Active Directory Federation Service (ADFS) é um componente de software desenvolvido pela Microsoft para fornecer um serviço de autorização de sinal único (SSO) aos utilizadores em sistemas operacionais Windows Server. ADFS permite que os usuários através dos limites organizacionais para acessar aplicações em sistemas operacionais Windows Server usando um único conjunto de credenciais de login.
ADFS utiliza o modelo de autorização de controlo de acesso baseado em reclamações para garantir a segurança entre os pedidos utilizando identidade federada., Autenticação baseada em reivindicações é um processo no qual um usuário é identificado por um conjunto de reivindicações relacionadas com a sua identidade. As reivindicações são embaladas em um token seguro pelo Provedor de identidade.como funciona o ADFS?
O processo de autenticação usando o Active Directory Serviço de Federação (ADFS), ocorre nas seguintes etapas:
- O usuário navega para um serviço, por exemplo, um parceiro-site da empresa (http://example.com) para obter preços ou detalhes do produto.
- o site pede um token de autenticação.
- user requests token from the ADFS server.,
- ADFS server issues token containing users set of claims.
- Usuário encaminha token para o site da empresa parceira.
- o site concede autorização de acesso ao usuário.
componentes do ADFS:-
- Active Directory: a informação de identidade que deve ser utilizada pelo ADFS é armazenada na pasta activa.
- Federation Server: It contains the tools needed to manage federated trusts between business partners., Ele processa pedidos de autenticação provenientes de usuários externos e hospeda um serviço token de segurança que emite tokens para reclamações baseadas na verificação de credenciais do AD.
- Federation Server Proxy: The Proxy is deployed on the extranet of the organization, to which external clients connect when requesting a security token. Envia estes pedidos para o servidor da Federação. O servidor da Federação não está exposto diretamente à internet para prevenir riscos de segurança.,
- ADFS Web Server: ele hosts the ADFS Web Agent which manages the security tokens and authentication cookies sent to it for authentication purposes.
por que o ADFS é utilizado pelas organizações?
usar o Active Directory (AD) no mundo online ligado cria desafios de autenticação. O AD não pode autenticar usuários que tentam acessar aplicações integradas externamente. No local de trabalho moderno, os usuários muitas vezes precisam acessar aplicativos que não são propriedade ou gerenciados pelo anúncio de sua organização. O ADFS é capaz de resolver e simplificar esses desafios de autenticação de terceiros.,
ADFS permite aos usuários de uma organização acessar aplicações de organizações parceiras usando as credenciais padrão do Diretório Ativo de sua organização (AD). O ADFS também permite que os Usuários acessem aplicações AD-integrated enquanto trabalham remotamente usando suas credenciais de AD organizacional padrão através de uma interface web. Ao estabelecer uma parceria para usar as aplicações web de outra organização, o ADFS fornece um lugar central para gerenciar e auditar as informações de identidade dos funcionários que são compartilhadas com os parceiros de sua organização.,
mais de 90% das organizações usam diretório ativo, o que significa que muitos usam ADFS também.
ADFS pode ser usado nos cenários abaixo:
- Single Sign-On (SSO): ADFS pode ser usado para fornecer autorização de sinal único (SSO) para usuários que querem acessar aplicações localizadas em diferentes redes ou organizações. Fornece acesso sem descontinuidades a aplicações ou serviços orientados para a Internet.Federação de identidade (“Identity Management”): identidade federada é um conceito onde a identidade de um usuário é centralizada. Isso torna a gestão de identidade mais fácil., A gestão de identidade é feita para manter a segurança, mantendo os custos associados com a gestão de identidades de usuário, baixo.
ADFS Office 365 example:
- Office 365 uses an Active Directory environment wherein a dedicated domain is created on the cloud for each user’s Office 365 subscription.
- ADFS é usado aqui ao configurar a sincronização de directórios (ferramenta DirSyc) que cria contas no domínio da Microsoft que correspondem às contas dentro do domínio do utilizador.
- um usuário pode selecionar contas que devem ser sincronizadas no anúncio.,
Office 365 Single Sign-On (SSO) com ADFS
ADFS Limitações:
- Custos de Manutenção: ADFS gera um alto custo de manutenção, que consiste de manutenção da infra-estrutura, a gestão de várias federações, certificado SSL custos.
- complexidade de ADFS: adicionar uma aplicação ou sistema a um serviço de ADFS é complexo e demorado. Ele não tem um painel de gerenciamento amigável para gerenciar usuários, grupos e políticas de autenticação.,
- ADFS Security issue: o ADFS é executado no Windows Server, que tem mais problemas de segurança como vulnerabilidade a malware e outros erros relacionados à segurança.
- ADFS não permite a partilha de ficheiros ou a impressão através de servidores de impressão.
- ADFS não pode acessar recursos de diretórios ativos.
- ADFS não suporta conexões de Desktop remotas.
ADFS Vs miniOrange IDP
Características | ADFS | miniOrange IDP | |
Multi-Protocolo de suporte | Suporta um número limitado de protocolo SAML (2.,0, WS-Federation & OAuth 2.,thentication) | Ele suporta um número limitado de MFA métodos | Ele suporta 15+ MFA métodos |
Single Sign-On em Aplicativos para Celular | não oferece suporte a | Ele suporta SSO em Aplicativos para Celular | |
Adaptativo de Autenticação | não oferece suporte a | Ele suporta | |
JWT | não oferece suporte a | Ele suporta |
Artigos Relacionados de Integração ADFS
ADFS Como IDP
ADFS Como Para WordPress
ADFS Single Sign-On (SSO)
ADFS – Windows Single Sign-On