Active Directory Federation Service (ADFS) egy szoftver komponens által kifejlesztett Microsoft, hogy egyetlen bejelentkezési (SSO) engedélyezési szolgáltatás a felhasználók a Windows Server operációs rendszerek. Az ADFS lehetővé teszi a felhasználók számára a szervezeti határokon átívelő alkalmazások elérését a Windows Server operációs rendszereken egyetlen bejelentkezési hitelesítő adatkészlet segítségével.
az ADFS az igényeken alapuló hozzáférés-ellenőrzési engedélyezési modellt használja az összevont identitást használó alkalmazások biztonságának biztosítása érdekében., Az igényeken alapuló hitelesítés olyan folyamat, amelyben a felhasználót azonosítják a személyazonosságukkal kapcsolatos követelések. Az igények vannak csomagolva egy biztonságos token az identity szolgáltató.
hogyan működik az ADFS?
A hitelesítési folyamat az Active Directory Federation Service (ADFS) használatával a következő lépésekben történik:
- a felhasználó egy szolgáltatásba navigál, például egy partner-cég webhelyére (http://example.com), hogy árképzést vagy termékadatokat szerezzen.
- a weboldal hitelesítési tokent kér.
- felhasználói kérések token az ADFS szerver.,
- ADFS server issues token containing users set of claims.
- felhasználó továbbítja token a partner-cég honlapján.
- a weboldal jogosultságot biztosít a felhasználó számára.
ADFS Components:-
- Active Directory: az ADFS által használandó identitási információkat az Active Directory tárolja.
- Federation Server: tartalmazza az üzleti partnerek közötti összevont bizalmi kapcsolatok kezeléséhez szükséges eszközöket., Külső felhasználóktól érkező hitelesítési kérelmeket dolgoz fel, és olyan biztonsági token szolgáltatást üzemeltet, amely a hitelesítő adatok AD-ből történő ellenőrzése alapján állít ki tokeneket.
- Federation Server Proxy: a Proxy a szervezet extranetjén kerül telepítésre, amelyhez külső ügyfelek csatlakoznak, amikor biztonsági tokent kérnek. Ezeket a kéréseket továbbítja a Föderációs szervernek. A Föderációs szerver nincs közvetlenül kitéve az internetnek a biztonsági kockázatok megelőzése érdekében.,
- ADFS webkiszolgáló: az ADFS Web Agentet üzemelteti, amely a hitelesítés céljából küldött biztonsági tokeneket és hitelesítési cookie-kat kezeli.
miért használják az ADFS-t a szervezetek?
Az Active Directory (AD) használata a csatlakoztatott online világban hitelesítési kihívásokat okoz. A hirdetés nem hitelesítheti azokat a felhasználókat, akik kívülről próbálnak hozzáférni az integrált alkalmazásokhoz. A modern munkahelyen a felhasználóknak gyakran olyan alkalmazásokhoz kell hozzáférniük, amelyek nem a szervezet hirdetése tulajdonában vagy kezelésében vannak. Az ADFS képes megoldani és egyszerűsíteni ezeket a harmadik féltől származó hitelesítési kihívásokat.,
az ADFS lehetővé teszi az egyik szervezet felhasználóinak, hogy hozzáférjenek a partnerszervezetek alkalmazásaihoz a szervezet Active Directory (AD) szabványos hitelesítő adataival. Az ADFS lehetővé teszi a felhasználók számára, hogy webes felületen keresztül hozzáférjenek a hirdetés-integrált alkalmazásokhoz, miközben távolról dolgoznak a szokásos szervezeti hirdetési hitelesítő adataikkal. Amikor partnerséget hoz létre egy másik szervezet webes alkalmazásainak használatára, az ADFS központi helyet biztosít a szervezet partnereivel megosztott munkavállalói személyazonossági adatok kezeléséhez és ellenőrzéséhez.,
a szervezetek több mint 90% – a Használja az Active Directory-t, ami azt jelenti, hogy sokan használják az ADFS-t is.
ADFS lehet használni az alábbi forgatókönyvek:
- Single Sign-On( SSO): ADFS lehet használni, hogy egyetlen bejelentkezési (SSO) engedélyt a felhasználók számára, akik szeretnék elérni alkalmazásokat található különböző hálózatok vagy szervezetek. Zökkenőmentes egyszeri bejelentkezést (SSO) biztosít az Internet felé néző alkalmazásokhoz vagy szolgáltatásokhoz.
- Identity Federation (Identity Management): az összevont identitás olyan fogalom, ahol a felhasználó identitása központosított. Ez megkönnyíti az Identitáskezelést., Az Identitáskezelés a biztonság fenntartása érdekében történik, miközben a felhasználói identitások kezelésével kapcsolatos költségeket alacsonyan tartja.
ADFS Office 365 példa:
- Az Office 365 olyan Active Directory környezetet használ, amelyben a felhőben külön domain jön létre az egyes felhasználók Office 365 előfizetéséhez.
- az ADFS itt a könyvtárszinkronizálás (DirSyc tool) beállításával használható, amely a Microsoft domainjében fiókokat hoz létre, amelyek megfelelnek a felhasználói tartományon belüli fiókoknak.
- a felhasználó kiválaszthatja azokat a fiókokat, amelyeket szinkronizálni kell a hirdetésben.,
Office 365-Single Sign-On (SSO) az ADFS
ADFS Korlátozások:
- a Karbantartási Költségek: ADFS generál magas költségek a karbantartási amely az infrastruktúra karbantartása, kezelése több szövetségek, SSL tanúsítvány költségeit.
- ADFS komplexitás: egy alkalmazás vagy rendszer hozzáadása egy ADFS szolgáltatáshoz összetett és időigényes. Nincs felhasználóbarát kezelési irányítópultja a felhasználók, csoportok és hitelesítési irányelvek kezelésére.,
- ADFS Security issue: az ADFS Windows Serveren fut, ahol több biztonsági probléma van, mint például a rosszindulatú programok sebezhetősége vagy más biztonsági hibákkal kapcsolatos hibák.
- az ADFS nem engedélyezi a fájlmegosztást vagy a nyomtatókiszolgálókkal történő nyomtatást.
- az ADFS nem tud hozzáférni az Active Directory erőforrásokhoz.
- az ADFS nem támogatja a Távoli asztali kapcsolatokat.
ADFS Vs miniOrange IDP
| jellemzők | ADFS | miniOrange IDP | |
| Multi-protokoll támogatás | támogatja a korlátozott protokollt (SAML 2.,0, WS-Federation & OAuth 2.,thentication) | támogatja a korlátozott MFA módszerek | támogatja 15+ MFA módszerek |
| Single Sign-On a Mobil Alkalmazások | nem támogatja | támogatja SSO a Mobil Alkalmazások | |
| Adaptív Hitelesítés | nem támogatja | támogatja | |
| JWT | nem támogatja | támogatja |
Kapcsolódó Cikkek az ADFS Integráció
ADFS, Mint IDP
ADFS, Mint A WordPress
ADFS Single Sign-On (SSO)
ADFS – Windows-Single Sign-On