einzuloggen oder  
Hallo!

Brauchen Sie Hilfe? Wir sind hier!
miniorange Unterstützung~
miniOrange E-Mail-Support
Erfolg

Danke für Ihre Anfrage.

Wenn Sie innerhalb von 24 Stunden nichts von uns hören, senden Sie bitte eine Folge-E-Mail an info@xecurify.com

Search Results:

×

Leitfaden für Active Directory (AD)-Authentifizierungsprotokolle

Was ist Active Directory (AD)-Authentifizierung?

Active Directory (AD) ist eine Datenbank und eine Reihe von Diensten, die Benutzer mit den Netzwerkressourcen verbindet, die sie zur Erledigung ihrer Aufgaben benötigen.

Die Datenbank (oder das Verzeichnis) enthält wichtige Informationen über Ihre Umgebung, wie etwa die Anzahl der vorhandenen Benutzer und Computer sowie wer welche Berechtigungen hat. Die Datenbank könnte beispielsweise 100 Benutzerkonten mit Informationen wie Berufsbezeichnung, Telefonnummer und Kennwort jeder Person enthalten. Außerdem werden ihre Berechtigungen protokolliert. Die Dienste verwalten einen großen Teil der Aktivitäten in Ihrer IT-Umgebung. Sie stellen insbesondere sicher, dass jede Person diejenige ist, die sie vorgibt zu sein (Authentifizierung). Dies geschieht normalerweise durch Überprüfung der eingegebenen Benutzer-ID und des Kennworts und durch Beschränkung des Zugriffs auf die Daten, für deren Verwendung sie berechtigt ist (Autorisierung). Active Directory (AD) Authentifizierung ist ein Windows-System zur zentralen Verwaltung von Benutzerrollen und Berechtigungen. AD enthält eine Gruppenrichtlinienfunktion, mit der dies erreicht werden kann.



Wie funktioniert die Authentifizierung im Active Directory (AD)?

AD unterstützt mehrere Protokolle, über die die Benutzer der Organisation authentifiziert werden können. Die beiden wichtigsten davon sind Kerberos und LDAP.

  • Kerberos: Es handelt sich um ein Sicherheitsprotokoll auf Netzwerkebene, das zur Authentifizierung vertrauenswürdiger Geräte in einem Netzwerk verwendet wird. Bei der AD-Authentifizierung mit Kerberos wird eine Sitzung für den Benutzer aufrechterhalten, sobald sich der Benutzer mit seinen AD-Anmeldeinformationen beim System anmeldet. Die Sitzung hat mehrere Attribute und Sie können die Gültigkeitsdauer der Sitzung entsprechend den Anforderungen der Organisation festlegen.
    Kerberos besteht aus drei Teilen: dem Server, dem Client und dem Key Distribution Center (KDC). Kerberos hat zwei Funktionen: Authentifizierung und Ticket-Granting. Es verwendet geheime Schlüsselkryptographie zur Authentifizierung der Benutzeridentitäten. Wenn der Benutzer oder Client auf eine der Unternehmensressourcen zugreifen möchte, muss er sich zuerst beim KDC authentifizieren. KDC verfügt über den Authentifizierungsserver und den Ticket-Granting-Server.
    Der Benutzer sendet eine Autorisierungsanfrage an den AS, der dem Client ein Ticket-Granting-Ticket (TGT) ausstellt. Der Client führt zusammen mit dem TGT einen zweiten Autorisierungsaufruf an den Ticket-Granting-Server (TGC) durch. Der TGS sendet einen Schlüssel an den Zielserver und erteilt dem Client ein Token. Der Client ruft dann den Zielserver mit dem Token auf und der Zielserver authentifiziert ihn mithilfe des vom TGS freigegebenen Schlüssels. Somit werden weder Benutzername noch Passwort freigegeben und der Benutzer ist trotzdem authentifiziert.
  • Lightweight Directory Access Protocol (LDAP): LDAP ist ein Protokoll, das zur Kommunikation mit beliebigen Verzeichnisdiensten wie Active Directory (AD) verwendet wird. Wenn jemand das Lightweight Directory Access Protocol (LDAP) verwenden möchte, stehen zwei Optionen zur Verfügung. Dies sind die einfache Authentifizierung und die einfache Authentifizierung mit einer sicheren Ebene.

    a.) Einfache Authentifizierung: Die einfache Authentifizierung in LDAP basiert auf den Anmeldeinformationen (Benutzername und Passwort), um eine BIND-Anforderung zur Authentifizierung an den Server zu senden. Es gibt drei Ansätze, um dies zu erreichen: anonyme Authentifizierung, nicht authentifizierte Authentifizierung und Name/Passwort-Authentifizierung.

    b.) Einfache Authentifizierung mit einer sicheren Ebene: SASL kann andere Sicherheitsschicht-Frameworks wie Kerberos zur Authentifizierung verwenden. Es verwendet einen zusätzlichen Sicherheitsschichtansatz für den Authentifizierungsprozess und ist nicht von den von der Anwendung unterstützten Protokollen abhängig.

Vorteile der Verwendung der Active Directory (AD)-Authentifizierung

Im Folgenden sind die Hauptvorteile von Active Directory Domain Services (AD DS) aufgeführt:

  • Zentralisierte Ressourcen- und Sicherheitsverwaltung - Die Active Directory (AD)-Authentifizierung bietet Administratoren einen zentralen Ort zum Verwalten und Sichern von Netzwerkressourcen und Sicherheitsobjekten. Die Active Directory-Verwaltung kann auf einem Organisationsmodell, einem Geschäftsmodell oder den Arten der verwalteten Funktionen basieren.
  • Zentraler Zugriffspunkt auf globale Ressourcen - Bei der Active Directory (AD)-Authentifizierung muss der Benutzer nur einmal identifiziert und authentifiziert werden. Nach Abschluss dieses Vorgangs meldet sich der Benutzer einmal an, um auf die Netzwerkressourcen zuzugreifen, für die er aufgrund der ihm im Active Directory zugewiesenen Rollen und Berechtigungen autorisiert ist.
  • Vereinfachte Ressourcenzuweisung - Durch die Möglichkeit, Dateien und Druckressourcen im Netzwerk zu veröffentlichen, vereinfacht die Active Directory (AD)-Authentifizierung die Ressourcenzuweisung. Benutzer können sicher auf Netzwerkressourcen zugreifen, indem sie nach der Veröffentlichung eines Objekts in der Active Directory-Datenbank nach der gewünschten Ressource suchen.

Active Directory-Authentifizierung mit miniOrange

miniOrange unterstützt die Benutzerauthentifizierung aus externen Verzeichnissen wie Active Directory, LDAP, OpenLDAP und OpenDS. Wir bieten einfache und benutzerfreundliche Verzeichnisintegrationslösungen für beide Cloud- und On-Premise-Anwendungen. Dieser On-Demand-Integrationsdienst ermöglicht Benutzerauthentifizierung, Benutzerbereitstellung, Debereitstellung und Anwendungsnutzungsberichte. Die Tatsache, dass die Verzeichnisintegration von miniOrange einfach einzurichten ist, ist ein wichtiger Aspekt dieses Dienstes. MiniOrange unterstützt außerdem Tausende von Anwendungen und bietet eine Einmaliges Anmelden (SSO) Mechanismus für Benutzer im integrierten Verzeichnis.

Arbeitsablauf

Active Directory(AD)-Authentifizierung

  • Der Benutzer sendet die Anforderung, von einer Anwendung aus auf die Ressource zuzugreifen.
  • Die Anwendung sendet eine Authentifizierungsanfrage an miniOrange.
  • Der miniOrange leitet die Authentifizierungsanforderung an Active Directory weiter.
  • Active Directory sendet die Antwort über miniOrange an die Anwendung. Diese Antwort enthält die Benutzerinformationen sowie den Authentifizierungsstatus, auf dessen Grundlage der Benutzer Zugriff auf die Ressource erhält.
  • Nach erfolgreicher Authentifizierung erhält der Benutzer Zugriff auf die Ressource.

Um die Active Directory (AD)-Authentifizierung einzurichten, können Sie die folgenden Schritte ausführen hier.


Zur Authentifizierung im Active Directory gehört mehr als nur die Überprüfung von Benutzername und Passwort. Die miniOrange AD-Authentifizierung umfasst die folgenden Komponenten:

Zurücksetzen des Self-Service-Passworts

Die erste Komponente des AD-Authentifizierungsdienstes, den wir bei miniorange anbieten, ist die Selbstbedienungsfunktion zum Zurücksetzen von Passwörtern, mit der Benutzer ihre Passwörter ändern oder zurücksetzen können, ohne dass ein Administrator oder Helpdesk eingreifen muss. Wenn ein Benutzer sein Passwort vergisst, kann die miniOrange-Lösung verwendet werden, um ein neues für ihn zu generieren.

  • Kennwortänderung – wenn ein Benutzer sein Kennwort kennt, es aber durch ein neues Kennwort ersetzen möchte.
  • Kennwort zurücksetzen - wenn sich ein Benutzer nicht anmelden kann, z. B. wenn er sein Kennwort vergessen hat, und sein Kennwort zurücksetzen möchte. Zum Zurücksetzen eines Kennworts stehen verschiedene Möglichkeiten zur Verfügung:
    • Die Passwortzurücksetzung erfolgt über den Link, der an die registrierte E-Mail-Adresse gesendet wurde.
    • Zum Ändern des Passworts wird ein Link an die registrierte Telefonnummer gesendet.
    • Um das Kennwort zu ändern, muss der Benutzer eine Art Authentifizierung durchführen, beispielsweise die bereits konfigurierten Sicherheitsfragen beantworten.
  • Wenn ein Benutzer die Self-Service-Kennwortzurücksetzung verwendet, um sein Kennwort zu aktualisieren oder zurückzusetzen, wird dieses Kennwort auch in eine Active Directory-Umgebung zurückgeschrieben. Durch das Kennwortrückschreiben wird sichergestellt, dass die aktualisierten Anmeldeinformationen eines Benutzers sofort auf lokalen Geräten und Anwendungen verwendet werden können.

AD Multi-Faktor-Authentifizierung

Die zweite Komponente des AD-Authentifizierungsdienstes, den wir bei minorange anbieten, ist MFA. MFA (Multi-Faktor-Authentifizierung) ist eine Art der Authentifizierung, bei der ein Benutzer zusätzliche Multifaktoren angeben muss, um Zugriff auf bestimmte Ressourcen zu erhalten. In diesem Kontext beziehen sich Ressourcen auf eine Website, eine Anwendung, ein Netzwerk oder ein VPN.

Anstatt einfach nach einem Benutzernamen und einem Passwort zu fragen, fügt MFA (Multi-Faktor-Authentifizierung) zusätzliche Verifizierungsfaktoren hinzu (OTP, Push-Benachrichtigungen, Fingerabdruck usw.). Mehr als 15 MFA-Methoden), die die Aktivitäten von Cyber-Angreifern wie Phishing, Malware usw. indirekt stoppen und so ein hohes Maß an Sicherheit und Zuverlässigkeit bieten. Einfach ausgedrückt müssen Sie das System oder den Onlinedienst mehrmals von Ihrer Identität überzeugen, bevor das System feststellen kann, ob Sie die Rechte zum Abrufen der Datendienste haben, die Sie abrufen möchten.

Active Directory(AD)-Authentifizierung

Das Ziel der Verwendung von MFA besteht darin, eine mehrschichtige Verteidigung zu schaffen, sodass selbst wenn ein Faktor (Benutzername-Passwort) gestohlen wird oder ein gezielter Cyber-Angreifer mindestens eine weitere Barriere überwinden muss, bevor er erfolgreich in das tatsächliche Zielgerät eindringen kann.

Passwortlose Authentifizierung

Eine der erstaunlichsten Komponenten des AD-Authentifizierungsdienstes, den miniorange Ihnen zur Verfügung stellt, ist Passwortlose Authentifizierung. Benutzer können sich über passwortlose Verbindungen anmelden, ohne sich ein Passwort merken zu müssen. Um sich bei der Anwendung anzumelden, geben Benutzer einfach ihren Benutzernamen ein und durchlaufen die 2-Faktor-Authentifizierung, indem sie ein OTP eingeben oder Push-Benachrichtigungen erhalten. Dies bietet Benutzern eine einfache und bequeme Möglichkeit, sich von überall aus anzumelden und auf Daten zuzugreifen.

Passwörter stellen ebenfalls eine große Schwachstelle dar, da Benutzer Passwörter wiederverwenden und an andere weitergeben können. Ein Angreifer kann Zwei-Faktor-Authentifizierungsmethoden nicht einfach replizieren. miniOrange bietet Möglichkeiten zur nativen Authentifizierung mit passwortlosen Methoden, um den Anmeldevorgang für Benutzer zu vereinfachen und das Risiko von Angriffen zu verringern.

Weitere Referenzen

Möchten Sie eine Demo planen?

Demo anfordern
  



Unsere anderen Identity & Access Management-Produkte

Single Sign-On

Nahtlose Anmeldung der Mitarbeiter- und Kundenidentität bei Cloud- oder On-Premise-Apps

Mehr erfahren

Multi-Faktor-Authentifizierung

Sicherer Zugriff für Identitäten mit einer zusätzlichen Authentifizierungsebene

Mehr erfahren

Adaptive Authentifizierung

Blockieren oder gewähren Sie den Benutzerzugriff basierend auf IP, Gerät, Zeit und Standort

Mehr erfahren

Lebenszyklus-Management

Verwalten und automatisieren Sie die Bereitstellung und Debereitstellung von Benutzern für Apps.

Mehr erfahren