat yang lebih kaya dan lebih fleksibel untuk mengautentikasi pengguna yang ingin mengakses sumber daya perusahaan. Ini memberdayakan administrator dengan kontrol fleksibel atas metode autentikasi utama dan tambahan, memberikan pengalaman manajemen yang kaya untuk mengonfigurasi polisi autentikasi (baik melalui antarmuka pengguna dan Windows PowerShell), dan meningkatkan pengalaman bagi pengguna akhir yang mengakses aplikasi dan layanan yang diamankan oleh Ad FS. Berikut ini adalah beberapa manfaat mengamankan aplikasi dan layanan Anda dengan Layanan Federasi Direktori Aktif di Windows Server 2012 R2:

  • Kebijakan autentikasi global - kemampuan manajemen pusat, tempat administrator TI dapat memilih metode autentikasi apa yang digunakan untuk mengautentikasi pengguna berdasarkan lokasi jaringan tempat mereka mengakses sumber daya yang dilindungi. Ini memungkinkan administrator untuk melakukan hal berikut:

    • Mandat penggunaan metode autentikasi yang lebih aman untuk permintaan akses dari ekstranet.

    • Aktifkan autentikasi perangkat untuk autentikasi faktor kedua yang mulus. Ini mengikat identitas pengguna ke perangkat terdaftar yang digunakan untuk mengakses sumber daya, sehingga menawarkan verifikasi identitas gabungan yang lebih aman sebelum sumber daya yang dilindungi diakses.

      Catatan

      Untuk informasi selengkapnya tentang objek perangkat, Device Registration Service, Workplace Join, dan perangkat sebagai autentikasi dan SSO faktor kedua yang mulus, lihat Bergabung ke Tempat Kerja dari Perangkat Apa Pun untuk SSO dan Autentikasi Faktor Kedua Tanpa Hambatan di Seluruh Aplikasi Perusahaan.

    • Atur persyaratan MFA untuk semua akses ekstranet atau secara kondisional berdasarkan identitas pengguna, lokasi jaringan, atau perangkat yang digunakan untuk mengakses sumber daya yang dilindungi.

  • Fleksibilitas yang lebih besar dalam mengonfigurasi kebijakan autentikasi: Anda dapat mengonfigurasi kebijakan autentikasi kustom untuk sumber daya yang diamankan Ad FS dengan nilai bisnis yang bervariasi. Misalnya, Anda dapat memerlukan MFA untuk aplikasi dengan dampak bisnis yang tinggi.

  • Kemudahan penggunaan: alat manajemen sederhana dan intuitif seperti snap-in MMC Manajemen Layanan Federasi Direktori Aktif berbasis GUI dan cmdlet Windows PowerShell memungkinkan administrator TI untuk mengonfigurasi kebijakan autentikasi dengan relatif mudah. Dengan Windows PowerShell, Anda dapat membuat skrip solusi untuk digunakan dalam skala besar dan mengotomatiskan tugas administratif biasa.

  • Kontrol yang lebih besar atas aset perusahaan: karena sebagai administrator, Anda dapat menggunakan Layanan Federasi Direktori Aktif untuk mengonfigurasi kebijakan autentikasi yang berlaku untuk sumber daya tertentu, Anda memiliki kontrol yang lebih besar atas bagaimana sumber daya perusahaan diamankan. Aplikasi tidak dapat mengambil alih kebijakan autentikasi yang ditentukan oleh administrator TI. Untuk aplikasi dan layanan sensitif, Anda dapat mengaktifkan persyaratan MFA, autentikasi perangkat, dan autentikasi baru opsional setiap kali sumber daya diakses.

  • Dukungan untuk penyedia MFA kustom: untuk organisasi yang memanfaatkan metode MFA pihak ketiga, Layanan Federasi Direktori Aktif menawarkan kemampuan untuk menggabungkan dan menggunakan metode autentikasi ini dengan mulus.

Cakupan autentikasi

Di Layanan Federasi Direktori Aktif di Windows Server 2012 R2, Anda dapat menentukan kebijakan autentikasi pada cakupan global yang berlaku untuk semua aplikasi dan layanan yang diamankan oleh Layanan Federasi Direktori Aktif. Anda juga dapat mengatur kebijakan autentikasi untuk aplikasi dan layanan tertentu (kepercayaan pihak yang mengandalkan) yang diamankan oleh Layanan Federasi Direktori Aktif. Menentukan kebijakan autentikasi untuk aplikasi tertentu (per kepercayaan pihak yang mengandalkan) tidak mengambil alih kebijakan autentikasi global. Jika kebijakan autentikasi kepercayaan pihak global atau per yang mengandalkan memerlukan MFA, MFA akan dipicu ketika pengguna mencoba mengautentikasi ke kepercayaan pihak yang mengandalkan ini. Kebijakan autentikasi global adalah fallback untuk mengandalkan kepercayaan pihak (aplikasi dan layanan) yang tidak memiliki kebijakan autentikasi tertentu yang dikonfigurasi.

Kebijakan autentikasi global berlaku untuk semua pihak yang mengandalkan yang diamankan oleh Layanan Federasi Direktori Aktif. Anda dapat mengonfigurasi pengaturan berikut sebagai bagian dari kebijakan autentikasi global:

Kebijakan autentikasi kepercayaan pihak yang mengandalkan berlaku khusus untuk upaya mengakses kepercayaan pihak yang mengandalkan (aplikasi atau layanan). Anda dapat mengonfigurasi pengaturan berikut sebagai bagian dari kebijakan autentikasi kepercayaan pihak yang mengandalkan:

  • Apakah pengguna diharuskan untuk memberikan kredensial mereka setiap kali masuk

  • Pengaturan MFA berdasarkan pengguna/grup, pendaftaran perangkat, dan data lokasi permintaan akses

Metode autentikasi primer dan tambahan

Dengan Layanan Federasi Direktori Aktif di Windows Server 2012 R2, selain mekanisme autentikasi utama, administrator dapat mengonfigurasi metode autentikasi tambahan. Metode autentikasi utama adalah bawaan dan dimaksudkan untuk memvalidasi identitas pengguna. Anda dapat mengonfigurasi faktor autentikasi tambahan untuk meminta informasi lebih lanjut tentang identitas pengguna disediakan dan akibatnya memastikan autentikasi yang lebih kuat.

Dengan autentikasi utama di Layanan Federasi Direktori Aktif di Windows Server 2012 R2, Anda memiliki opsi berikut:

  • Agar sumber daya yang diterbitkan diakses dari luar jaringan perusahaan, Autentikasi Formulir dipilih secara default. Selain itu, Anda juga dapat mengaktifkan Autentikasi Sertifikat (dengan kata lain, autentikasi berbasis kartu pintar atau autentikasi sertifikat klien pengguna yang berfungsi dengan AD DS).

  • Untuk sumber daya intranet, Autentikasi Windows dipilih secara default. Selain itu Anda juga dapat mengaktifkan Formulir dan/atau Autentikasi Sertifikat.

Dengan memilih lebih dari satu metode autentikasi, Anda memungkinkan pengguna Anda memiliki pilihan metode apa yang harus diautentikasi di halaman masuk untuk aplikasi atau layanan Anda.

Anda juga dapat mengaktifkan autentikasi perangkat untuk autentikasi faktor kedua yang mulus. Ini mengikat identitas pengguna ke perangkat terdaftar yang digunakan untuk mengakses sumber daya, sehingga menawarkan verifikasi identitas gabungan yang lebih aman sebelum sumber daya yang dilindungi diakses.

Catatan

Untuk informasi selengkapnya tentang objek perangkat, Device Registration Service, Workplace Join, dan perangkat sebagai autentikasi dan SSO faktor kedua yang mulus, lihat Bergabung ke Tempat Kerja dari Perangkat Apa Pun untuk SSO dan Autentikasi Faktor Kedua Tanpa Hambatan di Seluruh Aplikasi Perusahaan.

Jika Anda menentukan metode Autentikasi Windows (opsi default) untuk sumber daya intranet Anda, permintaan autentikasi menjalani metode ini dengan mulus pada browser yang mendukung autentikasi Windows.

Catatan

Autentikasi Windows tidak didukung pada semua penjelajah. Mekanisme autentikasi di Layanan Federasi Direktori Aktif di Windows Server 2012 R2 mendeteksi agen pengguna browser pengguna dan menggunakan pengaturan yang dapat dikonfigurasi untuk menentukan apakah agen pengguna tersebut mendukung Autentikasi Windows. Administrator dapat menambahkan ke daftar agen pengguna ini (melalui perintah Windows PowerShell Set-AdfsProperties -WIASupportedUserAgents , untuk menentukan string agen pengguna alternatif untuk browser yang mendukung Autentikasi Windows. Jika agen pengguna klien tidak mendukung Autentikasi Windows, metode fallback defaultnya adalah Autentikasi Formulir.

Mengonfigurasi MFA

Ada dua bagian untuk mengonfigurasi MFA di Layanan Federasi Direktori Aktif di Windows Server 2012 R2: menentukan kondisi di mana MFA diperlukan, dan memilih metode autentikasi tambahan. Untuk informasi selengkapnya tentang metode autentikasi tambahan, lihat Mengonfigurasi Metode Autentikasi Tambahan untuk Layanan Federasi Direktori Aktif.

Pengaturan MFA

Opsi berikut tersedia untuk pengaturan MFA (kondisi yang memerlukan MFA):

  • Anda dapat mewajibkan MFA untuk pengguna dan grup tertentu di domain AD tempat server federasi Anda bergabung.

  • Anda dapat mewajibkan MFA untuk perangkat terdaftar (tempat kerja bergabung) atau tidak terdaftar (tidak bergabung dengan tempat kerja).

    Windows Server 2012 R2 mengambil pendekatan yang berentrik pengguna ke perangkat modern di mana objek perangkat mewakili hubungan antara user@device dan perusahaan. Objek perangkat adalah kelas baru di AD di Windows Server 2012 R2 yang dapat digunakan untuk menawarkan identitas campuran saat menyediakan akses ke aplikasi dan layanan. Komponen baru AD FS - layanan pendaftaran perangkat (DRS) - menyediakan identitas perangkat di Direktori Aktif dan menetapkan sertifikat pada perangkat konsumen yang akan digunakan untuk mewakili identitas perangkat. Anda kemudian dapat menggunakan identitas perangkat ini untuk bergabung dengan perangkat Anda di tempat kerja, dengan kata lain, untuk menyambungkan perangkat pribadi Anda ke Direktori Aktif tempat kerja Anda. Ketika Anda bergabung dengan perangkat pribadi Anda ke tempat kerja Anda, perangkat tersebut menjadi perangkat yang dikenal dan akan menyediakan autentikasi faktor kedua yang mulus ke sumber daya dan aplikasi yang dilindungi. Dengan kata lain, setelah perangkat bergabung dengan tempat kerja, identitas pengguna terikat dengan perangkat ini dan dapat digunakan untuk verifikasi identitas campuran yang mulus sebelum sumber daya yang dilindungi diakses.

    Untuk informasi selengkapnya tentang bergabung dan keluar dari tempat kerja, lihat Bergabung ke Tempat Kerja dari Perangkat Apa Pun untuk SSO dan Autentikasi Faktor Kedua Tanpa Hambatan Di Seluruh Aplikasi Perusahaan.

  • Anda dapat memerlukan MFA ketika permintaan akses untuk sumber daya yang dilindungi berasal dari ekstranet atau intranet.

Gambaran Umum Skenario

Dalam skenario ini, Anda mengaktifkan MFA berdasarkan data keanggotaan grup pengguna untuk aplikasi tertentu. Dengan kata lain, Anda akan menyiapkan kebijakan autentikasi di server federasi Anda untuk mewajibkan MFA ketika pengguna yang termasuk dalam grup tertentu meminta akses ke aplikasi tertentu yang dihosting di server web.

Lebih khusus lagi, dalam skenario ini, Anda mengaktifkan kebijakan autentikasi untuk aplikasi pengujian berbasis klaim yang disebut claimapp, di mana pengguna AD Robert Hatley akan diminta untuk menjalani MFA karena ia termasuk dalam grup AD Finance.

Instruksi langkah demi langkah untuk menyiapkan dan memverifikasi skenario ini disediakan dalam Panduan Penelusuran: Mengelola Risiko dengan Autentikasi Multifaktor Tambahan untuk Aplikasi Sensitif. Untuk menyelesaikan langkah-langkah dalam panduan ini, Anda harus menyiapkan lingkungan lab dan mengikuti langkah-langkah dalam Menyiapkan lingkungan lab untuk Layanan Federasi Direktori Aktif di Windows Server 2012 R2.

Skenario lain untuk mengaktifkan MFA di Layanan Federasi Direktori Aktif meliputi hal-hal berikut:

  • Aktifkan MFA, jika permintaan akses berasal dari ekstranet. Anda dapat memodifikasi kode yang disajikan di bagian "Siapkan Kebijakan MFA" dari Panduan Penelusuran: Mengelola Risiko dengan Autentikasi Multifaktor Tambahan untuk Aplikasi Sensitif dengan hal berikut:

    'c:[type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn" );'

  • Aktifkan MFA, jika permintaan akses berasal dari perangkat yang bergabung dengan non-tempat kerja. Anda dapat memodifikasi kode yang disajikan di bagian "Siapkan Kebijakan MFA" dari Panduan Penelusuran: Mengelola Risiko dengan Autentikasi Multifaktor Tambahan untuk Aplikasi Sensitif dengan hal berikut:

    'NOT EXISTS([type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid"]) => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'

  • Aktifkan MFA, jika akses berasal dari pengguna dengan perangkat yang bergabung dengan tempat kerja tetapi tidak terdaftar untuk pengguna ini. Anda dapat memodifikasi kode yang disajikan di bagian "Siapkan Kebijakan MFA" dari Panduan Penelusuran: Mengelola Risiko dengan Autentikasi Multifaktor Tambahan untuk Aplikasi Sensitif dengan hal berikut:

    'c:[type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", value == "false"] => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'

Lihat Juga

Panduan Penelusuran: Mengelola Risiko dengan Autentikasi Multifaktor Tambahan untuk AplikasiSensitif Menyiapkan lingkungan lab untuk Layanan Federasi Direktori Aktif di Windows Server 2012 R2