Wat is ADFS?

Active Directory Federation Services (ADFS) is een oplossing voor Single Sign-On (SSO, eenmalige aanmelding) die door Microsoft is ontwikkeld. Als onderdeel van Windows Server-besturingssystemen biedt het gebruikers geauthenticeerde toegang tot applicaties die geen gebruik kunnen maken van Integrated Windows Authentication (IWA) via Active Directory (AD).

ADFS is een flexibel, gebruiksvriendelijk systeem waarmee organisaties de accounts van hun werknemers kunnen beheren. Werknemers hoeven maar een enkele set inloggegevens te onthouden om via SSO toegang te krijgen tot meerdere applicaties.

Hoe werkt ADFS?

ADFS beheert authenticatie via een proxyservice die wordt gehost tussen AD en de doelapplicatie. Het maakt gebruik van federatieve vertrouwensrelaties tussen ADFS en de doelapplicatie om gebruikers toegang te bieden. Daardoor kunnen gebruikers met behulp van SSO inloggen bij de federatieve applicatie zonder hun identiteit rechtstreeks bij de applicatie zelf te hoeven bevestigen.

Het authenticatieproces volgt doorgaans de volgende vier stappen:

1. De gebruiker volgt een url die door de ADFS-service wordt verstrekt.
2. De ADFS-service authenticeert de gebruiker via de AD-service van de organisatie.
3. Na authenticatie ontvangt de gebruiker een authenticatieclaim van de ADFS-service.
4. De browser van de gebruiker stuurt deze claim door naar de doelapplicatie, die toegang geeft of weigert op basis van de gedefinieerde federatieve vertrouwensservice.

Waarom gebruiken organisaties ADFS?

ADFS is ontwikkeld als oplossing voor de authenticatieproblemen met AD in een wereld die steeds meer online verbonden is. AD en IWA kennen enkele beperkingen op het terrein van moderne authenticatie en zijn niet in staat om gebruikers te authenticeren die extern gebruikmaken van in AD geïntegreerde applicaties. Dat is een probleem in de moderne werkomgeving, waar gebruikers vaak toegang moeten hebben tot applicaties die niet het eigendom zijn van of beheerd worden door hun AD-organisatie.

ADFS kan deze problemen met externe authenticatie verminderen en oplossen, maar kent wel bepaalde risico's en nadelen.

ADFS lost het probleem op van externe gebruikers die toegang moeten hebben tot in AD geïntegreerde applicaties. Het biedt gebruikers een flexibele oplossing om zich te authenticeren met behulp van hun standaard inloggegevens van de organisatie-AD via een webinterface. Hiermee kunnen gebruikers van de ene organisatie toegang krijgen tot de applicaties van een andere organisatie buiten hun eigen AD-domein. Voorbeelden hiervan zijn applicaties binnen een partnerorganisatie of moderne cloudservices, die nu deel uitmaken van het uitgebreide IT-landschap waarin organisaties werken.

Meer dan 90% van de organisaties gebruikt Active Directory, wat betekent dat veel daarvan ook ADFS gebruiken.

Wat zijn de risico's en nadelen?

Er kleven inderdaad een paar nadelen aan ADFS, waardoor deze authenticatieoplossing verre van ideaal is. Deze nadelen zijn onder andere de veiligheidsrisico's en de verborgen kosten voor infrastructuur en onderhoud.

Hoewel ADFS een gratis functie van Windows Server is, is voor het gebruik van ADFS een Windows Server-licentie nodig en een server waarop de ADFS-service draait. Beide brengen kosten met zich mee voor de organisatie. Vooral de kosten van een serverlicentie zijn sinds de release van Windows Server 2016 gestegen, nu licenties gebaseerd zijn op het aantal cores.

Verborgen onderhoudskosten

Behalve met de directe kosten van ADFS-implementatie moeten organisaties ook rekening houden met de doorlopende operationele kosten voor het beheer en onderhoud van een ADFS-service. Vertrouwensrelaties tussen AD-domeinen moeten worden onderhouden door werknemers met uitgebreide technische vaardigheden. Bovendien moeten ADFS-servers regelmatig worden gepatcht, geüpdatet en geback-upt. En omdat ADFS een kritieke service is, is hoge beschikbaarheid essentieel. Afhankelijk van de manier waarop ADFS is geconfigureerd, kunnen de kosten hoger zijn dan verwacht: zowel direct doordat er meer infrastructuur nodig is, als indirect naarmate de complexiteit toeneemt.

Algehele complexiteit

Het implementeren, configureren en onderhouden van een ADFS-oplossing is geen eenvoudige taak. Bovendien is het toevoegen van een applicatie aan een ADFS-service elke keer weer een tijdrovend en technisch ingewikkeld proces dat de flexibiliteit van IT in de weg staat.

Beveiligingsrisico's

Een kant-en-klare standaardinstallatie van ADFS is niet optimaal beveiligd. Om alles goed te beveiligen, moet het IT-team meerdere stappen zetten. Omdat ADFS op een Windows Server draait, moet ook die beter beveiligd worden om ervoor te zorgen dat de oplossing geen risico loopt.

ADFS versus cloudidentity

Het lijdt geen twijfel dat ADFS een aantal voordelen heeft waardoor het een populaire keuze is voor organisaties die een federatieve identity-oplossing zoeken. ADFS kent daarentegen ook duidelijke nadelen die niet kunnen worden genegeerd.

Externe identity-services in de cloud kunnen functies hebben die gelijkwaardig zijn aan, en in sommige gevallen beter zijn dan, die van ADFS. Cloudidentity-oplossingen zijn voordeliger vanwege de lagere operationele overheadkosten om ze te draaien. Bovendien hebben ze een hoge beschikbaarheid en bieden ze naadloze integratie met honderden applicaties. Okta biedt zijn gebruikers veilige identity-oplossingen in de cloud die niet alleen authenticatieproblemen oplossen, maar ook de security constant in de gaten houden.

Lees meer over het vermijden van de verborgen kosten van ADFS en het vinden van de juiste authenticatieoplossingen voor uw organisatie.