Active Directory Federation Service (ADFS) är en programvarukomponent som utvecklats av Microsoft för att tillhandahålla Single Sign-On (SSO) auktoriseringstjänst för användare på Windows Server operativsystem. ADFS tillåter användare över organisatoriska gränser för att komma åt program på Windows Server operativsystem med en enda uppsättning inloggningsuppgifter.
ADFS använder sig av auktoriseringsmodell för skadebaserad åtkomstkontroll för att säkerställa säkerhet för alla applikationer som använder federerad identitet., Kravbaserad autentisering är en process där en användare identifieras av en uppsättning påståenden relaterade till deras identitet. Påståendena förpackas i en säker token av identitetsleverantören.
hur fungerar ADFS?
autentiseringsprocessen med Active Directory Federation Service (ADFS) sker i följande steg:
- användaren navigerar till en tjänst, till exempel en partnerföretagets webbplats (http://example.com) för att få priser eller produktinformation.
- webbplatsen begär en autentiseringstoken.
- användarbegäranden token från ADFS-servern.,
- ADFS serverproblem token som innehåller användare uppsättning anspråk.
- användaren vidarebefordrar token till partnerföretagets webbplats.
- webbplatsen ger behörighet åt användaren.
ADFS komponenter:-
- Active Directory: Identitetsinformationen som ska användas av ADFS lagras i Active Directory.
- Federationsserver: den innehåller de verktyg som behövs för att hantera federerade förtroende mellan affärspartners., Den behandlar autentiseringsbegäranden som kommer in från externa användare och är värd för en säkerhetstoken-tjänst som utfärdar tokens för anspråk baserat på verifiering av autentiseringsuppgifter från annonsen.
- Federationsserverproxy: proxyn distribueras på organisationens Extranät, till vilken externa klienter ansluter när du begär en säkerhetstoken. Det vidarebefordrar dessa förfrågningar till Federationsservern. Federationsservern utsätts inte direkt för internet för att förhindra säkerhetsrisker.,
- ADFS Web Server: den är värd för ADFS Web Agent som hanterar säkerhetstokens och autentiseringscookies som skickas till den för autentiseringsändamål.
varför ADFS används av organisationer?
användning av Active Directory (AD) i den anslutna onlinevärlden skapar autentiseringsutmaningar. Annonsen kan inte autentisera användare som försöker komma åt integrerade program externt. På den moderna arbetsplatsen behöver användarna ofta komma åt applikationer som inte ägs eller hanteras av organisationens annons. ADFS kan lösa och förenkla dessa autentiseringsutmaningar från tredje part.,
ADFS tillåter användare från en organisation att komma åt program från partnerorganisationer med hjälp av standarduppgifter för organisationens Active Directory (AD). ADFS låter också användare komma åt annonsintegrerade applikationer medan de arbetar på distans med hjälp av sina vanliga organisatoriska annonsuppgifter via ett webbgränssnitt. När du etablerar ett partnerskap för att använda en annan organisations webbapplikationer, ger ADFS en central plats för att hantera och granska den anställde identitetsinformation som delas med organisationens partners.,
över 90% av organisationerna använder Active Directory, vilket innebär att många använder ADFS också.
ADFS kan användas i nedanstående scenarier:
- Single Sign-On (SSO): ADFS kan användas för att ge Enkel inloggning (SSO) tillstånd till användare som vill komma åt program som finns i olika nätverk eller organisationer. Det ger sömlös enkel inloggning (SSO) tillgång till Internet-vända applikationer eller tjänster.
- Identity Federation (Identity Management): federerad identitet är ett koncept där en användares identitet centraliseras. Detta gör identitetshantering enklare., Identitetshantering görs för att upprätthålla säkerheten samtidigt som kostnaderna i samband med hantering av användaridentiteter, låg.
ADFS Office 365 exempel:
- Office 365 använder en Active Directory-miljö där en dedikerad domän skapas på molnet för varje användares Office 365-prenumeration.
- ADFS används här genom att konfigurera katalogsynkronisering (DirSyc tool) som skapar konton i Microsofts domän som matchar kontona inom användarens domän.
- en användare kan välja konton som ska synkroniseras i annonsen.,
Office 365 Single Sign-On (SSO) med ADFS
ADFS begränsningar:
- underhållskostnader: ADFS genererar en hög underhållskostnad som består av underhåll av infrastruktur, hantering av flera förbund, SSL-certifikatkostnader.
- ADFS-komplexitet: att lägga till ett program eller ett system i en ADFS-tjänst är komplext och tidskrävande. Den har inte en användarvänlig instrumentpanel för hantering av användare, grupper och autentiseringspolicyer.,
- ADFS säkerhetsproblem: ADFS körs på Windows Server, som har fler säkerhetsproblem som sårbarhet mot skadlig kod och andra säkerhetsrelaterade fel.
- ADFS tillåter inte fildelning eller utskrift med skrivarservrar.
- ADFS kan inte komma åt Active Directory-resurser.
- ADFS stöder inte fjärrskrivbordsanslutningar.
ADFS Vs miniOrange IDP
funktioner | ADFS | miniOrange IDP | |
stöd för flera protokoll | stöder begränsat protokoll (SAML 2.,0, WS-Federation & OAuth 2.,MFA-metoder | den stöder begränsade MFA-metoder | den stöder 15+ MFA – metoder |
Single Sign-On i mobilappar | stöder inte | den stöder SSO i mobilappar | |
adaptiv autentisering | stöder inte | den stöder | |
JWT | stöder inte | den stöder |
relaterade artiklar av ADFS integration
ADFS som IDP
ADFS som för WordPress
ADFS single sign-on (SSO)
ADFS-Windows single sign-on