Was ist ADFS (Active Directory Federation Services)?

• Wie funktioniert ADFS?
• Was sind die wichtigsten Vorteile der Verwendung von ADFS?
• Was sind die Risiken und Nachteile von ADFS?
• Typische Anwendungsbereiche von ADFS
• ADFS im Vergleich zu Cloud-Identitätslösungen
• Trends und Prognosen zur Zukunft von ADFS

Active Directory Federation Services (ADFS) ist eine von Microsoft entwickelte Lösung, die Single Sign-On-Funktionen (SSO) bereitstellt, die es Benutzern ermöglichen, mit einer einzigen Anmeldung auf verschiedene Anwendungen und Dienste auf unterschiedlichen Domains zuzugreifen. 

Als Bestandteil von Windows Server-Betriebssystemen bietet es Benutzern authentifizierten Zugriff auf Anwendungen, die nicht in der Lage sind, die integrierte Windows-Authentifizierung (IWA) über Active Directory (AD) zu verwenden.

ADFS wurde entwickelt, um Flexibilität zu gewährleisten und gibt Unternehmen die Möglichkeit, die Benutzerkonten ihrer Mitarbeiter zu kontrollieren und gleichzeitig das Benutzererlebnis zu vereinfachen: Mitarbeiter müssen sich nur einen einzigen Satz von Anmeldedaten merken, um über SSO auf mehrere Anwendungen zuzugreifen.

Wie funktioniert ADFS?

ADFS verwaltet die Authentifizierung über einen Proxy-Dienst, der zwischen AD und der Zielanwendung bereitgestellt wird. Es verwendet einen Federated Trust, der ADFS und die Zielanwendung verbindet, um Benutzern Zugriff zu gewähren. Auf diese Weise können sich Benutzer über SSO bei der föderierten Anwendung anmelden, ohne ihre Identität direkt in der Anwendung authentifizieren zu müssen.

Erläuterung des Single Sign-On (SSO)-Flows mit ADFS

Der Authentifizierungsprozess erfolgt in diesen vier Schritten:

1. Der Benutzer navigiert zu einer vom ADFS-Dienst bereitgestellten URL.
2. Der ADFS-Dienst authentifiziert den Benutzer dann über den AD-Dienst der Organisation.
3. Nach der Authentifizierung stellt der ADFS-Dienst dem Benutzer einen Authentifizierungsanspruch zur Verfügung.
4. Der Browser des Benutzers leitet diesen Anspruch dann an die Zielanwendung weiter, die den Zugriff basierend auf dem erstellten Federated Trust-Dienst entweder gewährt oder verweigert.

Was sind die wichtigsten Vorteile der Verwendung von ADFS?

ADFS wurde aus der Notwendigkeit geboren, die Authentifizierungsherausforderungen von AD in einer zunehmend vernetzten Online-Welt zu bewältigen. AD und IWA haben Einschränkungen in Bezug auf die moderne Authentifizierung festgelegt und können keine Benutzer authentifizieren, die extern auf AD-integrierte Anwendungen zugreifen. Dies ist eine Herausforderung an einem modernen Arbeitsplatz, an dem Benutzer oft auf Anwendungen zugreifen müssen, die sich nicht im Besitz oder unter Verwaltung ihrer AD-Organisation befinden.

ADFS ist in der Lage, diese Herausforderungen bei der Authentifizierung bei Drittanbietern zu lösen und zu vereinfachen, birgt aber gewisse Risiken und Nachteile.

ADFS löst das Problem von Benutzern, die während sie remote arbeiten auf AD-integrierte Anwendungen zugreifen müssen. Es bietet eine flexible Lösung, mit der sie sich über eine Weboberfläche mit ihren Standard-AD-Anmeldedaten für die Organisation authentifizieren können. Es ermöglicht Benutzern aus einer Organisation den Zugriff auf die Anwendungen einer anderen Organisation außerhalb ihrer AD-Domain. Beispiele sind Anwendungen in einem Partnerunternehmen oder moderne Cloud-Services, die heute Teil der erweiterten IT-Umgebung vieler Organisationen sind.

Über 90 % aller Organisationen verwenden Active Directory, was bedeutet, dass viele Unternehmen auch ADFS verwenden.

Vorteil 1: Benutzer können mit einem Zugang auf verschiedene Anwendungen und Systeme zugreifen

Gesteigerte Effizienz und verbesserte Benutzerfreundlichkeit für die Mitarbeiter, die sich unkompliziert bei vielfältigen internen und externen Anwendungen anmelden können.

Vorteil 2: Unternehmen können die Zugangskennungen ihrer Mitarbeiter zentral verwalten

Die IT-Abteilungen werden durch einen reduzierten Verwaltungsaufwand für Benutzerkennungen und Passwörtern entlastet.  

Vorteil 3: Externe Dienstleister können Benutzerkennungen und Passwörter nicht einsehen

Die zentrale Verwaltung der Benutzeridentitäten garantiert ein hohes Maß an Anonymität und Sicherheit der Anmeldedaten.

Was sind die Risiken und Nachteile von ADFS?

ADFS hat seine Nachteile, weshalb es alles andere als eine ideale Authentifizierungslösung ist. Zu diesen Nachteilen gehören die versteckten Infrastruktur- und Wartungskosten sowie Sicherheitsrisiken.

Obwohl ADFS eine kostenlose Funktion auf Windows Servern ist, erfordert die Inbetriebnahme von ADFS eine Windows Server-Lizenz und einen Server, um den ADFS-Dienst zu hosten, was für die Organisation mit Kosten verbunden ist. Insbesondere sind die Kosten für eine Server-Lizenz seit der Veröffentlichung von Windows Server 2016 gestiegen, wobei die Lizenzierung nun auf Pro-Kern-Basis erfolgt.

Versteckte Wartungskosten

Neben den direkten Kosten für die Inbetriebnahme von ADFS müssen Unternehmen auch die laufenden Betriebskosten für die Verwaltung und Wartung eines ADFS-Dienstes berücksichtigen. Trusts zwischen den AD-Domains müssen von Mitarbeitern mit fundierten technischen Kenntnissen gewartet werden, und ADFS-Server müssen regelmäßig gepatcht, aktualisiert und gesichert werden. Da es sich bei ADFS um einen geschäftskritischen Dienst handelt, ist hohe Verfügbarkeit entscheidend. Je nachdem, wie es konfiguriert ist, kann ADFS mehr kosten als erwartet: Sowohl direkt bei wachsendem Infrastrukturbedarf als auch indirekt bei zunehmender Komplexität.

Gesamtkomplexität

Die Inbetriebnahme, Konfiguration und Wartung einer ADFS-Lösung ist kein einfaches Unterfangen. Darüber hinaus ist das Hinzufügen einer Anwendung zu einem ADFS-Dienst jedes Mal ein zeitaufwändiger und technisch komplizierter Prozess, was die Agilität der IT beeinträchtigt.

Sicherheitsrisiken

Eine standardmäßige Out-of-the-Box-Installation von ADFS ist nicht so sicher wie sie sein könnte. Um sie angemessen zu sichern, sind mehrere Schritte erforderlich, die die IT-Abteilung durchführen muss. Da ADFS auf einem Windows-Server läuft, muss auch dieser abgesichert und geschützt sein, um sicherzustellen, dass die Lösung nicht gefährdet ist.

Typische Anwendungsbereiche von ADFS

Anwendungsbeispiel 1 - ADFS zur Authentifizierung bei externen Diensten

Die Authentifizierung von Benutzern innerhalb des Unternehmens für externe Dienste, um ein Single Sign-On zu ermöglichen, ist einer der häufigsten Anwendungsfälle. ADFS ermöglicht es z.B. Microsoft Office365 Nutzern, sich mit ihrem Firmenkonto bei Office365 anzumelden und sich gegenüber dem firmeninternen Microsoft Active Directory zu authentifizieren.

Anwendungsbeispiel 2 - ADFS als Konverter für weitere Anwendungen

Der Active Directory Federation Service kann auch als Übersetzer zwischen z.B. SAML 2.0 (Security Assertion Markup Language) und WS-Federation verwendet werden. Dies ermöglicht beispielsweise, Benutzer aus einem nicht WS-Federation sprechenden Identitätsmanagement mit Microsoft SharePoint zu verbinden.

Anwendungsbeispiel 3 - Zugriff auf den Microsoft SharePoint

Ein weit verbreitetes Anwendungsgebiet ist die Kopplung von Microsoft SharePoint mit ADFS. Dadurch wird auch Benutzern die Anmeldung am SharePoint ermöglicht, die sich nicht in der Domäne des SharePoint Servers befinden.

ADFS im Vergleich zu Cloud-Identitätslösungen

Es besteht kein Zweifel, dass ADFS einige Vorteile hat, die es zu einer beliebten Wahl für Unternehmen machen, die nach einer föderierten Identitätslösung suchen. ADFS hat jedoch deutliche Nachteile, die nicht ignoriert werden dürfen.

Cloud-basierte Identitätsdienste von Drittanbietern können Funktionen aufweisen, die denen von ADFS entsprechen und sie in einigen Fällen sogar übertreffen. Cloud-Identitätslösungen sind kostengünstiger, da sie einen geringeren Betriebsaufwand erfordern; darüber hinaus verfügen sie über integrierte hohe Verfügbarkeit und eine nahtlose Integration mit Hunderten von Anwendungen. Okta stellt sichere Cloud-basierte Identitätslösungen für seine Nutzer bereit, die nicht nur Authentifizierungsprobleme lösen, sondern auch die Sicherheit konsequent im Vordergrund halten.

Erfahren Sie mehr darüber, wie Sie die versteckten Gebühren von ADFS meiden und die richtigen Authentifizierungslösungen für Ihr Unternehmen finden.

Trends und Prognosen zur Zukunft von ADFS

ADFS stellt eine bedeutende Lösung zur Verwaltung von Identitäten über verschiedene Systeme hinweg dar, insbesondere seine Unterstützung des Single Sign-Ons für Microsoft Online-Dienste, Google Apps und Amazon Clouddienste.

Mit sorgfältiger Planung ist die Implementierung von ADFS unkompliziert und bietet den Nutzern ein einziges Konto mit Passwort. Dies erleichtert die Verwaltung für die IT-Abteilungen, da mehrere Konten entfallen und das Anlegen sowie Löschen von Benutzern vereinfacht wird.

ADFS ist eine zukunftsorientierte Lösung für die sichere und effektive Identitätsverwaltung und spielt eine wichtige Rolle bei der IT-Sicherheit von Unternehmen.