Was sind Microsoft Active Directory Federation Services (ADFS)?
Die Microsoft Active Directory Verbunddienste, wie Microsoft Active Directory Federation Services (ADFS) übersetzt wird, dienen der Identifizierung und Autorisierung und können als Security Token Service genutzt werden. Mit den Diensten ist die organisationsübergreifende Anmeldung an Services per Single Sign-On möglich.
Vorteile von Microsoft Active Directory Federation Services
Mit ADFS können Unternehmen die Zugangskennungen ihrer Mitarbeiter zentral managen. Das entlastet einerseits die IT, andererseits können Mitarbeiter sich unkompliziert in zahlreichen internen und externen Anwendungen anmelden. Microsoft ADFS bietet darüber hinaus folgende Vorteile:
- Benutzer benötigen nur einen Zugang für verschiedene Anwendungen und Systeme
- verringerter Verwaltungsaufwand von Benutzerkennungen und Passwörtern
- Anonymität: externe Dienstleister sehen Benutzerkennung und Passwort nicht
- bessere User Experience sorgt für gesteigerte Effizienz
Einsatzmöglichkeiten für den Active Directory Verbunddienst
Mit Microsoft Active Directory Federation Services in die Cloud
Eine der häufigsten Anwendungsfälle ist die Authentifizierung von Benutzern im Unternehmen für externe Dienste, um ein Single Sign-On zu ermöglichen. Der ADFS ermöglicht zum Beispiel das sich die Benutzer von Microsoft Office365 mit ihrem Unternehmens Benutzerkonto am Office365 anmelden können und gegen das Unternehmens interne Microsoft Active Directory authentifiziert werden können. Der Verbunddienst ermöglicht das ohne eine Active Directory Vertrauensstellung oder die Synchronisation der Benutzerkennwörter in Cloud. Das eigene Active Directory wird dabei von Active Directory Federation Service genutzt, ist aber aus dem Internet nicht erreichbar. Die Kommunikation mit dem ADFS erfolgt für den Benutzer ausschließlich SSL-Verschlüsselt über HTTPS (TCP Port 443). Empfohlen ist einen speziellen ADFS-Proxyserver in die DMZ zu integrieren. Der ADFS-Server und der ADFS-Proxyserver können mit einem LoadBalancer Hochverfügbar gemacht werden. Hierbei wird auch der Microsoft Netzwerk LoadBalancer (NLB) unterstützt, da es sich beim Active Directory Federation Service um eine IIS basierte Webanwendung handelt.
In kleineren Umgebungen unterstützt Microsoft auch die Installation der ADFS-Server auf bestehende Active Directory Domain Controller für die Microsoft Online Services.
Mit ADFS am Microsoft SharePoint anmelden
Ein weiteres beliebtes Szenario ist den Microsoft SharePoint mit ADFS zu koppeln, dies ermöglicht die Anmeldung am SharePoint mit Benutzern, die nicht in der Domäne das SharePoint Server liegen müssen. Auch ist eine Active Directory Vertrauensstellung dadurch nicht notwendig. Dieses Szenario wird oft verwendet, wenn die SharePoint Umgebung isoliert werden soll, oder wenn ich anderen Unternehmen die Möglichkeit bieten möchte das sich die Externen Mitarbeiter mit Ihren Unternehmensidentitäten anzumelden. Der Vorteil für den Betreiber der SharePoint Farm sind unteranderem weniger Helpdesk Aufwand für vergessene Passwörter und wenn der Mitarbeiter des Partnerunternehmen das Unternehmen verlässt und das Konto gesperrt wird, ist auch ein Zugriff auf die SharePoint Farm nicht mehr möglich. Auch können mit dieser Methode mehrere Partnerunternehmen an einen SharePoint angebunden werden
Active Directory Verbunddienste als Übersetzter
Es ist auch möglich, den Active Directory Verbunddienst als Übersetzer zwischen zum Beispiel SAML 2.0 (Security Assertion Markup Language) und WS-Federation zu nutzen. Das ermöglicht zum Beispiel Benutzer aus einem Identitätsmanagement, das kein WS-Federation spricht, mit einem Microsoft SharePoint zu verbinden. Dies ist natürlich nur ein mögliches Beispiel für ADFS als Ticket Konverter. Auch denkbar wäre die Anmeldung an einem Dienst der nur SAML 2.0 akzeptiert mit einem WS-Föderation Token oder einem Active Directory Benutzer.
ADFS als Brücke zwischen Unternehmen
Im vorigen Beispiel ging es schon um SharePoint Server die von mehreren Unternehmen / Active Directory Forrests genutzt werden können. Dies gilt aber nicht nur für Microsoft SharePoint, ein weiteres Beispiel hierfür wäre eine Citrix XenApp-Farm die sich in einer anderen Umgebung als die Benutzer befinden.
Die Zukunft von ADFS
In der Zeit der Cloud-Dienste nimmt der Active Directory Federation Service, durch seine Nähe zu Microsoft Active Directory, eine Interessante Position ein. Die Implementierung ist, wenn sie richtig geplant ist, nicht so kompliziert wie die Einführung eines Identity Management Systems. Für die Benutzer liegen die Vorteile auf der Hand: Ein Benutzerkonto mit einem Password. Dies ist auch für die IT ein Vorteil, weil die ganzen verschiedenen Konten für die Verschieden Systeme nicht mehr mehrfach gepflegt werden müssen. Die vereinfacht das Provisionieren aber auch das Deprovisionieren von Benutzern. Auch wird das Risiko gesenkt, dass ein Partnerunternehmen nicht zeitnah über das Ausscheiden eines Mitarbeiters informiert. Wer jetzt denkt, nur die Microsoft Online Services würden als Cloud-Dienst die Active Directory Verbundsdienste unterstützen, der irrt. Neben Microsoft bieten unter anderem auch Salesforce (Über SAML 2.0), Amazon für einige CloudD-ienste und Google Apps die Möglichkeit an, für Unternehmen ein Single Sign-On mit Active Directory Federation Service zu nutzen.
Generell bleibt zu sagen, Active Directory Federation Service ist eine der Lösungen, wenn Identitäten in Zukunft Systemgrenzen überschreiten müssen.
Über den Autor
Fabian Niesen ist seit Jahren beruflich als IT-Consultant unterwegs und hat von Mai 2012 bis Juli 2015 bei der CONET Solutions GmbH in Hennef gearbeitet. Unter anderem ist er Zertifiziert als MCSA Windows Server 2012, MCSA Office365, MCSE Messeging, Microsoft Certified Trainer und Novell Certified Linux Administrator.
Hi! Besser kann man das nicht erklären! Danke!