Active Directory Federation Services (ADFS) ist eine von Microsoft entwickelte Single Sign-On (SSO)-Lösung. Als Komponente von Windows Server-Betriebssystemen ermöglicht es Benutzern den authentifizierten Zugriff auf Anwendungen, die nicht in der Lage sind, die integrierte Windows-Authentifizierung (IWA) über Active Directory (AD) zu nutzen.
ADFS wurde entwickelt, um Flexibilität zu bieten und gibt Unternehmen die Möglichkeit, die Konten ihrer Mitarbeiter zu kontrollieren und gleichzeitig die Benutzerfreundlichkeit zu vereinfachen: Mitarbeiter müssen sich nur einen einzigen Satz Anmeldedaten merken, um über SSO auf mehrere Anwendungen zuzugreifen.
Wie funktioniert ADFS?
ADFS verwaltet die Authentifizierung über einen Proxy-Dienst, der zwischen AD und der Zielanwendung bereitgestellt wird. Es verwendet einen Federated Trust, der ADFS und die Zielanwendung verbindet, um Benutzern Zugriff zu gewähren. Auf diese Weise können sich Benutzer über SSO bei der föderierten Anwendung anmelden, ohne ihre Identität direkt in der Anwendung authentifizieren zu müssen.
Der Authentifizierungsprozess erfolgt in diesen vier Schritten:
- Der Benutzer navigiert zu einer vom ADFS-Dienst bereitgestellten URL.
- Der ADFS-Dienst authentifiziert den Benutzer dann über den AD-Dienst der Organisation.
- Nach der Authentifizierung stellt der ADFS-Dienst dem Benutzer einen Authentifizierungsanspruch zur Verfügung.
- Der Browser des Benutzers leitet diesen Anspruch dann an die Zielanwendung weiter, die den Zugriff basierend auf dem erstellten Federated Trust-Dienst entweder gewährt oder verweigert.
Warum nutzen Unternehmen ADFS?
ADFS wurde aus der Notwendigkeit geboren, die Authentifizierungsherausforderungen von AD in einer zunehmend vernetzten Online-Welt zu bewältigen. AD und IWA haben Einschränkungen in Bezug auf die moderne Authentifizierung festgelegt und können keine Benutzer authentifizieren, die extern auf AD-integrierte Anwendungen zugreifen. Dies ist eine Herausforderung an einem modernen Arbeitsplatz, an dem Benutzer oft auf Anwendungen zugreifen müssen, die sich nicht im Besitz oder unter Verwaltung ihrer AD-Organisation befinden.
ADFS ist in der Lage, diese Herausforderungen bei der Authentifizierung bei Drittanbietern zu lösen und zu vereinfachen, birgt aber gewisse Risiken und Nachteile.
ADFS löst das Problem von Benutzern, die während sie remote arbeiten auf AD-integrierte Anwendungen zugreifen müssen. Es bietet eine flexible Lösung, mit der sie sich über eine Weboberfläche mit ihren Standard-AD-Anmeldedaten für die Organisation authentifizieren können. Es ermöglicht Benutzern aus einer Organisation den Zugriff auf die Anwendungen einer anderen Organisation außerhalb ihrer AD-Domain. Beispiele sind Anwendungen in einem Partnerunternehmen oder moderne Cloud-Services, die heute Teil der erweiterten IT-Umgebung vieler Organisationen sind.
Über 90 % der Unternehmen verwenden Active Directory, was bedeutet, dass viele auch ADFS verwenden.
Was sind die Risiken und Nachteile?
ADFS hat seine Nachteile, weshalb es alles andere als eine ideale Authentifizierungslösung ist. Zu diesen Nachteilen gehören die versteckten Infrastruktur- und Wartungskosten sowie Sicherheitsrisiken.
Obwohl ADFS eine kostenlose Funktion auf Windows Servern ist, erfordert die Inbetriebnahme von ADFS eine Windows Server-Lizenz und einen Server, um den ADFS-Dienst zu hosten, was für die Organisation mit Kosten verbunden ist. Insbesondere sind die Kosten für eine Server-Lizenz seit der Veröffentlichung von Windows Server 2016 gestiegen, wobei die Lizenzierung nun auf Pro-Kern-Basis erfolgt.
Versteckte Wartungskosten
Neben den direkten Kosten für die Inbetriebnahme von ADFS müssen Unternehmen auch die laufenden Betriebskosten für die Verwaltung und Wartung eines ADFS-Dienstes berücksichtigen. Trusts zwischen den AD-Domains müssen von Mitarbeitern mit fundierten technischen Kenntnissen gewartet werden, und ADFS-Server müssen regelmäßig gepatcht, aktualisiert und gesichert werden. Da es sich bei ADFS um einen geschäftskritischen Dienst handelt, ist hohe Verfügbarkeit entscheidend. Je nachdem, wie es konfiguriert ist, kann ADFS mehr kosten als erwartet: Sowohl direkt bei wachsendem Infrastrukturbedarf als auch indirekt bei zunehmender Komplexität.
Gesamtkomplexität
Die Inbetriebnahme, Konfiguration und Wartung einer ADFS-Lösung ist kein einfaches Unterfangen. Darüber hinaus ist das Hinzufügen einer Anwendung zu einem ADFS-Dienst jedes Mal ein zeitaufwändiger und technisch komplizierter Prozess, was die Agilität der IT beeinträchtigt.
Sicherheitsrisiken
Eine sofort einsatzbereite Standardinstallation von ADFS ist nicht so sicher, wie sie sein könnte. Um es richtig zu sichern, sind mehrere Schritte erforderlich, die die IT durchführen muss. Darüber hinaus muss auch ADFS, da es auf einem Windows Server läuft, gehärtet und gesichert werden, um sicherzustellen, dass die Lösung keinem Risiko ausgesetzt ist.
ADFS vs. Cloud-Identität
Es besteht kein Zweifel, dass ADFS einige Vorteile hat, die es zu einer beliebten Wahl für Unternehmen machen, die nach einer föderierten Identitätslösung suchen. ADFS hat jedoch deutliche Nachteile, die nicht ignoriert werden dürfen.
Cloudbasierte Identitätsdienste von Drittanbietern können Funktionen besitzen, die denen von ADFS entsprechen und diese in einigen Fällen sogar übertreffen. Cloud-Identitätslösungen sind aufgrund des geringeren Betriebsaufwands kostengünstiger; darüber hinaus verfügen sie über eine integrierte hohe Verfügbarkeit und eine nahtlose Integration in Hunderte von Anwendungen. Okta bietet sichere Cloud-basierte Identitätslösungen für seine Benutzer – Lösungen, die nicht nur Authentifizierungsherausforderungen lösen, sondern auch die Sicherheit konsequent in den Vordergrund stellen.
Erfahren Sie mehr darüber, wie Sie und finden Sie die richtigen Authentifizierungslösungen für Ihr Unternehmen.
