AD FS(聯合身份驗證)是一種身份訪問解決方案,即使用戶帳戶和應用程式位於完全不同的網絡或組織中,它也可以為客戶端計算機(網路內部或外部)提供對受保護的面向Internet的應用程式或服務的SSO訪問(單點訪問)。
Azure Active Directory (Azure AD) 提供通用身分識別平臺,可讓您的人員、合作夥伴和客戶擁有單一身分識別,以存取應用程式,並從任何平臺和裝置共同作業。 Azure AD 有一 套完整的身分識別管理功能。 將應用程式的 (應用程式) 驗證和授權標準化,Azure AD 可提供這些功能所提供的優點。
AD FS可在內部部署主控,但如果是當中有些組件實作在 Azure 中的混合式應用程式,在雲端中複寫 AD FS可能會更有效率。
Azure AD 的適用對象是:
► IT 系統管理員。身為 IT 系統管理員,您可以使用 Azure AD,根據業務需求來控制應用程式和應用程式資源的存取權。 例如,您可以使用 Azure AD,來要求在存取組織的重要資源時必須進行多重要素驗證。 此外,您也可以使用 Azure AD,自動地在現有 Windows Server AD 和雲端應用程式 (包括 Microsoft 365) 之間佈建使用者。 最後,Azure AD 可提供功能強大的工具,以便自動地協助保護使用者的身分識別和認證,以及符合存取治理需求。 若要開始作業,請與我們聯繫。
► 應用程式開發人員。身為應用程式開發人員,您可以使用 Azure AD 作為標準方法,將單一登入(SSO) 新增至應用程式,讓它與使用者預先存在的認證搭配運作。 Azure AD 也會提供 API,來協助您建置會使用現有組織資料的個人化應用程式體驗。
► Microsoft 365、Office 365、Azure 或 Dynamics CRM Online 訂閱者。身為訂閱者,您早已在使用Azure AD。 每個 Microsoft 365、Office365、Azure 和 Dynamics CRM Online 租用戶都會自動成為Azure AD 租用戶。 您立即就可以開始管理整合式雲端應用程式的存取權。
將 AD DS延伸至 Azure
► AD DS子網路。AD DS伺服器會包含在自己的子網路中,且會將網路安全性群組 (NSG) 規則作為防火牆。
► AD DS伺服器。在 Azure 中作為 VM 執行的網域控制站。 這些伺服器會提供網域內本機識別身分的驗證。
► AD FS子網路。AD FS伺服器都位於自己的子網路內,且將 NSG 規則作為防火牆。
► AD FS的伺服器。AD FS伺服器會提供同盟授權和驗證。 在此架構中,他們會執行下列工作:
✧ 接收安全性權杖,當中包含由代表夥伴使用者之夥伴同盟伺服器進行的宣告。AD FS會先驗證權杖為有效後,才能將宣告傳遞至 Azure 中執行的 web 應用程式來授權要求。
在 Azure 中執行的應用程式是「信賴憑證者」。 夥伴同盟伺服器必須發出 web 應用程式可解讀的宣告。 夥伴同盟伺服器稱為帳戶夥伴,因為它們會代表夥伴組織中的驗證帳戶提交存取要求。 AD FS伺服器稱為資源夥伴,因為它們提供資源 (web 應用程式) 的存取權。
✧ 驗證並授權來自執行網頁瀏覽器或裝置 (需要 web 應用程式的存取權) 之外部使用者的內送要求,方法是使用 AD DS和Active Directory 裝置註冊服務。
AD FS伺服器會設定為透過 Azure 負載平衡器存取的伺服器陣列。 這個實作能改善可用性和延展性。AD FS伺服器不會直接向網際網路公開。 所有網際網路流量都會透過AD FS web 應用程式proxy 伺服器和 DMZ (也稱為周邊網路) 進行篩選。
► AD FS proxy 子網路。AD FS proxy 伺服器可以包含在自己的子網路內,且 NSG 規則會提供保護。此子網路中的伺服器會透過一組可在 Azure 虛擬網路與網際網路之間提供防火牆的網路虛擬設備,向網路虛擬公開。
► AD FS Web 應用程式 proxy (WAP) 伺服器。這些 VM 會作為 AD FS 伺服器,接收來自夥伴組織和外部裝置的內送要求。 WAP 伺服器會作為篩選條件,保護來自網際網路的直接存取 AD FS伺服器。 如同 AD FS伺服器,在伺服器陣列中使用負載平衡部署 WAP 伺服器,可為您提供比部署獨立伺服器的集合更高的可用性和延展性。
► 夥伴組織。執行 web 應用程式的夥伴組織要求存取 Azure 中執行的 web 應用程式。 夥伴組織中的同盟伺服器會在本機驗證要求,並提交安全性權杖,當中包含對 Azure 中執行的 AD FS之宣告。 在 Azure 中的 AD FS會驗證安全性權杖,且如果有效,就可將宣告傳遞至 Azure 中執行的 web 應用程式來授權它們。
AD FS 2019 中提供的受保護登入:
► 以外部驗證提供者作為主要因素– 客戶現在可以使用第三方驗證產品作為第一個因素,而不將密碼公開為第一個因素。 在外部驗證提供者可以證明雙因素的情況下,即可宣告 MFA。
► 以密碼驗證作為額外的驗證– 客戶具有受到完整支援的預設選項,可在使用無密碼的選項作為第一個因素之後,才使用密碼作為額外的因素。 這可改善客戶使用ADFS 2016 的體驗;過去,客戶必須下載依現狀支援的 github 配接器。
► 可插式風險評估模組– 客戶現在可以建立自己的外掛程式模組,以在預先驗證階段封鎖特定類型的要求。 這可讓客戶更輕鬆地使用身分識別保護之類的雲端智慧來封鎖風險性使用者的登入或有風險的交易。 如需詳細資訊,請參閱使用AD FS 2019 風險評估模型建置外掛程式
►ESL 改進– 藉由新增下列功能改善2016 中的 ESL QFE
✧ 可讓客戶處於稽核模式,同時受到ADFS 2012R2 之後提供的「傳統」外部網路鎖定功能的保護。目前的 2016 客戶在稽核模式下不受保護。
✧ 針對熟悉的位置啟用獨立的鎖定閾值。如此,使用共同服務帳戶執行的多個應用程式執行個體,就能在最少的影響下變換密碼。
Comments are closed, but trackbacks and pingbacks are open.