Active Directory Federation Service (ADFS) to komponent oprogramowania opracowany przez firmę Microsoft w celu świadczenia usługi autoryzacji pojedynczego logowania (SSO) użytkownikom systemów operacyjnych Windows Server. ADFS umożliwia użytkownikom ponad granicami organizacji dostęp do aplikacji w systemach operacyjnych Windows Server za pomocą jednego zestawu poświadczeń logowania.
ADFS wykorzystuje model autoryzacji kontroli dostępu oparty na oświadczeniach, aby zapewnić bezpieczeństwo w aplikacjach korzystających z federated identity., Uwierzytelnianie oparte na oświadczeniach to proces, w którym użytkownik jest identyfikowany za pomocą zestawu oświadczeń związanych z jego tożsamością. Roszczenia są pakowane w bezpieczny token przez dostawcę tożsamości.
jak działa ADFS?
proces uwierzytelniania za pomocą usługi Active Directory Federation Service (ADFS) odbywa się w następujących krokach:
- użytkownik przechodzi do usługi, na przykład strony partner-firma (http://example.com), aby uzyskać cennik lub szczegóły produktu.
- strona żąda tokena uwierzytelniania.
- użytkownik żąda tokena z serwera ADFS.,
- serwer ADFS wydaje token zawierający zestaw oświadczeń użytkowników.
- użytkownik przekazuje token na stronę partnera-firmy.
- serwis udziela użytkownikowi dostępu autoryzacyjnego.
Komponenty ADFS:-
- Active Directory: informacje o tożsamości, które mają być używane przez ADFS, są przechowywane w Active Directory.
- serwer federacyjny: zawiera narzędzia potrzebne do zarządzania federacyjnymi funduszami między partnerami biznesowymi., Przetwarza żądania uwierzytelniania pochodzące od użytkowników zewnętrznych i hostuje usługę tokenów bezpieczeństwa, która wydaje tokeny dla roszczeń na podstawie weryfikacji poświadczeń z AD.
- serwer federacyjny Proxy: serwer pośredniczący jest wdrażany w Extranecie organizacji, z którym zewnętrzni klienci łączą się, żądając tokenu bezpieczeństwa. Przekazuje te żądania do serwera Federacji. Serwer federacyjny nie jest narażony bezpośrednio na dostęp do Internetu, aby zapobiec zagrożeniom bezpieczeństwa.,
- ADFS Web Server: hostuje agenta internetowego ADFS, który zarządza tokenami bezpieczeństwa i ciasteczkami uwierzytelniającymi wysyłanymi do niego w celach uwierzytelniania.
dlaczego ADFS jest używany przez organizacje?
Korzystanie z usługi Active Directory (AD) w połączonym świecie online stwarza wyzwania związane z uwierzytelnianiem. AD nie może uwierzytelniać użytkowników, którzy próbują uzyskać dostęp do zintegrowanych aplikacji na zewnątrz. We współczesnym miejscu pracy Użytkownicy często muszą uzyskać dostęp do aplikacji, które nie są własnością ani nie są zarządzane przez reklamę ich organizacji. Usługa ADFS jest w stanie rozwiązać i uprościć te wyzwania związane z uwierzytelnianiem innych firm.,
ADFS umożliwia użytkownikom z jednej organizacji dostęp do aplikacji organizacji partnerskich przy użyciu standardowych poświadczeń usługi Active Directory (AD) ich organizacji. ADFS umożliwia również użytkownikom dostęp do aplikacji zintegrowanych z reklamami podczas pracy zdalnej przy użyciu standardowych poświadczeń organizacyjnych za pośrednictwem interfejsu internetowego. Podczas nawiązywania partnerstwa w celu korzystania z aplikacji internetowych innej organizacji ADFS zapewnia centralne miejsce do zarządzania i audytu informacji o tożsamości pracowników, które są udostępniane partnerom organizacji.,
ponad 90% organizacji korzysta z usługi Active Directory, co oznacza, że wiele z nich również korzysta z ADFS.
ADFS może być używany w poniższych scenariuszach:
- Single Sign-On (SSO): ADFS może być używany do zapewnienia autoryzacji pojedynczego logowania (SSO) użytkownikom, którzy chcą uzyskać dostęp do aplikacji znajdujących się w różnych sieciach lub organizacjach. Zapewnia bezproblemowy dostęp jednokrotnego logowania (SSO)do aplikacji lub usług internetowych.
- Identity Federation (zarządzanie tożsamością): tożsamość Federacyjna to pojęcie, w którym tożsamość użytkownika jest scentralizowana. Ułatwia to zarządzanie tożsamością., Zarządzanie tożsamością ma na celu utrzymanie bezpieczeństwa przy jednoczesnym utrzymaniu niskich kosztów związanych z zarządzaniem tożsamościami użytkowników.
ADFS Office 365 przykład:
- Office 365 używa środowiska Active Directory, w którym dedykowana domena jest tworzona w chmurze dla każdego użytkownika subskrypcji Office 365.
- ADFS jest tutaj używany przez skonfigurowanie synchronizacji katalogów (narzędzie DirSyc), które tworzy konta w domenie Microsoft pasujące do kont w domenie użytkownika.
- użytkownik może wybrać konta, które powinny być zsynchronizowane w reklamie.,
Office 365 Single Sign-On (SSO) with ADFS
ograniczenia ADFS:
- koszty utrzymania: ADFS generuje wysoki koszt utrzymania, który składa się z utrzymania infrastruktury, zarządzania wieloma federacjami, kosztów certyfikatów SSL.
- złożoność ADFS: Dodawanie aplikacji lub systemu do usługi ADFS jest złożone i czasochłonne. Nie ma przyjaznego dla użytkownika pulpitu zarządzania do zarządzania użytkownikami, grupami i zasadami uwierzytelniania.,
- problem z bezpieczeństwem ADFS: ADFS działa na systemie Windows Server, który ma więcej problemów z bezpieczeństwem, takich jak podatność na złośliwe oprogramowanie i inne błędy związane z bezpieczeństwem.
- ADFS nie zezwala na udostępnianie plików ani drukowanie za pomocą serwerów druku.
- ADFS nie może uzyskać dostępu do zasobów Active Directory.
- ADFS nie obsługuje połączeń pulpitu zdalnego.
ADFS Vs miniOrange IDP
funkcje | ADFS | miniOrange IDP | |
obsługa Wielu protokołów | obsługuje protokół ograniczony (SAML 2.,0, WS-Federation & OAuth 2.,td> | obsługuje ograniczone metody MFA | obsługuje 15+ metod MFA |
jednokrotne logowanie do aplikacji mobilnych | nie obsługuje | obsługuje SSO do aplikacji mobilnych | |
uwierzytelnianie Adaptacyjne | nie obsługuje | obsługuje | |
JWT | nie obsługuje | obsługuje |
powiązane artykuły integracji ADFS
ADFS jako IDP
ADFS jak dla WordPress
ADFS single sign-on (SSO)
ADFS-Windows single sign – on