Active Directory Federation Service (ADFS) is een softwarecomponent ontwikkeld door Microsoft om SSO-autorisatieservice (Single Sign-On) te bieden aan gebruikers op Windows Server-besturingssystemen. Met ADFS kunnen gebruikers over organisatiegrenzen heen toegang krijgen tot toepassingen op Windows Server-besturingssystemen met behulp van een enkele set aanmeldingsreferenties.
ADFS maakt gebruik van op claims gebaseerd Toegangsbeheerautorisatiemodel om de veiligheid te garanderen voor toepassingen die gebruikmaken van federatieve identiteit., Op Claims gebaseerde verificatie is een proces waarbij een gebruiker wordt geïdentificeerd aan de hand van een reeks claims met betrekking tot zijn identiteit. De claims worden verpakt in een beveiligde token door de identiteit provider.
Hoe werkt ADFS?
het verificatieproces met behulp van de Active Directory Federation Service (ADFS) vindt plaats in de volgende stappen:
- De gebruiker navigeert naar een service, bijvoorbeeld een website van een partnerbedrijf (http://example.com) om prijzen of productgegevens te verkrijgen.
- de website vraagt om een authenticatietoken.
- gebruiker vraagt token aan van de ADFS-server.,
- ADFS-server geeft token uit met gebruikersclaims.
- gebruiker stuurt token door naar de website van het partnerbedrijf.
- de website verleent autorisatie toegang aan de gebruiker.
ADFS-componenten: –
- Active Directory: de identiteitsgegevens die door ADFS moeten worden gebruikt, worden opgeslagen in de Active Directory.
- Federation Server: het bevat de tools die nodig zijn om federatieve vertrouwensrelaties tussen zakelijke partners te beheren., Het verwerkt verificatieaanvragen van externe gebruikers en host een beveiligingstoken-service die tokens uitgeeft voor claims op basis van verificatie van referenties uit advertentie.
- Federation-serverproxy: de Proxy wordt geïmplementeerd op het extranet van de organisatie, waarmee externe clients verbinding maken wanneer ze een beveiligingstoken aanvragen. Deze verzoeken worden doorgestuurd naar de federatieserver. De Federation-server wordt niet rechtstreeks aan internet blootgesteld om beveiligingsrisico ‘ s te voorkomen.,
- ADFS-webserver: het host de ADFS-webagent die de beveiligingstokens en authenticatiecookies beheert die naar hem worden verzonden voor authenticatiedoeleinden.
Waarom wordt ADFS gebruikt door organisaties?
het gebruik van Active Directory (AD) in de verbonden Online wereld creëert verificatieuitdagingen. AD kan geen gebruikers verifiëren die extern toegang proberen te krijgen tot geïntegreerde toepassingen. Op de moderne werkplek moeten gebruikers vaak toegang krijgen tot applicaties die niet in het bezit zijn van of beheerd worden door de advertentie van hun organisatie. ADFS kan deze verificatieuitdagingen van derden oplossen en vereenvoudigen.,met
ADFS kunnen gebruikers van één organisatie toegang krijgen tot toepassingen van partnerorganisaties met behulp van de standaardreferenties van de Active Directory (AD) van hun organisatie. Met ADFS hebben gebruikers ook toegang tot AD-geà ntegreerde toepassingen terwijl ze op afstand werken met behulp van hun standaard organisatorische AD-referenties via een webinterface. Bij het opzetten van een partnerschap voor het gebruik van webtoepassingen van een andere organisatie, biedt ADFS een centrale plaats voor het beheren en controleren van de identiteitsgegevens van de werknemer die worden gedeeld met de partners van hun organisatie.,
meer dan 90% van de organisaties gebruiken Active Directory, wat betekent dat velen ook ADFS gebruiken.
ADFS kan in de volgende scenario ‘ s worden gebruikt:
- Single Sign-On (SSO): ADFS kan worden gebruikt om Single Sign-On (SSO) – autorisatie te verlenen aan gebruikers die toegang willen krijgen tot toepassingen in verschillende netwerken of organisaties. Het biedt naadloze Single Sign-On (SSO) toegang tot internet-gerichte toepassingen of diensten.
- Identity Federation (Identity Management): Federated Identity is een concept waarbij de identiteit van een gebruiker gecentraliseerd is. Dit maakt Identity Management eenvoudiger., Identity Management wordt gedaan om de veiligheid te handhaven, terwijl het houden van de kosten in verband met het beheer van de identiteit van de gebruiker, laag.
ADFS Office 365 voorbeeld:
- Office 365 gebruikt een Active Directory-omgeving waarin een speciaal domein wordt aangemaakt op de cloud voor het Office 365-abonnement van elke gebruiker.
- ADFS wordt hier gebruikt door directory synchronization (DirSyc tool) in te stellen dat accounts in Microsoft ‘ s domein maakt die overeenkomen met de accounts binnen het domein van de gebruiker.
- een gebruiker kan accounts selecteren die gesynchroniseerd moeten worden in de advertentie.,
Office 365 Single Sign-On (SSO) met ADFS
ADFS beperkingen:
- onderhoudskosten: ADFS genereert hoge onderhoudskosten die bestaan uit infrastructuuronderhoud, beheer van meerdere federaties, SSL-certificaatkosten.
- ADFS complexiteit: het toevoegen van een toepassing of systeem aan een ADFS-service is complex en tijdrovend. Het heeft geen gebruiksvriendelijk beheer dashboard voor het beheren van gebruikers, groepen en authenticatie beleid.,
- ADFS-beveiligingsprobleem: ADFS draait op Windows Server, die meer beveiligingsproblemen hebben, zoals kwetsbaarheid voor malware en andere beveiligingsgerelateerde fouten.
- ADFS staat het delen of afdrukken van bestanden met afdrukservers niet toe.
- ADFS heeft geen toegang tot Active Directory-bronnen.
- ADFS ondersteunt geen verbindingen met Extern bureaublad.
ADFS Vs miniOrange IDP
Features | ADFS | miniOrange IDP | Multi-Protocol Ondersteuning | ondersteunt beperkt protocol (SAML 2.,0, WS-Federation & OAuth 2.,thentication) | Het ondersteunt beperkt MFA methodes | Het ondersteunt 15+ de MFA methodes |
Single Sign-On in Mobiele Apps | geen ondersteuning | Het ondersteunt eenmalige aanmelding in Mobiele Apps |
Adaptive Authentication | geen ondersteuning | ondersteunt |
JWT | geen ondersteuning | Het ondersteunt |
Gerelateerde Artikelen van ADFS Integratie
ADFS Als IDP
ADFS Als Voor WordPress
ADFS Single Sign-On (SSO)
ADFS – Windows-Single Sign-On