識別您的 AD FS 部署目標

正確識別您的 Active Directory 同盟服務 (AD FS) 部署目標對於 AD FS 設計專案的成功是不可或缺的。 將您的部署目標設定為優先順序,也可能會結合您的部署目標,讓您可以使用反復的方法來設計和部署 AD FS。 您可以利用與 AD FS 設計相關的現有、記載和預先定義 AD FS 部署目標,並針對您的情況開發可行的解決方案。

先前的 AD FS 版本最常部署,以達成下列目的:

  • 當您的員工或客戶在您的企業中存取宣告式應用程式時,提供他們 Web 式 SSO 的體驗。

  • 當您的員工或客戶在任何同盟協力廠商組織中存取資源時,提供他們 Web 式 SSO 的體驗。

  • 當您的員工或客戶遠端存取內部主控的網站或服務時,提供他們 Web 式 SSO 的體驗。

  • 當您的員工或客戶存取雲端中的資源或服務時,提供他們 Web 式 SSO 的體驗。

除此之外,Windows Server 2012 R2 中的 AD FS 也 ® 加入了可協助您達成下列目標的功能:

  • 針對 SSO 加入裝置工作地點和無縫式次要因素驗證。 這可讓組織允許從使用者的個人裝置存取,並在提供此存取權時管理風險。

  • 使用多因素存取控制管理風險。 AD FS 提供豐富層級的授權,控制誰可以存取哪些應用程式。 這可以根據使用者屬性 (UPN、電子郵件、安全性群組成員資格、驗證強度等等)、裝置屬性 (無論裝置是否加入工作地點) 或要求屬性 (網路位置、IP 位址或使用者代理程式)。

  • 透過其他多因素驗證管理機密應用程式的風險。 AD FS 可讓您控制原則,以在全域或依每個應用程式要求多重要素驗證。 此外,AD FS 為任何多因素廠商提供擴充點,針對使用者安全、順暢的多因素體驗進行深度整合。

  • 提供驗證和授權功能,以從 Web 應用程式 Proxy 所保護的外部網路存取 web 資源。

總而言之,您可以在 Windows Server 2012 R2 中部署 AD FS,以在您的組織中達成下列目標:

讓您的使用者可以從任何地方存取其個人裝置上的資源

  • 工作地點加入可以讓使用者將其個人裝置加入公司 Active Directory,因而在從這些裝置存取公司資源時獲得存取權和順暢的體驗。

  • 預先驗證 Web 應用程式 Proxy 保護的公司網路內部的資源,以及從網際網路存取。

  • 密碼變更可以讓使用者在密碼到期時從已加入工作地點的任何裝置變更其密碼,以便能夠繼續存取資源。

增強您的存取控制風險管理工具

管理風險是每個 IT 組織中監管和法務遵循的重要層面。 Windows Server 2012 R2 的 AD FS 有許多存取控制風險管理增強功能 ® ,包括下列各項:

  • 在使用者存取受 AD FS 保護的應用程式時,依據網路位置管理使用者驗證方式的彈性化控制項。

  • 根據使用者的資料、裝置資料及網路位置判斷使用者是否需要執行多重要素驗證的彈性原則。

  • 忽略 SSO 並強制使用者在每次存取機密的應用程式時提供認證的針對應用程式控制項。

  • 以使用者資料、裝置資料或網路位置為依據的彈性化針對應用程式存取原則。

  • 可讓系統管理員保護 Active Directory 帳戶避免受到來自網際網路之暴力密碼破解攻擊的 AD FS 外部網路鎖定。

  • Active Directory 中已停用或已刪除之已加入工作地點裝置的存取權撤銷。

使用 AD FS 強化登入體驗

以下是 Windows Server 2012 R2 中的新 AD FS 功能 ® ,可讓系統管理員自訂和強化登入體驗:

  • 整合 AD FS 服務的自訂,只要進行一次變更,然後就會自動傳播到指定伺服器陣列中其餘的 AD FS 同盟伺服器。

  • 更新的登入頁面,外觀呈現現代化並且自動迎合不同的板型規格。

  • 支援針對未加入公司網域但仍然使用以從公司網路 (內部網路) 內產生存取要求的裝置,自動遞補表單型驗證。

  • 簡單的控制項,以自訂公司標誌、繪圖影像、IT 支援、首頁、隱私權的標準連結等等。

  • 登入頁面中描述訊息的自訂。

  • Web 佈景主題的自訂。

  • 主領域探索 (根據使用者的組織尾碼來 HRD) ,以增強公司合作夥伴的隱私權。

  • HRD 會以每個應用程式為基礎進行篩選,根據應用程式自動挑選領域。

  • 讓 IT 疑難排解更容易的單鍵錯誤報告。

  • 可自訂錯誤訊息。

  • 有一個以上的驗證提供者可用時的使用者驗證選項。

另請參閱

Windows Server 2012 R2 中的 AD FS 設計指南