• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

Neuerungen in ADFS 3.0 (Active Directory Federation Services)

Sep 25, 2015 (Letztes Update) | Posted by Peter Schäfer Administration, KnowHow |

 

Neuerungen in ADFS 3.0 (Active Directory Federation Services)

ADFS 3.0 ist Bestandteil von Windows Server 2012 R2.

Die aktuelle Version bietet einige sehr interessante Neuerungen.
In diesem Artikel möchte ich einen kurzen Überblick zu den wichtigsten Features von ADFS 3.0 geben.

 

 

Inhaltsverzeichnis

  • 1 Workplace Join
  • 2 Enable-AdfsDeviceRegistration
  • 3 Group Managed Service Accounts (GMSA) Unterstützung
  • 4 OAUTH2 Token Support in ADFS 3.0
  • 5 ADFS Proxy
  • 6 Vereinfachte Anpassung der Logon-Webseite

 

Grundlagen & Einsatzmöglichkeiten >> Active Directory Federation Services (ADFS)

 

Workplace Join

In Zeiten des „Bring in your own device“ bietet jetzt auch Microsoft die Möglichkeit, mobile Geräte sicher zu registrieren und zu verknüpfen. So kann zum Beispiel ein Benutzer von seinem verknüpften Tablet aus eine geschützte Firmenressource oder Anwendung nutzen, die für alle fremden Geräte nicht zugänglich ist.

Hierbei ist auch „Single-Sign-On“ möglich. SSO Nutzerdaten bleiben dabei standardmäßig für 7 Tage gültig. Zurzeit werden jedoch nur iOS und Windows 8.1 Geräte unterstützt.

Für die Registrierung ist der Device Registration Service (DRS) zuständig. Er ist Bestandteil der ADFS Rolle von Server 2012R2.
Die Registrierung erfolgt über den Aufruf einer bestimmten Url oder über das entsprechende Menü in Windows 8.1.
Dabei wird ein eindeutiges Zertifikat für das aufzunehmende Gerät erstellt und dort installiert.
Zusätzlich wird im Active Directory ein Objekt für das Device erstellt.

Dieses AD-Objekt bedarf einer Schemaerweiterung die mit Hilfe des Powershell Kommandos Enable-AdfsDeviceRegistration –PrepareActiveDirectory durchgeführt werden kann.

 

Enable-AdfsDeviceRegistration

ADFS 3.0 kommt auch mit einer neuen Version von ADFS Proxy.
Diese unterstützt natürlich auch die Registrierung von außerhalb des Firmennetzwerks.
Bei der Installation der ADFS-Rolle ist besonderen Wert auf das Dienst-Zertifikat zu legen.
Alle Geräte müssen diesem Zertifikat vertrauen und es müssen folgende Informationen enthalten:

* Subject Name (CN): adfs1.mydomain.com
* Subject Alternative Name (DNS): adfs1. mydomain.com
* Subject Alternative Name (DNS): enterpriseregistration. mydomain.com

Weiterhin müssen die verwendeten Namen korrekt im DNS registriert werden.

 

Group Managed Service Accounts (GMSA) Unterstützung

Mit Version 3.0 unterstützt Microsoft nun auch die Nutzung von GSMA als Dienst-Identitäten im ADFS.
Group Managed Service Accounts sind Konten, deren Kennwort automatisch vom Active Directory generiert und erneuert werden, ohne dass der Administrator eingreifen muss.
Dies erhöht die Sicherheit, da die Kennworte sehr lang sind und regelmäßig geändert werden.

Beispiel zur Erstellung eines Kontos

Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10) New-ADServiceAccount FsGmsa -DNSHostName adfs1.mydomain.com -ServicePrincipalNames http/adfs1.mydomain.com

Weiterführende Informationen zu GMSA: Technet-Artikel

 

OAUTH2 Token Support in ADFS 3.0

ADFS 3.0 ist nun in der Lage auch Access-Tokens nach dem OAUTH2 Standard zu generieren. Diese JSON Format encodierten Tokens (JWT JSON Web Token) sind besonders kompakt und einfach aufgebaut. Sie lassen sich sehr gut in modernen Web-Applikationen verwenden.

 

ADFS Proxy

In früheren Versionen des ADFS gab es eine ADFS-Proxy Rolle.

Diese Rolle wurde vornehmlich auf Servern in der DMZ installiert und leitete Anfragen aus dem Internet an den internen ADFS weiter.

Diese Funktionalität ist nun Bestandteil einer neuen Rolle, dem „Web Application Proxy“. Diese Rolle kann nur zusammen mit ADFS verwendet werden und ermöglicht das sichere Freigeben von (Web-) Anwendungen im Internet. Hiermit ist es auch möglich, „Non claims aware Applications“ also Anwendungen, die Token-Claims (z.B. Benutzereigenschaften / Rollen) nicht selbst auswerten können, zu schützen. Die Auswertung der Claims Der Zugriff auf die Applikation wird Anhand der Client- und Benutzerregeln ermittelt.

Beispiel:

Der Benutzer ist Mitglied einer bestimmten Gruppe und es gibt einen registrierten Client.
Benutzer und Client sind verknüpft.
Natürlich hat Web-Application-Proxy noch einige weitere Features, die den Rahmen dieses Artikels allerdings sprengen würden.
Für weitere Informationen empfehle ich diesen Technet-Artikel (EN)

 

Vereinfachte Anpassung der Logon-Webseite

Die Log-on-Webseite kann jetzt noch einfacher und umfassender an die Kundenwünsche angepasst werden. So stehen einfache Powershell Kommandos zum Setzen von Logos, Firmenname und Help-Links zur Verfügung.

 

Weiteres: SAML und ADFS

Szenarien, Einführung, Funktionsweisen und Implementierung zum Thema SAML und Active Directory Federation Services finden Sie in folgendem Artikel: SAML und ADFS 2.0

 

Für generellen Fragen zum Einsatz von ADFS und Möglichkeiten in Ihrem Unternehmen, können Sie gern Kontakt mit uns aufnehmen.

 

 

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 12.01.2015
Tags: ADFSFederation
0

You also might be interested in

Exchange Hybrid- Office 365 Hybrid

O365 Hybrid – Exchange Federation Trust

Jun 22, 2017

Heute möchte ich einen Teil der O365 Hybrid Konfiguration, den[...]

O365 und OnPremise

Office 365 und OnPremise mit Federation und DirSync

Aug 5, 2014

Diesmal möchte ich mich dem Thema Office 365 und OnPremise mit[...]

user principal name featured image

Azure Basics: Azure AD User Pricipal Name – UPN

Okt 27, 2016

Auch beim Thema Azure AD User Principal Name gilt: Eine sorgfältige[...]

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD
  • Microsoft Teams und Teams-Apps mit SSO über Azure AD konfigurieren

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2022 · Active-Directory-FAQ by firstattribute.com

Prev Next