Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



17.09.2019

PLNOG23 czyli sieci 5G,...

Największa polska konferencja telekomunikacyjna powraca do Krakowa! Wśród nowości ścieżka...
05.09.2019

Cloudya – nowa usługa NFON

Po ponad dekadzie ciągłego rozwoju technologii Cloudya, swobodna i niczym nie ograniczona...
02.09.2019

Na dużą skalę

Kaspersky Hybrid Cloud Security
02.09.2019

Bezpieczny brzeg sieci

Fortinet Secure SD-Branch
02.09.2019

Nowoczesne centra danych

AMD EPYC
30.08.2019

Dostęp do AI i ML

VMware Cloud Foundation
30.08.2019

Lekkość i moc

Toshiba Portégé A30-E
30.08.2019

Bez przestojów

APC Easy UPS On-Line
29.08.2019

Duże moce

Lenovo ThinkSystem SR635 i SR655

Nowości w usłudze ADFS 2016/2019

Data publikacji: 23-05-2019 Autor: Jacek Światowiak
Rys. 1. Przykład logowania do...

Usługi federacyjne na dobre rozgościły się w systemach informatycznych. Chyba już nikt nie wyobraża sobie konieczności wielokrotnego logowania się do powiązanych witryn Web czy aplikacji albo posiadania w wielu systemach różnych tożsamości. Usługi Google czy Microsoft również nie obejdą się bez wspomnianego rozwiązania. Przyjrzyjmy się zmianom i rozwojowi ADFS w systemach Microsoft.

 

Pierwsza wersja komponentu Active Directory Federation Services pojawiła się z Windows Server 2003 R2 jako dodatek. Wraz z Windows Server 2008/2008 R2 wprowadzono drobne zmiany i opublikowano wersję 1.1. Jednocześnie Microsoft udostępnił całkowicie zmodyfikowaną wersję 2.0 również dla tych samych edycji serwerowych. Wraz z Windows Server 2012 zaprezentowano wersję 2.1, z 2012 R2 wersję 3.0, a w edycji 2016 wersję 4.0. Najnowsza wersja usługi federacyjnej została zaimplementowana w serwerowym systemie Windows oznaczonym liczbą 2019 (ADFS 5.0).

> DZIAŁANIE ADFS

Podstawowym zadaniem usług federacyjnych jest, w dużym uproszczeniu, zapewnienie procesu uwierzytelniania do aplikacji (Relaying Party) na podstawie odpowiednio przygotowanego oświadczenia (claimu), przesłanego przez tzw. token uwierzytelniania (Security Token) przygotowany przez serwer/usługę (tzw. dostawca tożsamości – Identity Provider). Cały proces jest możliwy do przeprowadzenia dzięki istnieniu zbudowanej relacji zaufania (Federation Trust).

Dostawcą tożsamości mogą być bazy, systemy lokalne, LDAP, np. Active Directory, serwery SQL, inne zbiory, w tym nawet pliki płaskie lub inne systemy, powiązane również za pomocą relacji zaufania. W praktyce jest to coraz częściej opcja typu Zaloguj przez Facebook czy Zaloguj przez Google. Przykładowe logowanie do witryny Allegro.pl pokazano na rys. 1.

We wstępnych założeniach ADFS miał bazować na następujących założeniach i przeznaczeniach:
 

  • realizować federacje oraz zapewnić mechanizm Web SSO w układzie B2B (Business to Business) lub B2C (Business to Consumer),
  • wykorzystywać mechanizmy Web Service, w skrócie określane jako (WS)-*, np. WS-Federation,
  • wykorzystywać rozszerzalną architekturę, opartą na języku i tokenach SAML (Security Assertation Markup Language) oraz Kerberos (w konfiguracji Federated Web SSO with Forest Trust).


Integrację z Active Directory zapewniają usługa ADFS, wsparcie bazy LDAP jako dostawcy tożsamości, obsługa Kerberos, certyfikatów i smart card. W artykule pominiemy szczegółowe omawianie technologii usług federacyjnych i skupimy się na nowościach dostępnych w serwerach Windows 2016/2019.

> ADFS I WINDOWS SERVER 2016

Migracja istniejącej farmy ADFS 2012 R2 do wyższej wersji nikomu nie powinna sprawić większych problemów. Wystarczy do istniejącej farmy dodać nowe serwery ADFS bazujące na wersjach 2016 lub 2019, przenieść serwer zarządzający (podstawowy) na serwer 2016/2019 i odinstalować serwer lub serwery 2012 R2. Aby uzyskać dostęp do nowych funkcji, należy jeszcze podnieść do wyższej wersji tzw. Farm Behavious Level (FBL). Dostępne są tryby zmian z 2012 R2 na 2016, z 2012 R2 na 2019 oraz z 2016 na 2019. Operację można wykonać za pomocą poniższego cmdletu PowerShell:



Należy dodać, że włączenie nowych funkcji farmy ADFS wymaga rozszerzenia schematu Active Directory do poziomu min. 85.

W zakresie integracji lokalnego Active Directory z Office 365 wprowadzono możliwość przesyłania w claimie informacji o wygasającym wkrótce haśle. Pozwoliło to na wyświet­lanie tej informacji w klientach Office 365 (np. w OWA). Rozszerzenie to należy ręcznie dodać do konfiguracji przesyłanych lub transformowanych claimów z AD do Office’a 365.

@RuleName = "Issue Password Expiry Claims"
c1:[Type == "http://schemas.microsoft.com/ws/2012/01/passwordexpirationtime"]
=> issue(store = "_PasswordExpiryStore", types = ("http://schemas.microsoft.com/ws/2012/01/passwordexpirationtime", "http://schemas.microsoft.com/ws/2012/01/passwordexpirationdays", "http://schemas.microsoft.com/ws/2012/01/passwordchangeurl"), query = "{0};", param = c1.Value);


Ulepszono też współpracę z konfederacjami dla zapewnienia zgodności ze standardem eGov 2.0 poprzez rozszerzenie obsługi komponentów języka SAML 2.0 o obsługę profili wielu instancji. Dostęp do opcji konfiguracyjnych uzyskujemy za pomocą cmdletu:


Add/set-AdfsClaimsProviderTrustsGroup

oraz

Add/set-AdfsClaimsProviderTrustsGroup

Zmieniono również poziomy audytowania. Poziom audytowania (dostępne poziomy: None, Basic oraz Verbose) jest konfigurowalny za pomocą cmdletu:

Set-AdfsProperties – AuditLevel

Zapewniono możliwość modyfikowania wyglądu strony uwierzytelniania, tak aby spełniała oczekiwania wizualne określonego klienta/użytkownika. Modyfikacji mogą podlegać takie komponenty graficzne i tekstowe jak: logo, ilustracja, opis
procesu logowania oraz linki do strony domowej, pomocy oraz informacji dotyczących ustawień prywatności. Przykład przygotowany przez Microsoft pokazano na rys. 2.

 

[...]

 

Autor jest architektem rozwiązań IT, trenerem, autorem książek i publikacji technicznych, wykładowcą Politechniki Gdańskiej. Uzyskane certyfikaty: MCSE+M, MCSE+S, 20*MCTS, 9*MCITP, MCT, MSA, MCSA 2008, 2012, 2016, Windows 7, MCSE Server Infrastructure, Communication, Messaging, Cloud Platform and Infrastructure, Productivity 2017. Przez 5 lat MVP z zakresu Directory Services/Forefront/Exchange.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"