Active Directory Federation Service (ADFS) (Deutsch)

Posted on

Active Directory Federation Service (ADFS) ist eine Softwarekomponente, die von Microsoft entwickelt wurde, um Benutzern auf Windows Server-Betriebssystemen einen Single Sign-On (SSO) – Autorisierungsdienst bereitzustellen. ADFS ermöglicht Benutzern über Organisationsgrenzen hinweg den Zugriff auf Anwendungen auf Windows Server-Betriebssystemen mit einem einzigen Satz von Anmeldeinformationen.

ADFS verwendet das Berechtigungsmodell für die anspruchsbasierte Zugriffskontrolle, um die Sicherheit für Anwendungen mit Verbundidentität zu gewährleisten., Die anspruchsbasierte Authentifizierung ist ein Prozess, bei dem ein Benutzer durch eine Reihe von Ansprüchen identifiziert wird, die sich auf seine Identität beziehen. Die Ansprüche werden vom Identitätsanbieter in ein sicheres Token gepackt.

Wie funktioniert ADFS?

Der Authentifizierungsprozess unter Verwendung des Active Directory Federation Service (ADFS) erfolgt in den folgenden Schritten:

  1. Der Benutzer navigiert zu einem Dienst, z. B. zu einer Website eines Partnerunternehmens (http://example.com), um Preise oder Produktdetails abzurufen.
  2. Die Website fordert ein Authentifizierungstoken an.
  3. Benutzer fordert Token vom ADFS-Server an.,
  4. Der ADFS-Server gibt ein Token aus, das einen Anspruchssatz enthält.
  5. Der Benutzer leitet Token an die Website des Partnerunternehmens weiter.
  6. Die Website gewährt dem Benutzer Autorisierungszugriff.

ADFS-Komponenten: –

  • Active Directory: Die Identitätsinformationen, die von ADFS verwendet werden sollen, werden im Active Directory gespeichert.
  • Verbundserver: Es enthält die Tools, die zum Verwalten verbundener Trusts zwischen Geschäftspartnern erforderlich sind., Es verarbeitet Authentifizierungsanforderungen, die von externen Benutzern eingehen, und hostet einen Sicherheitstokendienst, der Token für Ansprüche ausgibt, die auf der Überprüfung der Anmeldeinformationen von AD basieren.
  • Verbundserver-Proxy: Der Proxy wird im Extranet der Organisation bereitgestellt, mit dem externe Clients eine Verbindung herstellen, wenn ein Sicherheitstoken angefordert wird. Es leitet diese Anforderungen an den Verbundserver weiter. Der Verbundserver ist nicht direkt dem Internet ausgesetzt, um Sicherheitsrisiken zu vermeiden.,
  • ADFS-Webserver: Er hostet den ADFS-Webagenten, der die Sicherheitstoken und Authentifizierungscookies verwaltet, die zu Authentifizierungszwecken an ihn gesendet werden.

Warum wird ADFS von Organisationen verwendet?

Die Verwendung von Active Directory (AD) in der vernetzten Online-Welt führt zu Authentifizierungsproblemen. AD kann Benutzer, die versuchen, extern auf integrierte Anwendungen zuzugreifen, nicht authentifizieren. Am modernen Arbeitsplatz müssen Benutzer häufig auf Anwendungen zugreifen, die nicht der AD ihrer Organisation gehören oder von dieser verwaltet werden. ADFS ist in der Lage, diese Authentifizierungsprobleme von Drittanbietern zu lösen und zu vereinfachen.,

ADFS ermöglicht Benutzern aus einer Organisation den Zugriff auf Anwendungen von Partnerorganisationen mithilfe der Standardanmeldeinformationen des Active Directory (AD) ihrer Organisation. Mit ADFS können Benutzer auch auf AD-integrierte Anwendungen zugreifen, während sie mit ihren standardmäßigen Organisations-Anzeigenanmeldeinformationen über eine Weboberfläche remote arbeiten. Beim Aufbau einer Partnerschaft zur Verwendung der Webanwendungen einer anderen Organisation bietet ADFS einen zentralen Ort zum Verwalten und Prüfen der Mitarbeiteridentitätsinformationen, die mit den Partnern ihrer Organisation geteilt werden.,

Über 90% der Organisationen verwenden Active Directory, was bedeutet, dass viele auch ADFS verwenden.

ADFS können in den folgenden Szenarien verwendet werden:

  1. Single Sign-On (SSO): ADFS kann verwendet werden, um Benutzern, die auf Anwendungen in verschiedenen Netzwerken oder Organisationen zugreifen möchten, eine Single Sign-On-Berechtigung (SSO) bereitzustellen. Es bietet nahtlose Single Sign-On (SSO) Zugriff auf Internet-gerichtete Anwendungen oder Dienste.
  2. Identity Federation (Identity Management): Föderierte Identität ist ein Konzept, bei dem die Identität eines Benutzers zentralisiert ist. Dies erleichtert das Identitätsmanagement., Identitätsmanagement wird durchgeführt, um die Sicherheit aufrechtzuerhalten und gleichzeitig die mit der Verwaltung von Benutzeridentitäten verbundenen Kosten niedrig zu halten.

ADFS Office 365 Beispiel:

  • Office 365 verwendet eine Active Directory-Umgebung, in der für das Office 365-Abonnement jedes Benutzers eine dedizierte Domäne in der Cloud erstellt wird.
  • ADFS wird hier verwendet, indem die Verzeichnissynchronisation (DirSyc-Tool) eingerichtet wird, mit der Konten in der Microsoft-Domäne erstellt werden, die mit den Konten in der Domäne des Benutzers übereinstimmen.
  • Ein Benutzer kann Konten auswählen, die in der ANZEIGE synchronisiert werden sollen.,

Office 365 Single Sign-On (SSO) mit ADFS

ADFS Einschränkungen:

  • Wartungskosten: ADFS generiert hohe Wartungskosten, die aus Infrastrukturwartung, Verwaltung mehrerer Verbände und SSL-Zertifikatskosten bestehen.
  • ADFS-Komplexität: Das Hinzufügen einer Anwendung oder eines Systems zu einem ADFS-Dienst ist komplex und zeitaufwendig. Es verfügt nicht über ein benutzerfreundliches Verwaltungs-Dashboard zum Verwalten von Benutzern, Gruppen und Authentifizierungsrichtlinien.,
  • ADFS Sicherheitsproblem: ADFS läuft auf Windows Server, die mehr Sicherheitsprobleme wie Anfälligkeit für Malware und andere sicherheitsrelevante Fehler haben.
  • ADFS erlaubt keine Dateifreigabe oder das Drucken mit Druckservern.
  • ADFS kann nicht auf Active Directory-Ressourcen zugreifen.
  • ADFS unterstützt keine Remotedesktopverbindungen.

ADFS Vs miniOrange IDP

Eigenschaften ADFS miniOrange IDP
Multi-Protokoll-Unterstützung Unterstützt begrenzte protocol (SAML-2.,0, WS-Federation & OAuth 2.,thentication) Es unterstützt begrenzte MFA methoden Es unterstützt 15+ MFA methoden
Single Sign-On in Mobile Apps Nicht unterstützung Es unterstützt SSO in Mobile Apps
Adaptive Authentifizierung Nicht unterstützung Es unterstützt
JWT Nicht unterstützung Es unterstützt

Verwandte Artikel von ADFS Integration

ADFS Als IDP

ADFS Wie Für WordPress

ADFS Single Sign-On (SSO)

ADFS – Windows Einzigen Anmelden

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.