Active Directory Federation Service (ADFS) este o componentă software dezvoltată de Microsoft pentru a furniza servicii de autorizare Single Sign-On (SSO) utilizatorilor pe sistemele de operare Windows Server. ADFS permite utilizatorilor dincolo de granițele organizaționale să acceseze aplicații pe sistemele de operare Windows Server folosind un singur set de acreditări de conectare.ADFS utilizează modelul de autorizare a controlului accesului bazat pe revendicări pentru a asigura securitatea în aplicații care utilizează identitatea federalizată., Autentificarea bazată pe revendicări este un proces în care un utilizator este identificat printr-un set de revendicări legate de identitatea sa. Revendicările sunt ambalate într-un token securizat de către furnizorul de identitate.
cum funcționează ADFS?
procesul De autentificare folosind Active Directory Federation Service (PERIMAT), are loc în următoarele etape:
- utilizatorul navighează la un serviciu, de exemplu, un partener-ul companiei (http://example.com) pentru a obține prețuri sau detalii produs.
- site-ul solicită un jeton de autentificare.
- utilizator solicită jeton de pe serverul ADFS.,
- ADFS server emite jeton care conține utilizatori set de revendicări.
- Utilizatorul transmite token-ul către site-ul companiei partenere.
- site-ul acordă acces de autorizare pentru utilizator.
ADFS Componente:-
- Active Directory: Informațiile De Identitate care urmează a fi utilizate de către ADFS sunt stocate în Active Directory.
- Federation Server: conține instrumentele necesare pentru a gestiona trusturile Federate între partenerii de afaceri., Procesează cererile de autentificare care vin de la utilizatori externi și găzduiește un serviciu de token de securitate care emite jetoane pentru revendicări bazate pe verificarea acreditărilor de la AD.
- Federation Server Proxy: Proxy-ul este implementat pe extranetul organizației, la care clienții externi se conectează atunci când solicită un jeton de securitate. Transmite aceste cereri către serverul Federației. Serverul Federației nu este expus direct la internet pentru a preveni riscurile de securitate.,
- ADFS Web Server: găzduiește agentul web ADFS care gestionează jetoanele de securitate și cookie-urile de autentificare trimise acestuia în scopuri de autentificare.
De ce este utilizat ADFS de organizații?
utilizarea Active Directory (AD) în lumea online conectată creează provocări de autentificare. AD nu poate autentifica utilizatorii care încearcă să acceseze aplicații integrate extern. La locul de muncă modern, utilizatorii trebuie adesea să acceseze aplicații care nu sunt deținute sau gestionate de anunțul organizației lor. ADFS este capabil să rezolve și să simplifice aceste provocări de autentificare terță parte.,ADFS permite utilizatorilor dintr-o organizație să acceseze aplicațiile organizațiilor partenere folosind acreditările standard ale Active Directory (AD) organizației lor. ADFS permite, de asemenea, utilizatorilor să acceseze aplicații AD-integrate în timp ce lucrează de la distanță folosind acreditările standard de anunțuri organizaționale printr-o interfață web. Atunci când stabiliți un parteneriat pentru a utiliza aplicațiile web ale unei alte organizații, ADFS oferă un loc central pentru gestionarea și auditarea informațiilor despre identitatea angajaților care sunt partajate cu partenerii organizației lor.,
peste 90% din organizații folosesc Active Directory, ceea ce înseamnă că multe folosesc și ADFS.
ADFS poate fi utilizat în scenariile de mai jos:
- Single Sign-On (SSO): ADFS poate fi utilizat pentru a oferi autorizare Single Sign-On (SSO) utilizatorilor care doresc să acceseze aplicații situate în diferite rețele sau organizații. Acesta oferă acces fără sudură Single Sign-On (SSO) la aplicații sau servicii cu care se confruntă Internet.
- Identity Federation (Identity Management): identitatea Federată este un concept în care identitatea unui utilizator este centralizată. Acest lucru facilitează gestionarea identității., Managementul identității se face pentru a menține securitatea, păstrând în același timp costurile asociate cu gestionarea identităților utilizatorilor, scăzute.
ADFS Office 365 exemplu:
- Office 365 utilizează un mediu Active Directory în care un domeniu dedicat este creat în cloud pentru abonamentul Office 365 al fiecărui utilizator.
- ADFS este folosit aici prin configurarea sincronizării directoarelor (DirSyc tool) care creează conturi în domeniul Microsoft care se potrivesc conturilor din domeniul utilizatorului.
- un utilizator poate selecta conturi care ar trebui să fie sincronizate în anunț.,
Office 365 Single Sign-On (SSO) cu ADFS
ADFS Limitări:
- Costurile de Întreținere: ADFS generează un cost ridicat de întreținere, care constă de întreținere a infrastructurii, de gestionare a mai multor federații, certificat SSL costurile.
- complexitatea ADFS: adăugarea unei aplicații sau a unui sistem la un serviciu ADFS este complexă și necesită mult timp. Nu are un tablou de bord de gestionare ușor de utilizat pentru gestionarea utilizatorilor, grupurilor și politicilor de autentificare.,
- problemă de securitate ADFS: ADFS rulează pe Windows Server, care au mai multe probleme de securitate, cum ar fi vulnerabilitatea la malware și alte erori legate de securitate.
- ADFS nu permite partajarea de fișiere sau imprimarea folosind servere de imprimare.
- ADFS nu pot accesa resursele Active Directory.
- ADFS nu acceptă conexiuni Desktop la distanță.
ADFS Vs miniOrange IDP
| Caracteristici | ADFS | miniOrange IDP | |
| Multi-Protocol de sprijin | Suporta limitat protocol (SAML 2.,0, ws-Federation & OAuth 2.,autentificare) | Se sprijină limitat MAE metode | Se sprijină 15+ AMF metode |
| Sign-On Unic în Aplicații Mobile | nu suport | Se sprijină SSO în Aplicații Mobile | |
| Adaptive Autentificare | nu suport | Acesta susține | |
| JWT | nu suport | Acesta susține |
Articole Legate de ADFS Integrare
ADFS Ca IDP
ADFS Ca Pentru WordPress
ADFS Single Sign-On (SSO)
ADFS – Windows Sign-On Unic