Novità di Active Directory Federation ServicesWhat's new in Active Directory Federation Services

Novità di Active Directory Federation Services per Windows Server 2019What's new in Active Directory Federation Services for Windows Server 2019

Account di accesso protettiProtected Logins

Di seguito è riportato un breve riepilogo degli aggiornamenti apportati agli account di accesso protetti disponibili in AD FS 2019:The following is a brief summary of updates to protected logins available in AD FS 2019:

  • Provider di autenticazione esterni come primari: i clienti possono ora usare i prodotti di autenticazione di terze parti come primo fattore e non esporre le password come primo fattore.External Auth Providers as Primary - Customers can now use 3rd party authentication products as the first factor and not expose passwords as the first factor. Nei casi in cui può dimostrare due fattori, un provider di autenticazione esterno può richiedere l'autenticazione MFA.In the cases where an external auth provider can prove 2 factors it can claim MFA.
  • Autenticazione della password come autenticazione aggiuntiva: i clienti dispongono di un'opzione incorporata completamente supportata che consente di usare la password solo per il fattore aggiuntivo dopo che è stata usata un'opzione senza password come primo fattore.Password Authentication as additional Authentication - Customers have a fully supported inbox option to use password only for the additional factor after a password less option is used as the first factor. Ciò consente di migliorare l'esperienza del cliente rispetto ad ADFS 2016, in cui i clienti devono scaricare una scheda GitHub supportata così com'è.This improves the customer experience from ADFS 2016 where customers had to download a github adapter which is supported as is.
  • Modulo di valutazione dei rischi collegabile: i clienti possono ora compilare moduli plug-in personalizzati per bloccare determinati tipi di richieste durante la fase di preautenticazione.Pluggable Risk Assessment Module - Customers can now build their own plug in modules to block certain types of requests during pre-authentication stage. Questo rende più semplice per i clienti usare soluzioni Cloud Intelligence, ad esempio Identity Protection, per bloccare gli accessi per utenti o transazioni rischiose.This makes it easier for customers to use cloud intelligence such as Identity protection to block logins for risky users or risky transactions. Per altre informazioni, vedi Creare plug-in con il modello di valutazione dei rischi di AD FS 2019.For more information see Build Plug-ins with AD FS 2019 Risk Assessment Model
  • Miglioramenti per ESL: nel 2016 sono stati apportati miglioramenti per QFE ESL aggiungendo le funzionalità seguenti:ESL improvements - Improves on the ESL QFE in 2016 by adding the following capabilities
    • Possibilità per i clienti di usare la modalità di controllo mentre è attiva la protezione fornita dalla funzionalità di blocco Extranet "classica" disponibile a partire da ADFS 2012R2.Enables customers to be in audit mode while being protected by 'classic' extranet lockout functionality available since ADFS 2012R2. Attualmente i clienti della versione 2016 non avrebbero alcuna protezione in modalità di controllo.Currently 2016 customers would have no protection while in audit mode.
    • Abilitazione della soglia di blocco indipendente per le posizioni note.Enables independent lockout threshold for familiar locations. Ciò consente a più istanze di app in esecuzione con un account di servizio comune di eseguire il rollover delle password con un impatto minimo.This makes it possible for multiple instances of apps running with a common service account to roll over passwords with the least amount of impact.

Altri miglioramenti della sicurezzaAdditional security improvements

In AD FS 2019 sono disponibili miglioramenti della sicurezza aggiuntivi descritti di seguito:The following additional security improvements are available in AD FS 2019:

  • Remote PowerShell (PSH) con accesso SmartCard: i clienti ora possono usare le smart card per connettersi da remoto ad ADFS tramite PSH e poter gestire tutte le funzioni PSH, inclusi i cmdlet PSH multinodo.Remote PowerShell (PSH) using SmartCard Login - Customers can now use smartcards to remote connect to ADFS via PSH and use that to manage all PSH functions include multi-node PSH cmdlets.
  • Personalizzazione delle intestazioni HTTP: i clienti possono ora personalizzare le intestazioni HTTP emesse durante le risposte ADFS.HTTP Header customization - Customers can now customize HTTP headers emitted during ADFS responses. Sono incluse le intestazioni seguenti:This includes the following headers
    • HSTS: indica che gli endpoint ADFS possono essere usati solo sugli endpoint HTTPS per un browser conformeHSTS: This conveys that ADFS endpoints can only be used on HTTPS endpoints for a compliant browser to enforce
    • x-frame-options: gli amministratori ADFS possono consentire a relying party specifiche di incorporare iFrame per pagine di accesso interattivo ad ADFS.x-frame-options: Allows ADFS admins to allow specific relying parties to embed iFrames for ADFS interactive login pages. Questa intestazione deve essere usata con cautela e solo su host HTTPS.This should be used with care and only on HTTPS hosts.
    • Intestazione futura: possono essere configurate anche altre intestazioni future.Future header: Additional future headers can be configured as well.

Per altre informazioni, vedi Personalizzare le intestazioni di risposta di sicurezza HTTP con AD FS 2019.For more information see Customize HTTP security response headers with AD FS 2019

Funzionalità dei criteri di autenticazioneAuthentication/Policy capabilities

In AD FS 2019 sono disponibili le funzionalità di criteri di autenticazione seguenti:The following authentication/policy capabilities are in AD FS 2019:

  • Specifica del metodo di autenticazione per l'autenticazione aggiuntiva per relying party: i clienti possono ora usare le regole delle attestazioni per decidere quale provider di autenticazione aggiuntivo richiamare come provider di autenticazione aggiuntivo.Specify auth method for additional auth per RP - Customers can now use claims rules to decide which additional authentication provider to invoke for additional authentication provider. Questa funzionalità è utile per due casi d'uso:This is useful for 2 use cases
    • I clienti stanno passando da un provider di autenticazione aggiuntivo a un altro.Customers are transitioning from one additional authentication provider to another. In questo modo, durante l'onboarding degli utenti in un provider di autenticazione più recente, possono usare i gruppi per controllare quale provider di autenticazione aggiuntivo viene chiamato.This way as they onboard users to a newer authentication provider they can use groups to control which additional authentication provider is called.
    • I clienti necessitano di un provider di autenticazione aggiuntivo specifico (ad esempio un certificato) per alcune applicazioni.Customers have needs for a specific additional authentication provider (e.g. certificate) for certain applications.
  • Limitazione dell'autenticazione dei dispositivi basata su TLS solo per le applicazioni che la richiedono: i clienti possono ora limitare le autenticazioni dei dispositivi basate su TLS dei client solo alle applicazioni che eseguono l'accesso condizionale basato su dispositivo.Restrict TLS based device auth only to applications that require it - Customers can now restrict client TLS based device authentications to only applications performing device based conditional access. In questo modo si evitano richieste indesiderate di autenticazione dei dispositivi (o errori se l'applicazione client non è in grado di eseguire la gestione) per le applicazioni che non richiedono l'autenticazione dei dispositivi basata su TLS.This prevents any unwanted prompts for device authentication (or failures if the client application cannot handle) for applications that do not require TLS based device authentication.
  • Supporto per l'aggiornamento dell'autenticazione MFA: AD FS supporta ora la possibilità di ripetere le credenziali del secondo fattore in base all'aggiornamento delle credenziali del secondo fattore.MFA freshness support - AD FS now supports the ability to re-do 2nd factor credential based on the freshness of the 2nd factor credential. Ciò consente ai clienti di eseguire una transazione iniziale con due fattori e di richiedere il secondo fattore su base periodica.This allows customers to do an initial transaction with 2 factors and only prompt for the 2nd factor on a periodic basis. Questa opzione è disponibile solo per le applicazioni che possono fornire un parametro aggiuntivo nella richiesta e non è un'impostazione configurabile in ADFS.This is only available to applications that can provide an additional parameter in the request and is not a configurable setting in ADFS. Questo parametro è supportato da Azure AD quando è configurata l'opzione di memorizzazione dell'autenticazione MFA per X giorni e il flag "supportsMFA" è impostato su true nelle impostazioni di attendibilità del dominio federato in Azure AD.This parameter is supported by Azure AD when "Remember my MFA for X days" is configured and the 'supportsMFA' flag is set to true on the federated domain trust settings in Azure AD.

Miglioramenti dell'accesso SSOSign-in SSO improvements

In AD FS 2019 sono stati introdotti i miglioramenti seguenti per l'accesso SSO:The following sign-in SSO improvements have been made in AD FS 2019:

  • Esperienza utente con impaginazione con tema centrato: ADFS è passato a un flusso di esperienza utente con impaginazione che consente di convalidare e offrire un'esperienza di accesso più uniforme.Paginated UX with Centered Theme - ADFS now has moved to a paginated UX flow that allows ADFS to validate and provide a more smoother sign-in experience. ADFS ora usa un'interfaccia utente centrata, anziché sul lato destro dello schermo.ADFS now uses a centered UI (instead of the right side of the screen). Per allinearti a questa esperienza, potresti necessitare di un nuovo logo e di immagini di sfondo più recenti.You may require newer logo and background images to align with this experience. Questo rispecchia anche le funzionalità offerte in Azure AD.This also mirrors functionality offered in Azure AD.
  • Correzione di bug: stato SSO persistente per dispositivi Win10 quando viene eseguita l'autenticazione PRT: risolve un problema per cui lo stato dell'autenticazione MFA non è persistente quando viene usata l'autenticazione PRT per i dispositivi Windows 10.Bug fix: Persistent SSO state for Win10 devices when doing PRT auth This addresses an issue where MFA state was not persisted when using PRT authentication for Windows 10 devices. In base a questo problema gli utenti finali ricevevano spesso la richiesta di credenziali di secondo fattore (MFA).The result of the issue was that end users would get prompted for 2nd factor credential (MFA) frequently. La correzione rende l'esperienza coerente anche quando l'autenticazione del dispositivo viene eseguita correttamente tramite TLS sul client e tramite il meccanismo PRT.The fix also makes the experience consistent when device auth is successfully performed via client TLS and via PRT mechanism.

Supporto per la creazione di app line-of-business moderneSuppport for building modern line-of-business apps

È stato aggiunto ad AD FS 2019 il supporto seguente per la compilazione di app line-of-business moderne:The following support for building modern LOB apps has been added to AD FS 2019:

  • Flusso/profilo del dispositivo OAuth: AD FS supporta ora il profilo di flusso del dispositivo OAuth per eseguire gli accessi nei dispositivi che non dispongono di una superficie dell'interfaccia utente per supportare esperienze di accesso avanzate.Oauth Device flow/profile - AD FS now supports the OAuth device flow profile to perform logins on devices that do not have a UI surface area to support rich login experiences. Ciò consente all'utente di completare l'esperienza di accesso in un dispositivo diverso.This allows the user to complete the login experience on a different device. Questa funzionalità è necessaria per l'esperienza dell'interfaccia della riga di comando di Azure in Azure Stack e può essere usata in altri casi.This functionality is required for Azure CLI experience in Azure Stack and can be used in other cases.
  • Rimozione del parametro "resource" : AD FS ha ora rimosso la necessità di specificare un parametro resource in linea con le specifiche OAuth correnti.Removal of 'Resource' parameter - AD FS has now removed the requirement to specify a resource parameter which is in line with current Oauth specifications. I client possono ora specificare l'identificatore di attendibilità della relying party come parametro di ambito, oltre alle autorizzazioni richieste.Clients can now provide the Relying Party trust identifier as the scope parameter in addition to permissions requested.
  • Intestazioni CORS nelle risposte AD FS: i clienti possono ora compilare applicazioni a pagina singola che consentono alle librerie JS lato client di convalidare la firma di id_token richiedendo le chiavi di firma al documento di individuazione OIDC su AD FS.CORS headers in AD FS responses - Customers can now build Single Page Applications that allow client side JS libraries to validate the signature of the id_token by querying for the signing keys from the OIDC discovery document on AD FS.
  • Supporto di PKCE: AD FS aggiunge il supporto di PKCE per fornire un flusso di codice di autenticazione protetta in OAuth.PKCE support - AD FS adds PKCE support to provide a secure auth code flow within OAuth. In questo modo viene aggiunto un altro livello di sicurezza a questo flusso per impedire l'hijack del codice e la riproduzione da un client diverso.This adds an additional layer of security to this flow to prevent hijacking the code and replaying it from a different client.
  • Correzione di bug: invio dell'attestazione x5t e kid: questa è una correzione di bug minore.Bug fix: Send x5t and kid claim - This is a minor bug fix. AD FS ora invia anche l'attestazione "kid" per indicare l'hint ID chiave per la verifica della firma.AD FS now additionally sends the 'kid' claim to denote the key id hint for verifying the signature. Nelle versioni precedenti AD FS invia solo l'attestazione "x5t".Previously AD FS only sent this as 'x5t' claim.

Miglioramenti del supportoSupportability improvements

I miglioramenti del supporto seguenti ora fanno parte di AD FS 2019:The following supportability improvements are not part of AD FS 2019:

  • Invio dei dettagli degli errori agli amministratori di AD FS: in questo modo gli amministratori possono configurare gli utenti finali per l'invio di log di debug relativi a un errore nell'autenticazione dell'utente finale da archiviare come file compresso per facilitarne l'uso.Send error details to AD FS admins - Allows admins to configure end users to send debug logs relating to a failure in end user authentication to be stored as a zipped filed for easy consumption. Gli amministratori possono anche configurare una connessione SMTP per inviare automaticamente il file compresso a un account di posta elettronica di valutazione o per creare automaticamente un ticket basato sul messaggio di posta elettronica.Admins can also configure an SMTP connection to automail the zipped file to a triage email account or to auto create a ticket based on the email.

Aggiornamenti della distribuzioneDeployment updates

Gli aggiornamenti della distribuzione seguenti sono ora inclusi in AD FS 2019:The following deployment updates are now included in AD FS 2019:

  • Livello di comportamento della farm 2019: analogamente ad AD FS 2016, è disponibile una nuova versione di livello di comportamento della farm necessario per abilitare le nuove funzionalità descritte in precedenza.Farm Behavior Level 2019 - As with AD FS 2016, there is a new Farm Behavior Level version that is required to enable new functionality discussed above. Questo aggiornamento consente di passare da:This allows going from:
    • 2012 R2-> 20192012 R2-> 2019
    • 2016 -> 20192016 -> 2019

Aggiornamenti SAMLSAML updates

L'aggiornamento SAML seguente è incluso in AD FS 2019:The following SAML update is in AD FS 2019:

  • Correzione di bug: correzioni di bug nella federazione aggregata: sono state apportate numerose correzioni di bug per il supporto della federazione aggregata (ad esempio, InCommon).Bug fix: Fix bugs in aggregated federation - There have been numerous bug fixes around aggregated federation support (e.g. InCommon). Sono state apportate le correzioni seguenti:The fixes have been around the following:
    • Miglioramento della scalabilità per un numero elevato di entità nel documento di metadati della federazione aggregata. Nelle versioni precedenti questa operazione ha esito negativo con l'errore "ADMIN0017".Improved scaling for large # of entities in the aggregated federation metadata doc. Previously, this would fail with "ADMIN0017" error.
    • Esecuzione di query usando il parametro ScopeGroupID tramite il cmdlet PSH (PowerShell) Get-AdfsRelyingPartyTrustsGroup.Query using 'ScopeGroupID' parameter via Get-AdfsRelyingPartyTrustsGroup PSH (PowerShell) cmdlet.
    • Gestione delle condizioni di errore su valori entityID duplicati.Handling error conditions around duplicate entityID

Specifica della risorsa di tipo Azure AD nel parametro di ambitoAzure AD style resource specification in scope parameter

Nelle versioni precedenti AD FS richiede che la risorsa e l'ambito desiderati siano inclusi in un parametro separato in una richiesta di autenticazione.Previously, AD FS required the desired resource and scope to be in a separate parameter in any authentication request. Ad esempio, una richiesta OAuth tipica ha un aspetto simile al seguente: 7 https://fs.contoso.com/adfs/oauth2/authorize?
response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:
adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login
For example, a typical oauth request would look like below: 7 https://fs.contoso.com/adfs/oauth2/authorize?
response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:
adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login

Con AD FS in Windows Server 2019, ora puoi passare il valore della risorsa incorporato nel parametro relativo all'ambito (scope).With AD FS on Server 2019, you can now pass the resource value embedded in the scope parameter. Questo è coerente con il modo in cui è possibile eseguire l'autenticazione anche per Azure AD.This is consistent with how one can do authentication against Azure AD also.

Il parametro di ambito ora può essere organizzato come un elenco con valori separati da spazi in cui ogni voce è strutturata come risorsa/ambito.The scope parameter can now be organized as a space separated list where each entry is structure as resource/scope.

Nota

Nella richiesta di autenticazione è possibile specificare una sola risorsa.Only one resource can be specified in the authentication request. Se nella richiesta sono incluse più risorse, AD FS restituirà un errore e l'autenticazione avrà esito negativo.If more than one resource is included in the request, AD FS will return an error and authentication will not succeed.

Supporto di PKCE (Proof Key for Code Exchange) per OAuthProof Key for Code Exchange (PKCE) support for oAuth

I client OAuth pubblici che usano la concessione del codice di autorizzazione sono a rischio di attacco di intercettazione del codice di autorizzazione.OAuth public clients using the Authorization Code Grant are susceptible to the authorization code interception attack. L'attacco è descritto dettagliatamente in RFC 7636.The attack is well described in RFC 7636. Per l'attenuazione dell'attacco, AD FS in Windows Server 2019 supporta PKCE (Proof Key for Code Exchange) per il flusso di concessione del codice di autorizzazione OAuth.To mitigate this attack, AD FS in Server 2019 supports Proof Key for Code Exchange (PKCE) for OAuth Authorization Code Grant flow.

Per sfruttare il supporto PKCE, questa specifica aggiunge altri parametri alle richieste di token di autorizzazione e di accesso OAuth 2.0.To leverage the PKCE support, This specification adds additional parameters to the OAuth 2.0 Authorization and Access Token Requests.

Chiave di prova

A.A. Il client crea e registra un segreto denominato "code_verifier" e fa derivare una versione trasformata "t(code_verifier)" (a cui viene fatto riferimento come "code_challenge"), che viene inviata nella richiesta di autorizzazione OAuth 2.0 insieme al metodo di trasformazione "t_m".The client creates and records a secret named the "code_verifier" and derives a transformed version "t(code_verifier)" (referred to as the "code_challenge"), which is sent in the OAuth 2.0 Authorization Request along with the transformation method "t_m".

B.B. L'endpoint di autorizzazione risponde come di consueto, ma registra "t(code_verifier)" e il metodo di trasformazione.The Authorization Endpoint responds as usual but records "t(code_verifier)" and the transformation method.

C.C. Il client invia quindi il codice di autorizzazione nella richiesta del token di accesso come di consueto, ma include il segreto "code_verifier" generato nel passaggio (A).The client then sends the authorization code in the Access Token Request as usual but includes the "code_verifier" secret generated at (A).

D.D. AD FS trasforma "code_verifier" e lo confronta con "t(code_verifier)" rispetto a (B).The AD FS transforms "code_verifier" and compares it to "t(code_verifier)" from (B). L'accesso viene negato se i due valori non sono uguali.Access is denied if they are not equal.

Domande frequentiFAQ

Nota

Nei registri eventi amministrativi di ADFS puoi riscontrare questo errore: ricevuta richiesta Oauth non valida.You may encounter this error in ADFS Admin event logs: Received invalid Oauth request. Il client 'NAME' non è autorizzato ad accedere alla risorsa con ambito 'ugs'.The client 'NAME' is forbidden to access the resource with scope 'ugs'. Per correggere questo errore:To remediate this error:

  1. Avvia la console di gestione AD FS.Launch AD FS management console. Passare a "Servizi > Descrizioni ambiti".Browse to "Services > Scope Descriptions"
  2. Fai clic con il pulsante destro del mouse su "Descrizioni ambiti" e seleziona "Aggiungi descrizione ambito".Right click "Scope Descriptions" and select "Add Scope Description"
  3. In Nome digita "ugs" e fai clic su Applica > OK.Under name type "ugs" and Click Apply > OK
  4. Avviare PowerShell come amministratore.Launch PowerShell as Administrator
  5. Esegui il comando "Get-AdfsApplicationPermission".Execute the command "Get-AdfsApplicationPermission". Cerca ScopeNames :{openid, aza} con ClientRoleIdentifier.Look for the ScopeNames :{openid, aza} that has the ClientRoleIdentifier. Prendi nota del valore di ObjectIdentifier.Make a note of the ObjectIdentifier.
  6. Esegui il comando "Set-AdfsApplicationPermission -TargetIdentifier <ObjectIdentifier al passaggio 5> -AddScope 'ugs'.Execute the command "Set-AdfsApplicationPermission -TargetIdentifier <ObjectIdentifier from step 5> -AddScope 'ugs'
  7. Riavvia il servizio ADFS.Restart the ADFS service.
  8. Nel client: riavvia il client.On the client: Restart the client. All'utente deve essere richiesto di effettuare il provisioning di WHFB.User should be prompted to provision WHFB.
  9. Se la finestra di provisioning non viene visualizzata, devi raccogliere i registri di traccia NGC ed eseguire altre operazioni per la risoluzione dei problemi.If the provisioning window does not pop up then need to collect NGC trace logs and further troubleshoot.

D.Q. Posso passare il valore della risorsa come parte del valore dell'ambito nello stesso modo in cui le richieste vengono eseguite su Azure AD?Can I pass resource value as part of the scope value like how requests are done against Azure AD?
R.A. Con AD FS in Windows Server 2019, ora puoi passare il valore della risorsa incorporato nel parametro relativo all'ambito (scope).With AD FS on Server 2019, you can now pass the resource value embedded in the scope parameter. Il parametro di ambito ora può essere organizzato come un elenco con valori separati da spazi in cui ogni voce è strutturata come risorsa/ambito.The scope parameter can now be organized as a space separated list where each entry is structure as resource/scope. Ad esempio, .For example < create a valid sample request>

D.Q. AD FS supporta l'estensione PKCE?Does AD FS support PKCE extension?
R.A. AD FS in Windows Server 2019 supporta PKCE (Proof Key for Code Exchange) per il flusso di concessione del codice di autorizzazione OAuth.AD FS in Server 2019 supports Proof Key for Code Exchange (PKCE) for OAuth Authorization Code Grant flow

Novità di Active Directory Federation Services per Windows Server 2016What's new in Active Directory Federation Services for Windows Server 2016

Se si sta cercando informazioni sulle versioni precedenti di ADFS, vedere gli articoli seguenti: ADFS in Windows Server 2012 o 2012 R2 e AD FS 2.0If you are looking for information on earlier versions of AD FS, see the following articles: ADFS in Windows Server 2012 or 2012 R2 and AD FS 2.0

Active Directory Federation Services fornisce controllo di accesso e single sign-on in un'ampia gamma di applicazioni, tra cui Office 365, cloud basato su applicazioni SaaS e le applicazioni nella rete aziendale.Active Directory Federation Services provides access control and single sign on across a wide variety of applications including Office 365, cloud based SaaS applications, and applications on the corporate network.

  • Per l'organizzazione IT, consente di fornire l'accesso e controllo di accesso alle applicazioni moderne sia legacy, in locale e nel cloud, in base allo stesso set di credenziali e i criteri.For the IT organization, it enables you to provide sign on and access control to both modern and legacy applications, on premises and in the cloud, based on the same set of credentials and policies.
  • Per l'utente fornisce un accesso trasparente utilizzando le credenziali di account familiare.For the user, it provides seamless sign on using the same, familiar account credentials.
  • Per lo sviluppatore fornisce un modo semplice per autenticare gli utenti la cui identità si trovano nelle directory dell'organizzazione in modo che è possibile concentrare l'attenzione su applicazione, non l'autenticazione o identità.For the developer, it provides an easy way to authenticate users whose identities live in the organizational directory so that you can focus your efforts on your application, not authentication or identity.

In questo articolo vengono descritte le nuove in ADFS in Windows Server 2016 (AD FS 2016).This article describes what is new in AD FS in Windows Server 2016 (AD FS 2016).

Eliminare le password dalla rete ExtranetEliminate Passwords from the Extranet

AD FS 2016 consente tre nuove opzioni per l'accesso senza password, consentendo alle organizzazioni di evitare rischi di rete compromettono da phished, password persa o rubata.AD FS 2016 enables three new options for sign on without passwords, enabling organizations to avoid risk of network compromise from phished, leaked or stolen passwords.

Accedere con Azure multi-factor AuthenticationSign in with Azure Multi-factor Authentication

AD FS 2016 si basa l'autenticazione a più fattori funzionalità (MFA) di ADFS in Windows Server 2012 R2, consentendo l'accesso utilizzando solo un codice di autenticazione a più Fattori di Azure, senza prima inserire un nome utente e password.AD FS 2016 builds upon the multi-factor authentication (MFA) capabilities of AD FS in Windows Server 2012 R2 by allowing sign on using only an Azure MFA code, without first entering a username and password.

  • Con Azure multi-factor Authentication come metodo di autenticazione principale, l'utente è richiesto per il proprio nome utente e il codice OTP dall'app Azure Authenticator.With Azure MFA as the primary authentication method, the user is prompted for their username and the OTP code from the Azure Authenticator app.
  • Con Azure multi-factor Authentication come metodo di autenticazione aggiuntivi o secondari, l'utente fornisce l'autenticazione principale credenziali (tramite l'autenticazione integrata di Windows, username e password, smart card o certificato utente o dispositivo), quindi viene visualizzato un prompt dei comandi per il testo, audio o OTP basato su account di accesso di autenticazione a più Fattori di Azure.With Azure MFA as the secondary or additional authentication method, the user provides primary authentication credentials (using Windows Integrated Authentication, username and password, smart card, or user or device certificate), then sees a prompt for text, voice, or OTP based Azure MFA login.
  • Con la nuova scheda Azure MFA incorporata, il programma di installazione e configurazione per Azure MFA con ADFS non è mai stata più semplice.With the new built-in Azure MFA adapter, setup and configuration for Azure MFA with AD FS has never been simpler.
  • Le organizzazioni possono sfruttare Azure MFA senza la necessità di un server Azure multi-factor Authentication locale.Organizations can take advantage of Azure MFA without the need for an on premises Azure MFA server.
  • Autenticazione a più Fattori Azure configurabili per la rete intranet o extranet o come parte di alcun criterio di controllo di accesso.Azure MFA can be configured for intranet or extranet, or as part of any access control policy.

Per ulteriori informazioni su Azure multi-factor Authentication con ADFSFor more information about Azure MFA with AD FS

Password senza accesso da dispositivi compatibiliPassword-less Access from Compliant Devices

AD FS 2016 si basa sulle funzionalità di registrazione dei dispositivi precedenti abilitazione dell'accesso e controllo di accesso in base allo stato di conformità del dispositivo.AD FS 2016 builds on previous device registration capabilities to enable sign on and access control based the device compliance status. Gli utenti possono accedere utilizzando le credenziali di dispositivo e valutazione della conformità è nuovamente quando modificare gli attributi dei dispositivi, in modo che è possibile garantire sempre i criteri vengono applicati.Users can sign on using the device credential, and compliance is re-evaluated when device attributes change, so that you can always ensure policies are being enforced. In questo modo, ad esempio i criteriThis enables policies such as

  • Abilitare l'accesso solo da dispositivi che sono gestiti o conformiEnable Access only from devices that are managed and/or compliant
  • Abilitare l'accesso Extranet solo dai dispositivi che sono gestiti o conformiEnable Extranet Access only from devices that are managed and/or compliant
  • Richiedere l'autenticazione a più fattori per i computer che non sono gestiti o non conformeRequire multi-factor authentication for computers that are not managed or not compliant

ADFS fornisce il componente locale dei criteri di accesso condizionale in uno scenario ibrido.AD FS provides the on premises component of conditional access policies in a hybrid scenario. Quando si registrano i dispositivi con Azure AD per l'accesso condizionale alle risorse cloud, l'identità del dispositivo può essere utilizzata per nonché i criteri di ADFS.When you register devices with Azure AD for conditional access to cloud resources, the device identity can be used for AD FS policies as well.

nuove funzionalità

Per ulteriori informazioni sull'utilizzo di dispositivi basati su accesso condizionale nel cloudFor more information about using device based conditional access in the cloud

Per ulteriori informazioni sull'utilizzo di dispositivi basati su accesso condizionale con AD FSFor more information about using device based conditional access with AD FS

Eseguire l'accesso con Windows Hello for BusinessSign in with Windows Hello for Business

Nota

Attualmente, Google Chrome e i nuovi browser di progetti open source Microsoft Edge basati su Chromium non sono supportati per l'accesso Single Sign-On (SSO) basato su browser con Microsoft Windows Hello for Business.Currently, Google Chrome and the new Microsoft Edge built on Chromium open source project browsers are not supported for browser based single-sign on (SSO) with Microsoft Windows Hello for Business. Usa Internet Explorer o una versione precedente di Microsoft Edge.Please use Internet Explorer or an older version of Microsoft Edge.

I dispositivi Windows 10 introducono Windows Hello e Windows Hello for Business, sostituendo le password degli utenti con credenziali utente sicure associate ai dispositivi protette da movimenti dell'utente (un PIN, una credenziale biometrica come l'impronta digitale o il riconoscimento facciale).Windows 10 devices introduce Windows Hello and Windows Hello for Business, replacing user passwords with strong device-bound user credentials protected by a user's gesture (a PIN, a biometric gesture like fingerprint, or facial recognition). AD FS 2016 supporta queste nuove funzionalità di Windows 10 in modo che gli utenti possano accedere alle applicazioni di AD FS dalla rete Intranet o Extranet senza la necessità di fornire una password.AD FS 2016 supports these new Windows 10 capabilities so that users can sign in to AD FS applications from the intranet or the extranet without the need to provide a password.

Per ulteriori informazioni sull'utilizzo di Microsoft Windows Hello for Business dell'organizzazioneFor more information about using Microsoft Windows Hello for Business in your organization

Accesso sicuro alle applicazioniSecure Access to Applications

Autenticazione modernaModern Authentication

AD FS 2016 supporta i protocolli moderni più recenti che forniscono una migliore esperienza utente per Windows 10, nonché i più recenti e i dispositivi Android App iOS e.AD FS 2016 supports the latest modern protocols that provide a better user experience for Windows 10 as well as the latest iOS and Android devices and apps.

Per ulteriori informazioni vedere AD FS scenari per gli sviluppatoriFor more information see AD FS Scenarios for Developers

Configurare criteri di controllo di accesso senza conoscere language regole attestazioneConfigure access control policies without having to know claim rules language

Gli amministratori di ADFS era necessario configurare i criteri mediante il linguaggio di regola attestazione AD FS, rendendo difficile configurare e gestire i criteri.Previously, AD FS administrators had to configure policies using the AD FS claim rule language, making it difficult to configure and maintain policies. Con i criteri di controllo di accesso, gli amministratori possono utilizzare i modelli incorporati per applicare i criteri comuni, ad esempioWith access control policies, administrators can use built in templates to apply common policies such as

  • Consentire solo l'accesso intranetPermit intranet access only
  • Consenti tutti gli utenti e richiedere l'autenticazione a più Fattori dalla rete ExtranetPermit everyone and require MFA from Extranet
  • Consenti tutti gli utenti e richiedere l'autenticazione a più Fattori da un gruppo specificoPermit everyone and require MFA from a specific group

I modelli sono facili da personalizzare mediante una procedura guidata basato su processo per aggiungere le eccezioni o le regole di criteri aggiuntive e possono essere applicati a una o più applicazioni per l'applicazione coerente dei criteri.The templates are easy to customize using a wizard driven process to add exceptions or additional policy rules and can be applied to one or many applications for consistent policy enforcement.

Per ulteriori informazioni vedere criteri di controllo di accesso in ADFS.For more information see Access control policies in AD FS.

Abilitazione dell'accesso con le directory LDAP non Active DirectoryEnable sign on with non-AD LDAP directories

Molte organizzazioni utilizzano una combinazione di Active Directory e le directory di terze parti.Many organizations have a combination of Active Directory and third-party directories. Con l'aggiunta del supporto di ADFS per l'autenticazione degli utenti memorizzati nelle directory v3 conforme a LDAP, è ora possibile utilizzare ADFS per:With the addition of AD FS support for authenticating users stored in LDAP v3-compliant directories, AD FS can now be used for:

  • Utenti di terze parti, directory compatibili LDAP v3Users in third party, LDAP v3 compliant directories
  • Utenti di foreste di Active Directory a cui non è configurato un trust bidirezionale con Active DirectoryUsers in Active Directory forests to which an Active Directory two-way trust is not configured
  • Utenti in Active Directory Lightweight Directory Services (AD LDS)Users in Active Directory Lightweight Directory Services (AD LDS)

Per ulteriori informazioni vedere Configura ADFS per l'autenticazione degli utenti memorizzati nelle directory LDAP.For more information see Configure AD FS to authenticate users stored in LDAP directories.

Migliore esperienza di accessoBetter Sign-in experience

Personalizzare l'esperienza per le applicazioni di ADFS di accessoCustomize sign in experience for AD FS applications

Sono state formulate da parte dell'utente che la possibilità di personalizzare l'esperienza di accesso per ogni applicazione sarebbe un miglioramento di uso, soprattutto per le organizzazioni che fornire l'accesso per le applicazioni che rappresentano più diverse aziende o i marchi.We heard from you that the ability to customize the logon experience for each application would be a great usability improvement, especially for organizations who provide sign on for applications that represent multiple different companies or brands.

In precedenza, ADFS in Windows Server 2012 R2 fornito un'accesso più comune sull'esperienza per tutte le applicazioni relying party, con la possibilità di personalizzare un sottoinsieme del testo basato su contenuto per ogni applicazione.Previously, AD FS in Windows Server 2012 R2 provided a common sign on experience for all relying party applications, with the ability to customize a subset of text based content per application. Con Windows Server 2016, è possibile personalizzare non solo messaggi, ma le immagini, web e logo tema per ogni applicazione.With Windows Server 2016, you can customize not only the messages, but images, logo and web theme per application. Inoltre, è possibile creare nuovi temi web personalizzati e applicarli al relying party.Additionally, you can create new, custom web themes and apply these per relying party.

Per ulteriori informazioni vedere personalizzazione di accesso utente AD FS.For more information see AD FS user sign-in customization.

Facilità di gestione e operativi miglioramentiManageability and Operational Enhancements

Nella sezione seguente descrive gli scenari operativi migliorati introdotte con Active Directory Federation Services in Windows Server 2016.The following section describes the improved operational scenarios that are introduced with Active Directory Federation Services in Windows Server 2016.

Il controllo di semplice gestione amministrativa semplificataStreamlined auditing for easier administrative management

In AD FS per Windows Server 2012 R2 sono stati generati per una singola richiesta e le informazioni relative a un registro in numerosi eventi di controllo o attività di rilascio dei token è assente (in alcune versioni di AD FS) o suddiviso in più eventi di controllo.In AD FS for Windows Server 2012 R2 there were numerous audit events generated for a single request and the relevant information about a log-in or token issuance activity is either absent (in some versions of AD FS) or spread across multiple audit events. Per impostazione predefinita, ADFS gli eventi di controllo sono disattivati per loro natura dettagliato.By default the AD FS audit events are turned off due to their verbose nature. Con il rilascio di AD FS 2016, il controllo è diventato più semplice e meno dettagliato.With the release of AD FS 2016, auditing has become more streamlined and less verbose.

Per ulteriori informazioni vedere miglioramenti relativi ad ADFS in Windows Server 2016 al controllo.For more information see Auditing enhancements to AD FS in Windows Server 2016.

Migliorare l'interoperabilità con SAML 2.0 per la partecipazione a confederationsImproved interoperability with SAML 2.0 for participation in confederations

AD FS 2016 contiene supporto del protocollo SAML aggiuntivo, incluso il supporto per l'importazione di relazioni di trust in base ai metadati che contiene più entità.AD FS 2016 contains additional SAML protocol support, including support for importing trusts based on metadata that contains multiple entities. Ciò consente di configurare ADFS per partecipare confederations come Federation InCommon e altre implementazioni conformi al eGov 2.0 standard.This enables you to configure AD FS to participate in confederations such as InCommon Federation and other implementations conforming to the eGov 2.0 standard.

Per ulteriori informazioni vedere migliorato l'interoperabilità con SAML 2.0.For more information see Improved interoperability with SAML 2.0.

Gestione delle password semplificata per utenti di Office 365 federatiSimplified password management for federated O365 users

È possibile configurare Active Directory Federation Services (ADFS) per inviare le attestazioni di scadenza password per l'attendibilità della relying party (applicazioni) che sono protetti da ADFS.You can configure Active Directory Federation Services (AD FS) to send password expiry claims to the relying party trusts (applications) that are protected by AD FS. Utilizzo di tali attestazioni dipende dall'applicazione.How these claims are used depends on the application. Ad esempio, con Office 365 come la relying party, gli aggiornamenti sono stati implementati a Exchange e Outlook per notificare agli utenti federati delle password appena-a--scaduto.For example, with Office 365 as your relying party, updates have been implemented to Exchange and Outlook to notify federated users of their soon-to-be-expired passwords.

Per ulteriori informazioni vedere configurare ADFS per l'invio attestazioni scadenza password.For more information see Configure AD FS to send password expiry claims.

Lo spostamento da ADFS in Windows Server 2012 R2 ad ADFS in Windows Server 2016 è più sempliceMoving from AD FS in Windows Server 2012 R2 to AD FS in Windows Server 2016 is easier

In precedenza, la migrazione a una nuova versione di ADFS, è necessario esportazione configurazione dalla farm precedente e l'importazione in una farm completamente nuova e parallelo.Previously, migrating to a new version of AD FS required exporting configuration from the old farm and importing to a brand new, parallel farm.

A questo punto, lo spostamento da ADFS in Windows Server 2012 R2 ad ADFS in Windows Server 2016 è diventato molto più semplice.Now, moving from AD FS on Windows Server 2012 R2 to AD FS on Windows Server 2016 has become much easier. È sufficiente aggiungere un nuovo server di Windows Server 2016 a una farm di Windows Server 2012 R2 e che la farm fungono a livello di comportamento di farm di Windows Server 2012 R2, quindi esegue la ricerca e si comporta come una farm di Windows Server 2012 R2.Simply add a new Windows Server 2016 server to a Windows Server 2012 R2 farm, and the farm will act at the Windows Server 2012 R2 farm behavior level, so it looks and behaves just like a Windows Server 2012 R2 farm.

Quindi, aggiungere nuovi server di Windows Server 2016 alla farm, verificare la funzionalità e rimuovere i server meno recenti dal bilanciamento del carico.Then, add new Windows Server 2016 servers to the farm, verify the functionality and remove the older servers from the load balancer. Quando tutti i nodi della farm sono in esecuzione Windows Server 2016, si è pronti per l'aggiornamento al livello di comportamento farm 2016 e iniziare a utilizzare le nuove funzionalità.Once all farm nodes are running Windows Server 2016, you are ready to upgrade the farm behavior level to 2016 and begin using the new features.

Per ulteriori informazioni vedere l'aggiornamento a AD FS in Windows Server 2016.For more information see Upgrading to AD FS in Windows Server 2016.