Nowe funkcjonalności ADFS i uwierzytelnianie Piotr Potocki Starszy Inżynier Systemowy APN Promise S.A.
Agenda Active Directory Federation Services Instalacja na co zwrócić uwagę Application Groups & Access Control Policies Azure Multi-factor authentication Migracja ADFS
Active Directory Federation Services
Azure AD Connect Self-service Single sign on Windows Server Active Directory Other Directories Username Azure Public cloud SaaS Office 365 On-premises Microsoft Azure Active Directory Cloud
ADFS 1.0 - Windows Server 2003 R2 (additional download) ADFS 1.1 - Windows Server 2008/2008 R2 ADFS 2.0 - Windows Server 2008/2008 R2 (download from Microsoft.com) ADFS 2.1 - Windows Server 2012 ADFS 3.0 - Windows Server 2012 R2 ADFS 4.0 - Windows Server 2016
Azure AD logins Azure AD Authentication - Unique Users 6,5% ADFS authentications ~48M/mc Wykorzystanie w 94% przez rozwiązania Microsoft 47,8% 28,2% 17,5% Cloud Only Password Sync AD FS Other 3rd parties @Ignite 2016
Instalacja krok 1 Instalacja i konfiguracja roli ADFS na Windows Server 2016 Środowisko domenowe Web Application Proxy Workgroup lub Domain Join DNS -> Public i Internal: sts.apn365demo.pl" Loadbalancer
Certyfikat i porty krok 2 ADFS 4.0 : SSL Communication, Token Signin, Token Decryption DNS Name=sts.apn365demo.pl --> Service Communication (NEW) DNS Name=certauth. apn365demo.pl --> - Jeden host (sts.apn365demo.pl) dwa porty(443, 49443) - Dwa hosty (sts.apn365demo.pl i certauth.apn365demo.pl) - jeden port (443). Polityka firmy zabrania używania portu 49443
Instalacja krok 3 Konwersja domeny Office 365 do Single Sign-on - Dodanie konta usługi do grupy Administrators - Microsoft Online Services Sign-in Assistant - PowerShell Module Microsoft Azure Active Directory Module - Connect-MsolService ADFS Primary Server to Office 365 - Przekształcenie Domeny Manage do Federated
o Instalacja WAP Server Instalacja krok 4 owindows Server 2016 - Workgroup lub Domain - Perimeter network o Import certyfikatu sts.apn365demo.pl o Komunikacja WAP ADFS Server (443) o DNS lub Hosts o Instalacja Web-Application-Proxy o Dodanie Web-Application-Proxy do istniejącej farmy ADFS
Po instalacji Azure MFA dostępne po konfiguracji Azure Active Directory Device Authentication jako podstawowa metoda pod warunkiem skonfigurowania Device Registration
Testowanie https://sts.apn365demo.pl/federationmetadata/2007-06/federationmetadata.xml
https://login.microsoftonline.com/ https://sts.apn365demo.pl/adfs/ls/
Nowości o Azure MFA o Brak hasła dla strefy Extranet Windows Hello o Application Groups o Access Control Policies o Azure MFA as Primary sign on
Azure MFA o Logowanie kodem aplikacją rozmową telefoniczną o Nie jest wymagany serwer MFA on premises o AAD/O365
Sign in with Windows Hello for Business Windows Hello for Business konfiguracja przez Group Policy lub MDM policy key-based, certificate-based, TPM authentication PIN, gest lub odcisk palca Hello pozwala na logowanie użytkownikom kont: o Microsoft o Active Directory account. o Microsoft Azure Active Directory (Azure AD
Application Groups 2012 R2 Add-AdfsClient, Add-AdfsRelyingPartyTrust 2016 Add Application Group Provision applications multi-hop modern flows
Access Control Policies Dostosowane ustawienia polityk dla wielu aplikacji Dostępne z pudełka lub stworzone prze administratora Warunki Security Groups Networks (inside, outside, IP range) Device Trust Level (Authenticated, Managed, Compliant) Require MFA
Single sign on Wszystko konfigurowalne (Set-AdfsProperties) bez ograniczeń Ustawienia domyśle Authenticated devices SSO - 90 dni pod warunkiem używania co najmniej raz na 14 dni DeviceUsageWindowInDays : 14 PersistentSsoLifetimeMins : 129600 (90 days) User consented SSO via Keep Me Signed In (KMSI) for other devices KmsiLifetimeMins : 1440 (24 hours) NEW: No upper limit on KmsiLifetimeMins (formerly limited to 7 days max) Odwołanie Zmiana hasła lub blokada konta lub usunięcie lub downgrade statusu
-CompanyName -OrganizationalNameDescriptionText -SignInPageDescriptionText Set-AdfsWebTheme TargetName o365theme Illustration @{path=c:\newrpimage.png} -HomeLink, -PrivacyLink, -HelpDeskLink
Azure Multi-factor authentication
Azure Multi-factor authentication
https://aka.ms/mfasetup
Microsoft Authenticator Aplikacja dostępna na wszystkich platformach MFA dla każdego konta : Push Notifications/OTP Device Registration (workplace join) SSO native mobile apps - Certificate-based SSO
DEMO o 47,8% logowań używa ADFS-a
Migracja Jak to było wcześniej przed 2016 Primary / secondary
Dodanie nowych serwerów do farmy compat mode Walidacja funkcjonalności Dodanie więcej nod-ów Upgrade wersji farmy Roll back - wspierane Usunięcie starych nod-ów
Dodaj serwery do istniejącej farmy
Interfejs ADFS Windows Server 2016 federation server Brak opcji widocznych w panelu Serwer nie jest primary server
Windows Server 2016 Set-AdfsSyncProperties -Role PrimaryComputer Windows Server 2012 R2 Set-AdfsSyncProperties -Role SecondaryComputer -PrimaryComputerName {FQDN}
Web Application Proxy Install-WebApplicationProxy -CertificateThumbprint {SSLCert} -fsname fsname -TrustCred $trustcred
Windows Server 2016 federation server Opcje dostępne po transformacji
Wygaśnięcie certyfikatu Niepoprawny certyfikat SSL na serwerze Brak klucza prywatnego w certyfikacie SSL Troubleshooting Konto usługi AD FS bez uprawnień dostępowych doklucza prywatnego Must have read the private key Restart usługi AD FS ujawnia powyższe błędy 36
Aby audytować usługę AD FS -> włącz najpierw opcje Zdarzenia będą logowane w Security Log
Security Audit Logs
Dziękuję za uwagę Pytania: piotr.potocki@promise.pl