• administration
  • migration
  • powershell
  • kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • administration
  • migration
  • powershell
  • kontakt
  • EN

Neuerungen in ADFS 3.0 (Active Directory Federation Services)

Sep 25, 2015 (Letztes Update) | Posted by Peter Schäfer Administration, KnowHow |

 

Neuerungen in ADFS 3.0 (Active Directory Federation Services)

ADFS 3.0 ist Bestandteil von Windows Server 2012 R2.

Die aktuelle Version bietet einige sehr interessante Neuerungen.
In diesem Artikel möchte ich einen kurzen Überblick zu den wichtigsten Features von ADFS 3.0 geben.

 

 

Inhaltsverzeichnis

  • 1 Workplace Join
  • 2 Enable-AdfsDeviceRegistration
  • 3 Group Managed Service Accounts (GMSA) Unterstützung
  • 4 OAUTH2 Token Support in ADFS 3.0
  • 5 ADFS Proxy
  • 6 Vereinfachte Anpassung der Logon-Webseite

 

Grundlagen & Einsatzmöglichkeiten >> Active Directory Federation Services (ADFS)

 

Workplace Join

In Zeiten des „Bring in your own device“ bietet jetzt auch Microsoft die Möglichkeit, mobile Geräte sicher zu registrieren und zu verknüpfen. So kann zum Beispiel ein Benutzer von seinem verknüpften Tablet aus eine geschützte Firmenressource oder Anwendung nutzen, die für alle fremden Geräte nicht zugänglich ist.

Hierbei ist auch „Single-Sign-On“ möglich. SSO Nutzerdaten bleiben dabei standardmäßig für 7 Tage gültig. Zurzeit werden jedoch nur iOS und Windows 8.1 Geräte unterstützt.

Für die Registrierung ist der Device Registration Service (DRS) zuständig. Er ist Bestandteil der ADFS Rolle von Server 2012R2.
Die Registrierung erfolgt über den Aufruf einer bestimmten Url oder über das entsprechende Menü in Windows 8.1.
Dabei wird ein eindeutiges Zertifikat für das aufzunehmende Gerät erstellt und dort installiert.
Zusätzlich wird im Active Directory ein Objekt für das Device erstellt.

Dieses AD-Objekt bedarf einer Schemaerweiterung die mit Hilfe des Powershell Kommandos Enable-AdfsDeviceRegistration –PrepareActiveDirectory durchgeführt werden kann.

 

Enable-AdfsDeviceRegistration

ADFS 3.0 kommt auch mit einer neuen Version von ADFS Proxy.
Diese unterstützt natürlich auch die Registrierung von außerhalb des Firmennetzwerks.
Bei der Installation der ADFS-Rolle ist besonderen Wert auf das Dienst-Zertifikat zu legen.
Alle Geräte müssen diesem Zertifikat vertrauen und es müssen folgende Informationen enthalten:

* Subject Name (CN): adfs1.mydomain.com
* Subject Alternative Name (DNS): adfs1. mydomain.com
* Subject Alternative Name (DNS): enterpriseregistration. mydomain.com

Weiterhin müssen die verwendeten Namen korrekt im DNS registriert werden.

 

Group Managed Service Accounts (GMSA) Unterstützung

Mit Version 3.0 unterstützt Microsoft nun auch die Nutzung von GSMA als Dienst-Identitäten im ADFS.
Group Managed Service Accounts sind Konten, deren Kennwort automatisch vom Active Directory generiert und erneuert werden, ohne dass der Administrator eingreifen muss.
Dies erhöht die Sicherheit, da die Kennworte sehr lang sind und regelmäßig geändert werden.

Beispiel zur Erstellung eines Kontos

Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10) New-ADServiceAccount FsGmsa -DNSHostName adfs1.mydomain.com -ServicePrincipalNames http/adfs1.mydomain.com

Weiterführende Informationen zu GMSA: Technet-Artikel

 

OAUTH2 Token Support in ADFS 3.0

ADFS 3.0 ist nun in der Lage auch Access-Tokens nach dem OAUTH2 Standard zu generieren. Diese JSON Format encodierten Tokens (JWT JSON Web Token) sind besonders kompakt und einfach aufgebaut. Sie lassen sich sehr gut in modernen Web-Applikationen verwenden.

 

ADFS Proxy

In früheren Versionen des ADFS gab es eine ADFS-Proxy Rolle.

Diese Rolle wurde vornehmlich auf Servern in der DMZ installiert und leitete Anfragen aus dem Internet an den internen ADFS weiter.

Diese Funktionalität ist nun Bestandteil einer neuen Rolle, dem „Web Application Proxy“. Diese Rolle kann nur zusammen mit ADFS verwendet werden und ermöglicht das sichere Freigeben von (Web-) Anwendungen im Internet. Hiermit ist es auch möglich, „Non claims aware Applications“ also Anwendungen, die Token-Claims (z.B. Benutzereigenschaften / Rollen) nicht selbst auswerten können, zu schützen. Die Auswertung der Claims Der Zugriff auf die Applikation wird Anhand der Client- und Benutzerregeln ermittelt.

Beispiel:

Der Benutzer ist Mitglied einer bestimmten Gruppe und es gibt einen registrierten Client.
Benutzer und Client sind verknüpft.
Natürlich hat Web-Application-Proxy noch einige weitere Features, die den Rahmen dieses Artikels allerdings sprengen würden.
Für weitere Informationen empfehle ich diesen Technet-Artikel (EN)

 

Vereinfachte Anpassung der Logon-Webseite

Die Log-on-Webseite kann jetzt noch einfacher und umfassender an die Kundenwünsche angepasst werden. So stehen einfache Powershell Kommandos zum Setzen von Logos, Firmenname und Help-Links zur Verfügung.

 

Weiteres: SAML und ADFS

Szenarien, Einführung, Funktionsweisen und Implementierung zum Thema SAML und Active Directory Federation Services finden Sie in folgendem Artikel: SAML und ADFS 2.0

 

Für generellen Fragen zum Einsatz von ADFS und Möglichkeiten in Ihrem Unternehmen, können Sie gern Kontakt mit uns aufnehmen.

 

 

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 12.01.2015
Tags: ADFSFederation
0

You also might be interested in

user principal name featured image

Azure Basics: Azure AD User Pricipal Name – UPN

Okt 27, 2016

Auch beim Thema Azure AD User Principal Name gilt: Eine sorgfältige[...]

Exchange Hybrid- Office 365 Hybrid

O365 Hybrid – Exchange Federation Trust

Jun 22, 2017

Heute möchte ich einen Teil der O365 Hybrid Konfiguration, den[...]

O365 und OnPremise

Office 365 und OnPremise mit Federation und DirSync

Aug 5, 2014

Diesmal möchte ich mich dem Thema Office 365 und OnPremise mit[...]

Leave a Reply

Cancel Reply

Wer schreibt ?

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM-, Migrations- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen umfangreichen, wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • Neuen Exchange-Ordner im Postfach automatisch anlegen
  • AD Gruppenverwaltung delegieren
  • Mailversand über O365 automatisieren
  • AD LDS Installation und Backup mit Powershell
  • E-Mail-Adresse mit PowerShell prüfen


FirstAttribute

AD Identity Management | Jobs

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Berechtigung Berechtigungen Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange 2016 Exchange Migration Federation FirstWare Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP lokale Gruppen Microsoft Azure Migration New-ADUser Novell NTFS O365 Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • Sebastian Goras bei IsMember – Gruppenmitgliedschaft des Benutzers prüfen
  • Paul bei Powershell – Home Directory anlegen und Berechtigungen vergeben
  • Steve König bei AD PowerShell Basics 1: New-ADUser
Login
Impressum
Datenschutzerklärung

© 2020 · Active-Directory-FAQ by firstattribute.com

Prev Next