Active Directory Federation Service (ADFS) (Italiano)

Active Directory Federation Service (ADFS) è un componente software sviluppato da Microsoft per fornire un servizio di autorizzazione Single Sign-On (SSO) agli utenti sui sistemi operativi Windows Server. ADFS consente agli utenti oltre i limiti organizzativi di accedere alle applicazioni sui sistemi operativi Windows Server utilizzando un singolo set di credenziali di accesso.

ADFS utilizza il modello di autorizzazione del controllo degli accessi basato su attestazioni per garantire la sicurezza tra le applicazioni che utilizzano l’identità federata., L’autenticazione basata su attestazioni è un processo in cui un utente viene identificato da una serie di attestazioni relative alla propria identità. Le attestazioni sono racchiuse in un token sicuro dal provider di identità.

Come funziona ADFS?

Il processo di autenticazione tramite Active Directory Federation Service (ADFS), avviene nei seguenti passaggi:

  1. L’utente naviga su un servizio, ad esempio un sito web partner-azienda (http://example.com) per ottenere prezzi o dettagli del prodotto.
  2. Il sito richiede un token di autenticazione.
  3. L’utente richiede token dal server ADFS.,
  4. Il server ADFS emette un token contenente un insieme di attestazioni degli utenti.
  5. L’utente inoltra il token al sito Web della società partner.
  6. Il sito web concede all’utente l’autorizzazione all’accesso.

Componenti ADFS:-

  • Active Directory: le informazioni di identità che devono essere utilizzate da ADFS sono memorizzate su Active Directory.
  • Federation Server: contiene gli strumenti necessari per gestire i trust federati tra partner commerciali., Elabora le richieste di autenticazione provenienti da utenti esterni e ospita un servizio di token di sicurezza che emette token per le attestazioni in base alla verifica delle credenziali di AD.
  • Federation Server Proxy: il Proxy viene distribuito nell’extranet dell’organizzazione, a cui i client esterni si connettono quando richiedono un token di sicurezza. Inoltra queste richieste al server della Federazione. Il server della Federazione non è esposto direttamente a Internet per prevenire rischi per la sicurezza.,
  • ADFS Web Server: ospita l’ADFS Web Agent che gestisce i token di sicurezza e i cookie di autenticazione ad esso inviati a scopo di autenticazione.

Perché ADFS viene utilizzato dalle organizzazioni?

L’utilizzo di Active Directory (AD) nel mondo online connesso crea problemi di autenticazione. AD non può autenticare gli utenti che tentano di accedere alle applicazioni integrate esternamente. Nell’ambiente di lavoro moderno, gli utenti spesso devono accedere ad applicazioni che non sono di proprietà o gestite dall’ANNUNCIO della propria organizzazione. ADFS è in grado di risolvere e semplificare queste sfide di autenticazione di terze parti.,

ADFS consente agli utenti di un’organizzazione di accedere alle applicazioni delle organizzazioni partner utilizzando le credenziali standard di Active Directory (AD) dell’organizzazione. ADFS consente inoltre agli utenti di accedere alle applicazioni AD-integrated mentre lavorano in remoto utilizzando le proprie credenziali AD organizzative standard tramite un’interfaccia Web. Quando si stabilisce una partnership per utilizzare le applicazioni Web di un’altra organizzazione, ADFS fornisce un luogo centrale per gestire e controllare le informazioni sull’identità dei dipendenti condivise con i partner dell’organizzazione.,

Oltre il 90% delle organizzazioni utilizza Active Directory, il che significa che molti usano anche ADFS.

ADFS può essere utilizzato negli scenari seguenti:

  1. Single Sign-On (SSO): ADFS può essere utilizzato per fornire l’autorizzazione Single Sign-On (SSO) agli utenti che desiderano accedere ad applicazioni situate in reti o organizzazioni diverse. Fornisce un accesso Single Sign-On (SSO) senza interruzioni alle applicazioni o ai servizi rivolti a Internet.
  2. Identity Federation (Identity Management): l’identità federata è un concetto in cui l’identità di un utente è centralizzata. Questo rende la gestione delle identità più facile., La gestione delle identità viene eseguita per mantenere la sicurezza mantenendo bassi i costi associati alla gestione delle identità degli utenti.

ADFS Office 365 esempio:

  • Office 365 utilizza un ambiente Active Directory in cui viene creato un dominio dedicato sul cloud per l’abbonamento a Office 365 di ciascun utente.
  • ADFS viene utilizzato qui impostando la sincronizzazione delle directory (strumento DirSyc) che crea account nel dominio di Microsoft corrispondenti agli account all’interno del dominio dell’utente.
  • Un utente può selezionare gli account che devono essere sincronizzati nell’annuncio.,

Office 365 Single Sign-On (SSO) con ADFS

ADFS Limitazioni:

  • i Costi di Manutenzione: ADFS genera un alto costo di manutenzione che consiste di manutenzione dell’infrastruttura, la gestione di più federazioni, certificato SSL costi.
  • Complessità ADFS: aggiungere un’applicazione o un sistema a un servizio ADFS è complesso e richiede molto tempo. Non dispone di un dashboard di gestione user-friendly per la gestione di utenti, gruppi e criteri di autenticazione.,
  • Problema di sicurezza ADFS: ADFS viene eseguito su Windows Server, che hanno più problemi di sicurezza come la vulnerabilità al malware e altri errori relativi alla sicurezza.
  • ADFS non consente la condivisione di file o la stampa utilizzando i server di stampa.
  • ADFS non può accedere alle risorse di Active Directory.
  • ADFS non supporta le connessioni desktop remoto.

ADFS Vs miniOrange IDP

Caratteristiche ADFS miniOrange IDP
Multi-Protocollo per il sostegno Supporta limitata protocollo SAML (2.,0, WS-Federation & OAuth 2.,thentication) supporta limitata MFA metodi supporta 15+ MFA metodi
Single Sign-On in Mobile non supporta supporta SSO in Mobile
Adaptive Authentication non supporta supporta
JWT non supporta supporta

Articoli Correlati di Integrazione ADFS

ADFS Come IDP

ADFS Per WordPress

ADFS Single Sign-On (SSO)

ADFS – Windows Single Sign-On

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *