Configurare provider di autenticazione di terze parti come autenticazione primaria in AD FS 2019

  • Articolo

Le organizzazioni riscontrano attacchi che tentano di forzare, compromettere o bloccare gli account utente inviando richieste di autenticazione basate su password. Per proteggere le organizzazioni dalla compromissione, AD FS ha introdotto funzionalità come il blocco intelligente extranet e il blocco basato sugli indirizzi IP.

Tuttavia, queste mitigazioni sono reattive. Per ridurre in modo proattivo la gravità di questi attacchi, AD FS offre la possibilità di richiedere altri fattori prima di raccogliere la password.

Ad esempio, AD FS 2016 ha introdotto l'autenticazione a più fattori Microsoft Entra come autenticazione primaria in modo che i codici OTP dell'app Authenticator possano essere usati come primo fattore. A partire da AD FS 2019 è possibile configurare provider di autenticazione esterni come fattori di autenticazione principali.

Esistono due scenari chiave che consentono di farlo:

Scenario 1: proteggere la password

Proteggere l'accesso basato su password da attacchi di forza bruta e blocchi richiedendo prima un fattore esterno aggiuntivo. Una richiesta di password viene visualizzata solo quando l'autenticazione esterna viene completata correttamente. In questo modo si elimina una possibilità per gli utenti malintenzionati di tentare di compromettere o disabilitare gli account.

Questo scenario è costituito da due componenti:

  • Richiesta di autenticazione a più fattori Di Microsoft Entra (disponibile in AD FS 2016 e versioni successive) o di un fattore di autenticazione esterno come autenticazione primaria
  • Nome utente e password come autenticazione aggiuntiva in AD FS

Scenario 2: senza password

Eliminare completamente le password, ma completare un'autenticazione a più fattori avanzata usando metodi completamente non basati su password in AD FS

  • Autenticazione a più fattori Microsoft Entra con l'app Authenticator
  • Windows 10 Hello for Business
  • Autenticazione del certificato
  • Provider di autenticazione esterni

Concetti

Autenticazione primaria significa che è il metodo richiesto dall'utente per primo, prima di fattori aggiuntivi. In precedenza, gli unici metodi principali disponibili in AD FS sono stati compilati in metodi per l'autenticazione a più fattori di Active Directory o Microsoft Entra o altri archivi di autenticazione LDAP. È possibile configurare metodi esterni come l'"autenticazione aggiuntiva", che viene eseguita dopo il completamento dell'autenticazione primaria.

In AD FS 2019, l'autenticazione esterna come funzionalità primaria significa che tutti i provider di autenticazione esterni registrati nella farm AD FS (usando Register-AdfsAuthenticationProvider) diventano disponibili per l'autenticazione primaria e l'"autenticazione aggiuntiva". Possono essere abilitati allo stesso modo dei provider predefiniti, come l'autenticazione basata su form e l'autenticazione del certificato, per l'uso intranet e/o extranet.

authentication

Quando un provider esterno è abilitato per Extranet, Intranet o entrambi, diventa disponibile per l'uso da parte degli utenti. Se sono abilitati più metodi, gli utenti visualizzano una pagina di scelta e possono scegliere un metodo primario, proprio come per l'autenticazione aggiuntiva.

Prerequisiti

Prima di configurare provider di autenticazione esterni come primario, assicurarsi di disporre dei prerequisiti seguenti.

  • Il livello di comportamento della farm AD FS (FBL) è stato elevato a '4' (questo valore si traduce in AD FS 2019).
    • Si tratta del valore FBL predefinito per le nuove farm AD FS 2019.
    • Per le farm AD FS basate su Windows Server 2012 R2 o 2016, FBL può essere generato tramite il commandlet PowerShell Invoke-AdfsFarmBehaviorLevelRaise. Per altre informazioni sull'aggiornamento di una farm AD FS, vedere l'articolo sull'aggiornamento della farm per farm SQL o farm WID
    • È possibile controllare il valore FBL usando il cmdlet Get-AdfsFarmInformation.
  • La farm AD FS 2019 è configurata per l'utilizzo delle nuove pagine utente "impaginate" del 2019.
    • Si tratta del comportamento predefinito per le nuove farm AD FS 2019.
    • Per le farm AD FS aggiornate da Windows Server 2012 R2 o 2016, i flussi impaginati vengono abilitati automaticamente quando l'autenticazione esterna come primaria (la funzionalità descritta in questo documento) è abilitata come descritto nella sezione successiva di questo articolo.

Abilitare i metodi di autenticazione esterni come primari

Dopo aver verificato i prerequisiti, esistono due modi per configurare provider di autenticazione aggiuntivi di AD FS come primario: PowerShell o la console di gestione di AD FS.

Utilizzo di PowerShell

PS C:\> Set-AdfsGlobalAuthenticationPolicy -AllowAdditionalAuthenticationAsPrimary $true

Il servizio AD FS deve essere riavviato dopo aver abilitato o disabilitato l'autenticazione aggiuntiva come primaria.

Uso della console di gestione di AD FS

Nella console di gestione di AD FS, in Servizi ->Metodi di autenticazione, in Metodi di autenticazione primariaselezionare Modifica

Selezionare la casella di controllo per Consenti provider di autenticazione aggiuntivi come primari.

Il servizio AD FS deve essere riavviato dopo aver abilitato o disabilitato l'autenticazione aggiuntiva come primaria.

Abilitare nome utente e password come autenticazione aggiuntiva

Per completare lo scenario di "protezione della password", abilitare nome utente e password come autenticazione aggiuntiva usando PowerShell o la console di gestione di AD FS. Sono disponibili esempi per entrambi i metodi.

Abilitare nome utente e password come autenticazione aggiuntiva usando PowerShell

PS C:\> $providers = (Get-AdfsGlobalAuthenticationPolicy).AdditionalAuthenticationProvider

PS C:\>$providers = $providers + "FormsAuthentication"

PS C:\>Set-AdfsGlobalAuthenticationPolicy -AdditionalAuthenticationProvider $providers

Abilitare nome utente e password come autenticazione aggiuntiva usando la console di gestione di AD FS

Nella console di gestione di AD FS, in Servizi ->Metodi di autenticazione, in Metodi di autenticazione aggiuntiviselezionare Modifica

Selezionare la casella di controllo Autenticazione basata su form per abilitare nome utente e password come autenticazione aggiuntiva.