Was sind Microsoft Active Directory Federation Services (ADFS)

  • 1
  • 25. Juni 2013

Die Microsoft Active Directory Verbunddienste, wie „Active Directory Ferderation Services“ übersetzt wird, dienen der Identifizierung und Autorisierung und können als Security Token Service genutzt werden. Aktuell ist die Version 2.0 die ab Windows Server 2008 unterstützt wird. Im Gegensatz zur Version 1.0 von den Active Directory Verbunddiensten wird keine Enterprise Version vom Windows Server benötigt. Der Download von ADFS 2.0 ist kostenlos bei Microsoft verfügbar.

Grundlagen zum Active Directory Federation Services

Der ADFS-Dienst basiert auf .Net 3.5SP1 und dem IIS7. Als Speicherort für die benötigten Daten kann die „Windows Internal Database“ (WID), der Microsoft SQL Server 2005 oder der Microsoft SQL 2008 genutzt werden. Einige Funktionen benötigen einen bestimmten Datenspeicher, so dass eine genaue Planung im Vorfeld erfolgen sollte.

Einsatzmöglichkeiten für den Active Directory Verbundsdienst

Mit ADFS in die Cloud

Eine der häufigsten Anwendungsfälle ist die Authentifizierung von Benutzern im Unternehmen für externe Dienste um ein SingleSignOn zu ermöglichen. Der ADFS ermöglicht zum Beispiel das sich die Benutzer von Microsoft Office365 mit ihrem Unternehmens Benutzerkonto am Office365 anmelden können und gegen das Unternehmens interne Microsoft Active Directory authentifiziert werden können. Der Verbundsdienst ermöglicht das ohne eine Active Directory Vertrauensstellung oder die Synchronisation der Benutzerkennwörter in Cloud. Das eigene Active Directory wird dabei von Active Directory Federation Service genutzt, ist aber aus dem Internet nicht erreichbar. Die Kommunikation mit dem ADFS erfolgt für den Benutzer ausschließlich SSL-Verschlüsselt über HTTPS (TCP Port 443). Empfohlen ist einen speziellen ADFS-Proxyserver in die DMZ zu integrieren. Der ADFS-Server und der ADFS-Proxyserver können mit einem LoadBalacer Hochverfügbar gemacht werden. Hierbei wird auch der Microsoft Netzwerk LoadBalancer (NLB) unterstützt, da es sich beim Active Directory Federation Service um eine IIS basierte Webanwendung handelt.

In kleineren Umgebungen unterstützt Microsoft auch die Installation der ADFS-Server auf bestehende Active Directory Domain Controller für die Microsoft Online Services.

Mit ADFS am Microsoft SharePoint anmelden

Ein weiteres beliebtes Szenario ist den Microsoft SharePoint mit ADFS zu koppeln, dies ermöglicht die Anmeldung am SharePoint mit Benutzern die nicht in der Domäne das SharePoint Server liegen müssen. Auch ist eine Active Directory Vertrauensstellung dadurch nicht notwendig. Dieses Szenario wird oft verwendet wenn die SharePoint Umgebung isoliert werden soll, oder wenn ich anderen Unternehmen die Möglichkeit bieten möchte das sich die Externen Mitarbeiter mit Ihren Unternehmensidentitäten anzumelden. Der Vorteil für den Betreiber der SharePoint Farm sind unteranderem weniger Helpdesk Aufwand für vergessene Passwörter und wenn der Mitarbeiter des Partnerunternehmen das Unternehmen verlässt und das Konto gesperrt wird, ist auch ein Zugriff auf die SharePoint Farm nicht mehr möglich. Auch können mit dieser Methode mehrere Partnerunternehmen an einen SharePoint angebunden werden

Active Directory Verbunddienste als Übersetzter

Es ist auch möglich, den Active Directory Verbundsdienst als Übersetzer zwischen zum Beispiel SAML 2.0 (Security Assertion Markup Language) und WS-Federation zu nutzen. Das ermöglicht zum Beispiel Benutzer aus einem Identitätsmanagement das kein WS-Federation spricht mit einem Microsoft SharePoint zu verbinden. Dies ist natürlich nur eine mögliches Beispiel für ADFS als Ticket Konverter. Auch denkbar wäre die Anmeldung an einem Dienst der nur SAML 2.0 akzeptiert mit einem WS-Föderation Token oder einem Active Directory Benutzer.

ADFS als Brücke zwischen Unternehmen

Im vorigen Beispiel ging es schon um SharePoint Server die von mehreren Unternehmen / Active Directory Forrests genutzt werden können. Dies gilt aber nicht nur für Microsoft SharePoint, ein weiteres Beispiel hierfür wäre eine Citrix XenApp-Farm die sich in einer anderen Umgebung als die Benutzer befinden.

Die Zukunft von ADFS

In der Zeit der Cloud Dienste nimmt der Active Directory Federation Service , durch seine Nähe zu Microsoft Active Directory, eine Interessante Position ein. Die Implementierung ist, wenn sie richtig geplant ist nicht so Kompliziert wie die Einführung eines Identity Management Systems. Für die Benutzer liegen die Vorteile auf der Hand: Ein Benutzerkonto mit einem Password. Dies ist auch für die IT ein Vorteil, weil die ganzen verschiedenen Konten für die Verschieden Systeme nicht mehr mehrfach gepflegt werden müssen. Die vereinfacht das provisionieren aber auch das deprovisionieren von Benutzern. Auch wird das Risiko gesenkt, das ein Partnerunternehmen nicht zeitnah über das Ausscheiden eines Mitarbeiter informiert.

Wer jetzt denkt, nur die Microsoft Online Services würden als Cloud-Dienst die Active Directory Verbundsdienste unterstützen, der Irrt. Neben Microsoft bieten unter anderem auch Salesforce.com (Über SAML 2.0), Amazon für einige Cloud Dienste und Google Apps die Möglichkeit an, für Unternehmen ein SingleSignOn mit Active Directory Federation Service zu nutzen.

Generell bleibt zu sagen, Active Directory Federation Service ist eine der Lösungen wenn Identitäten in Zukunft Systemgrenzen über schreiten müssen.

Fabian Niesen

Fabian Niesen ist seit Jahren beruflich als IT-Consultant unterwegs und hat von Mai 2012 bis Juli 2015 bei der CONET Solutions GmbH in Hennef gearbeitet. Unter anderem ist er Zertifiziert als MCSA Windows Server 2012, MCSA Office365,MCSE Messeging, Microsoft Certified Trainer und Novell Certified Linux Administrator.

Ein Kommentar

Antwort hinterlassen

Shares