Настройка сторонних поставщиков проверки подлинности в качестве основной проверки подлинности в AD FS 2019

В организациях возникают атаки, которые пытаются выполнить метод подбора, компрометацию или блокировку учетных записей пользователей путем отправки запросов проверки подлинности на основе пароля. Чтобы защитить организации от компрометации, AD FS представила такие возможности, как блокировка экстрасети "smart" и блокировка НА основе IP-адресов.

Однако эти способы устранения рисков реактивны. Чтобы обеспечить упреждающий способ, чтобы снизить серьезность этих атак, AD FS может запрашивать другие факторы перед сбором пароля.

Например, AD FS 2016 представила многофакторную проверку подлинности Microsoft Entra в качестве основной проверки подлинности, чтобы коды OTP из приложения Authenticator могли использоваться в качестве первого фактора. Начиная с AD FS 2019 можно настроить внешние поставщики проверки подлинности в качестве основных факторов проверки подлинности.

Существует два ключевых сценария, которые позволяют:

Сценарий 1. Защита пароля

Защита входа на основе паролей от атак подбора и блокировки путем запроса дополнительного внешнего фактора в первую очередь. Запрос пароля отображается только при успешном завершении внешней проверки подлинности. Это устраняет удобный способ того, как злоумышленники пытались скомпрометировать или отключить учетные записи.

Этот сценарий состоит из двух компонентов:

  • Запрос на многофакторную проверку подлинности Microsoft Entra (доступен в AD FS 2016) или внешний фактор проверки подлинности в качестве первичной проверки подлинности
  • Имя пользователя и пароль в качестве дополнительной проверки подлинности в AD FS

Сценарий 2. Бесплатный пароль

Полностью исключить пароли, но выполнить надежную многофакторную проверку подлинности с помощью методов, не основанных на паролях, в AD FS

  • Многофакторная проверка подлинности Microsoft Entra с приложением Authenticator
  • Windows 10 Hello для бизнеса
  • Проверка подлинности на основе сертификата
  • Внешние поставщики проверки подлинности

Основные понятия

Что действительно означает первичная проверка подлинности , это метод, который пользователь запрашивает в первую очередь до дополнительных факторов. Ранее единственными основными методами, доступными в AD FS, были созданы методы для многофакторной проверки подлинности Active Directory или Microsoft Entra или других хранилищ проверки подлинности LDAP. Внешние методы можно настроить как дополнительную проверку подлинности, которая происходит после успешного завершения первичной проверки подлинности.

В AD FS 2019 внешняя проверка подлинности в качестве основной возможности означает, что все внешние поставщики проверки подлинности, зарегистрированные в ферме AD FS (с помощью Register-AdfsAuthenticationProvider), становятся доступными для первичной проверки подлинности и дополнительной проверки подлинности. Они могут быть включены так же, как встроенные поставщики, такие как проверка подлинности форм и проверка подлинности сертификатов, для использования интрасети и (или) экстрасети.

authentication

После включения внешнего поставщика для экстрасети, интрасети или обоих он становится доступным для пользователей. Если включено несколько методов, пользователи видят страницу выбора и смогут выбрать основной метод так же, как и для дополнительной проверки подлинности.

Необходимые компоненты

Перед настройкой внешних поставщиков проверки подлинности в качестве основного убедитесь, что у вас есть следующие предварительные требования.

  • Уровень поведения фермы AD FS (FBL) был повышен до "4" (это значение преобразуется в AD FS 2019.)
    • Это значение FBL по умолчанию для новых ферм AD FS 2019.
    • Для ферм AD FS на основе Windows Server 2012 R2 или 2016 можно создать FBL с помощью командной строки PowerShell Invoke-AdfsFarmBehaviorLevelRaise. Дополнительные сведения об обновлении фермы AD FS см. в статье об обновлении фермы SQL или ферм WID.
    • Можно проверка значение FBL с помощью командлета Get-AdfsFarmInformation.
  • Ферма AD FS 2019 настроена для использования новых страниц пользователей с разбивкой на страницы на страницы с разбивкой на страницы.
    • Это поведение по умолчанию для новых ферм AD FS 2019.
    • Для ферм AD FS, обновленных с Windows Server 2012 R2 или 2016, потоки с разбивкой на страницы включены автоматически, когда внешняя проверка подлинности в качестве основной (функции, описанной в этом документе) включена, как описано в следующем разделе этой статьи.

Включение внешних методов проверки подлинности в качестве основного

После проверки необходимых компонентов можно настроить дополнительные поставщики проверки подлинности AD FS в качестве основного: PowerShell или консоли управления AD FS.

Использование PowerShell

PS C:\> Set-AdfsGlobalAuthenticationPolicy -AllowAdditionalAuthenticationAsPrimary $true

Служба AD FS должна быть перезапущена после включения или отключения дополнительной проверки подлинности в качестве основной.

Использование консоли управления AD FS

В консоли управления AD FS в разделе "Методы проверки подлинности службы"> в разделе "Основные методы проверки подлинности" выберите "Изменить"

Выберите проверка box для разрешения дополнительных поставщиков проверки подлинности в качестве основного.

Служба AD FS должна быть перезапущена после включения или отключения дополнительной проверки подлинности в качестве основной.

Включение имени пользователя и пароля в качестве дополнительной проверки подлинности

Чтобы завершить сценарий защиты пароля, включите имя пользователя и пароль в качестве дополнительной проверки подлинности с помощью PowerShell или консоли управления AD FS. Примеры приведены для обоих методов.

Включение имени пользователя и пароля в качестве дополнительной проверки подлинности с помощью PowerShell

PS C:\> $providers = (Get-AdfsGlobalAuthenticationPolicy).AdditionalAuthenticationProvider

PS C:\>$providers = $providers + "FormsAuthentication"

PS C:\>Set-AdfsGlobalAuthenticationPolicy -AdditionalAuthenticationProvider $providers

Включение имени пользователя и пароля в качестве дополнительной проверки подлинности с помощью консоли управления AD FS

В консоли управления AD FS в разделе "Методы проверки подлинности"> в разделе "Дополнительные методы проверки подлинности" выберите "Изменить"

Выберите поле проверка для проверки подлинности форм, чтобы включить имя пользователя и пароль в качестве дополнительной проверки подлинности.