Was ist ADFS?

Was ist ADFS?

Active Directory-Verbunddienst (ADFS) ist eine von Microsoft entwickelte Softwarekomponente, die Benutzern von Windows Server-Betriebssystemen den Autorisierungsdienst Single Sign-On (SSO) zur Verfügung stellt. ADFS ermöglicht Benutzern über Organisationsgrenzen hinweg den Zugriff auf Anwendungen auf Windows Server-Betriebssystemen mit einem einzigen Satz Anmeldeinformationen.

ADFS verwendet das anspruchsbasierte Access Control Authorization-Modell, um die Sicherheit in allen Anwendungen mithilfe der Verbundidentität zu gewährleisten. Bei der anspruchsbasierten Authentifizierung wird ein Benutzer durch eine Reihe von Ansprüchen identifiziert, die sich auf seine Identität beziehen. Die Ansprüche werden vom Identitätsanbieter in ein sicheres Token verpackt.

Wie funktioniert ADFS?

Der Authentifizierungsprozess mithilfe des Active Directory Federation Service (ADFS) erfolgt in folgenden Schritten:

• Der Benutzer navigiert zu einem Dienst, beispielsweise der Website eines Partnerunternehmens (http://example.com), um Preise oder Produktdetails zu erhalten.
• Die Website fordert ein Authentifizierungstoken an.
• Der Benutzer fordert ein Token vom ADFS-Server an.
• Der ADFS-Server gibt ein Token aus, das den Anspruchssatz des Benutzers enthält.
• Der Benutzer leitet das Token an die Website des Partnerunternehmens weiter.
• Die Website gewährt dem Benutzer autorisierten Zugriff.

Was sind die Komponenten von ADFS?

• Active Directory: Die von ADFS zu verwendenden Identitätsinformationen werden im Active Directory gespeichert.
• Verbundserver: Es enthält die erforderlichen Tools zum Verwalten von Verbundvertrauensstellungen zwischen Geschäftspartnern. Es verarbeitet Authentifizierungsanforderungen von externen Benutzern und hostet einen Sicherheitstokendienst, der Token für Ansprüche auf der Grundlage der Überprüfung von Anmeldeinformationen aus AD ausgibt.
• Verbundserverproxy: Der Proxy wird im Extranet der Organisation eingesetzt, mit dem sich externe Clients verbinden, wenn sie ein Sicherheitstoken anfordern. Er leitet diese Anfragen an den Federation-Server weiter. Der Federation-Server ist nicht direkt dem Internet ausgesetzt, um Sicherheitsrisiken vorzubeugen.
• ADFS-Webserver: Es hostet den ADFS-Web-Agent, der die Sicherheitstoken und Authentifizierungscookies verwaltet, die ihm zu Authentifizierungszwecken gesendet werden.

Warum wird ADFS von Organisationen verwendet?

Die Verwendung von Active Directory (AD) in der vernetzten Online-Welt schafft Authentifizierungsprobleme. AD kann Benutzer nicht authentifizieren, die versuchen, extern auf integrierte Anwendungen zuzugreifen. Am modernen Arbeitsplatz müssen Benutzer häufig auf Anwendungen zugreifen, die nicht Eigentum des AD ihrer Organisation sind oder von diesem verwaltet werden. ADFS kann diese Authentifizierungsprobleme durch Drittanbieter lösen und vereinfachen.

ADFS ermöglicht Benutzern einer Organisation den Zugriff auf Anwendungen von Partnerorganisationen unter Verwendung der Standardanmeldeinformationen des Active Directory (AD) ihrer Organisation. ADFS ermöglicht Benutzern außerdem den Zugriff auf AD-integrierte Anwendungen, während sie remote arbeiten und dabei ihre standardmäßigen AD-Anmeldeinformationen der Organisation über eine Weboberfläche verwenden. Beim Aufbau einer Partnerschaft zur Verwendung der Webanwendungen einer anderen Organisation bietet ADFS einen zentralen Ort zur Verwaltung und Prüfung der Mitarbeiteridentitätsinformationen, die mit den Partnern ihrer Organisation geteilt werden.

Über 90 % der Organisationen verwenden Active Directory, was bedeutet, dass viele auch ADFS verwenden.

ADFS kann in den folgenden Szenarien verwendet werden

• Einmaliges Anmelden (SSO): ADFS kann verwendet werden, um Benutzern, die auf Anwendungen in verschiedenen Netzwerken oder Organisationen zugreifen möchten, eine Single Sign-On (SSO)-Autorisierung bereitzustellen. Es bietet nahtlosen Single Sign-On (SSO)-Zugriff auf internetbasierte Anwendungen oder Dienste.
• Identitätsföderation (Identitätsmanagement): Federated Identity ist ein Konzept, bei dem die Identität eines Benutzers zentralisiert ist. Dies vereinfacht das Identitätsmanagement. Das Identitätsmanagement dient dazu, die Sicherheit aufrechtzuerhalten und gleichzeitig die mit der Verwaltung von Benutzeridentitäten verbundenen Kosten niedrig zu halten.

ADFS Office 365-Beispiel

• Office 365 verwendet eine Active Directory-Umgebung, in der für das Office 365-Abonnement jedes Benutzers eine dedizierte Domäne in der Cloud erstellt wird.
• ADFS wird hier verwendet, indem eine Verzeichnissynchronisierung (DirSyc-Tool) eingerichtet wird, die Konten in der Microsoft-Domäne erstellt, die den Konten innerhalb der Domäne des Benutzers entsprechen.
• Ein Benutzer kann Konten auswählen, die im AD synchronisiert werden sollen.

Was sind die Einschränkungen von ADFS?

• Instandhaltungskosten: ADFS verursacht hohe Wartungskosten, die sich aus der Wartung der Infrastruktur, der Verwaltung mehrerer Föderationen und den Kosten für SSL-Zertifikate zusammensetzen.
• ADFS-Komplexität: Das Hinzufügen einer Anwendung oder eines Systems zu einem ADFS-Dienst ist komplex und zeitaufwändig. Es gibt kein benutzerfreundliches Verwaltungs-Dashboard zum Verwalten von Benutzern, Gruppen und Authentifizierungsrichtlinien.
• ADFS-Sicherheitsproblem: ADFS läuft auf Windows Server, wo es mehr Sicherheitsprobleme gibt, beispielsweise Anfälligkeit für Malware und andere sicherheitsrelevante Fehler.
• ADFS erlaubt weder die gemeinsame Nutzung von Dateien noch das Drucken über Druckserver.
• ADFS kann nicht auf Active Directory-Ressourcen zugreifen.
• ADFS unterstützt keine Remotedesktopverbindungen.

ADFS vs. miniOrange IDP

Verwandte Artikel zur ADFS-Integration

• ADFS als IDP
• WordPress ADFS-Anmeldung
• Was ist Single Sign-On SSO?
• ADFS SSO mit Joomla