Identificare gli obiettivi di distribuzione di ADFS

L'identificazione corretta degli Active Directory Federation Services (AD FS) è essenziale per il successo del AD FS di progettazione. Assegnare priorità e, possibilmente, combinare gli obiettivi di distribuzione in modo da poter progettare e distribuire AD FS usando un approccio iterativo. È possibile sfruttare gli obiettivi di distribuzione AD FS esistenti, documentati e predefiniti che sono rilevanti per le progettazioni AD FS e sviluppare una soluzione funzionante per la propria situazione.

Le versioni precedenti AD FS distribuite più comunemente per ottenere quanto segue:

  • Fornire ai dipendenti o ai clienti un'esperienza SSO basata su Web per l'accesso alle applicazioni basate su attestazioni all'interno dell'azienda.

  • Fornire ai dipendenti o ai clienti un'esperienza SSO basata su Web per l'accesso alle risorse di qualsiasi organizzazione del partner federativo.

  • Fornire ai dipendenti o ai clienti un'esperienza SSO basata su Web per l'accesso remoto ai siti Web o ai servizi ospitati internamente.

  • Fornire ai dipendenti o ai clienti un'esperienza SSO basata su Web per l'accesso alle risorse o ai servizi nel cloud.

Oltre a questi, AD FS in Windows Server 2012 R2 aggiunge funzionalità che consentono ® di ottenere quanto segue:

  • Aggiunta dei dispositivi all'area di lavoro per l'accesso SSO e l'autenticazione a due fattori trasparente. In questo modo le organizzazioni possono consentire l'accesso dai dispositivi personali dell'utente e gestire il rischio quando forniscono questo accesso.

  • Gestione dei rischi con il controllo degli accessi a più fattori. AD FS fornisce un elevato livello di autorizzazioni per controllare a chi viene concesso l'accesso e per quali applicazioni. La concessione di autorizzazioni può basarsi sugli attributi dell'utente (UPN, posta elettronica, appartenenza al gruppo di sicurezza, complessità dell'autenticazione e così via), sugli attributi del dispositivo (se il dispositivo è aggiunto all'area di lavoro) o sugli attributi della richiesta (percorso di rete, indirizzo IP o agente utente).

  • Gestione dei rischi con l'autenticazione a più fattori aggiuntiva per le applicazioni sensibili. AD FS consente di controllare i criteri per richiedere potenzialmente l'autenticazione a più fattori a livello globale o per ogni applicazione. Inoltre, AD FS fornisce dei punti di estendibilità che consentono una profonda integrazione di tutti i fornitori a più fattori al fine di fornire agli utenti finali un'esperienza sicura e trasparente dell'autenticazione a più fattori.

  • Fornire funzionalità di autenticazione e autorizzazione per l'accesso alle risorse Web dalla rete Extranet protette dal Application Proxy.

Per riepilogare, AD FS in Windows Server 2012 R2 può essere distribuito per raggiungere gli obiettivi seguenti nell'organizzazione:

Consentire agli utenti di accedere alle risorse nei propri dispositivi personali da qualsiasi posizione

  • Aggiunta all'area di lavoro che consente agli utenti di aggiungere i propri dispositivi personali ad Active Directory dell'azienda e, di conseguenza, ottenere l'accesso e un'esperienza trasparente quando accedono alle risorse aziendali da tali dispositivi.

  • Preautenticazione delle risorse nella rete aziendale protette da Proxy applicazione Web e a cui si accede tramite Internet.

  • Modifica della password per consentire agli utenti di modificare la password alla scadenza da qualsiasi dispositivo aggiunto all'area di lavoro così da poter continuare ad accedere alle risorse.

Migliorare gli strumenti di gestione dei rischi di controllo di accesso

La gestione dei rischi è un aspetto importante della governance e della conformità di ogni organizzazione IT. In AD FS Windows Server 2012 R2 sono stati apportati numerosi miglioramenti alla gestione dei rischi di controllo di accesso, tra ® cui:

  • Controlli flessibili in base al percorso di rete per definire la modalità di autenticazione dell'utente per l'accesso a un'applicazione protetta con AD FS.

  • Criteri flessibili per determinare se un utente deve eseguire l'autenticazione a più fattori in base ai dati, ai dati del dispositivo e al percorso di rete dell'utente.

  • Controlli in base all'applicazione che consentono di ignorare SSO e richiedono all'utente di fornire le credenziali ogni volta che accede a un'applicazione riservata.

  • Criteri di accesso in base all'applicazione flessibili basati sui dati dell'utente, i dati del dispositivo o il percorso di rete.

  • Il blocco della Extranet di AD FS consente agli amministratori di proteggere gli account di Active Directory da attacchi di forza bruta da Internet.

  • Revoca dell'accesso per qualsiasi dispositivo aggiunto all'area di lavoro disabilitato o eliminato in Active Directory.

Usare AD FS per migliorare l'esperienza di accesso

Di seguito sono riportate nuove AD FS funzionalità di Windows Server 2012 R2 che consentono all'amministratore di personalizzare e migliorare ® l'esperienza di accesso:

  • Personalizzazione unificata del servizio AD FS, in cui le modifiche vengono apportate una sola volta, quindi propagate automaticamente al resto dei server federativi AD FS in una specifica farm.

  • Pagine di accesso aggiornate dall'aspetto moderno che soddisfano automaticamente i diversi fattori di forma.

  • Supporto per il fallback automatico nell'autenticazione basata su moduli per i dispositivi non aggiunti al dominio aziendale, ma ancora usati per generare richieste di accesso dall'interno della rete aziendale (Intranet).

  • Controlli semplici per personalizzare il logo dell'azienda, l'immagine di illustrazione, i collegamenti standard per il supporto IT, la home page, la privacy e così via.

  • Personalizzazione dei messaggi di descrizione nelle pagina di accesso.

  • Personalizzazione dei temi Web.

  • Individuazione dell'area di autenticazione principale (HRD) basata sul suffisso dell'organizzazione dell'utente per migliorare la privacy dei partner aziendali.

  • Filtro HRD in base all'applicazione per individuare automaticamente un'area di autenticazione in base all'applicazione.

  • Segnalazione errori con un clic per una risoluzione dei problemi IT semplificata.

  • Messaggi di errore personalizzabili.

  • Scelta dell'autenticazione utente quando sono disponibili più provider di autenticazione.

Vedere anche

Guida alla progettazione di AD FS in Windows Server 2012 R2