O Active Directory Federation Services (ADFS) é uma solução de Single Sign-On (SSO) criada pela Microsoft. Como um componente dos sistemas operacionais Windows Server, ele fornece aos usuários acesso autenticado a aplicativos que não são capazes de usar a Autenticação Integrada do Windows (IWA) por meio do Active Directory (AD).
Desenvolvido para fornecer flexibilidade, o ADFS oferece às organizações a capacidade de controlar as contas de seus funcionários, simplificando a experiência do usuário: os funcionários só precisam se lembrar de um único conjunto de credenciais para acessar vários aplicativos por meio do SSO.
Como funciona o ADFS?
O ADFS gerencia a autenticação por meio de um serviço de proxy hospedado entre o AD e o aplicativo de destino. Ele usa um Federated Trust, vinculando o ADFS e o aplicativo de destino para conceder acesso aos usuários. Isso permite que os usuários façam login no aplicativo federado por meio do SSO sem precisar autenticar sua identidade diretamente no aplicativo.
O processo de autenticação geralmente segue estes quatro passos:
- O usuário navega para um URL fornecido pelo serviço ADFS.
- O serviço ADFS então autentica o usuário por meio do serviço AD da organização.
- Após a autenticação, o serviço ADFS fornece ao usuário uma declaração de autenticação.
- O navegador do usuário encaminha essa declaração para o aplicativo de destino, que concede ou nega o acesso com base no serviço de Confiança Federada criado.
Por que as empresas usam o ADFS?
O ADFS nasceu da necessidade de superar os desafios de autenticação criados pelo AD em um mundo online cada vez mais conectado. O AD e o IWA têm limitações quando se trata de autenticação moderna e não podem autenticar usuários que acessam aplicativos integrados ao AD externamente. Este é um desafio no local de trabalho moderno, onde os usuários geralmente precisam acessar aplicativos que não são de propriedade ou gerenciados por sua organização AD.
O ADFS é capaz de resolver e simplificar esses desafios de autenticação de terceiros, mas apresenta certos riscos e desvantagens.
O ADFS resolve o problema de usuários que precisam acessar aplicativos integrados ao AD enquanto trabalham remotamente, oferecendo uma solução flexível em que eles podem se autenticar usando suas credenciais AD organizacionais padrão por meio de uma interface web. Ele permite que usuários de uma organização acessem os aplicativos de outra organização além do domínio do AD. Exemplos incluem aplicativos em uma organização parceira ou serviços de nuvem modernos, que agora fazem parte do cenário de TI estendido de muitas organizações.
Mais de 90% das organizações usam o Active Directory, o que significa que muitas também usam o ADFS.
Quais são os riscos e desvantagens?
O ADFS tem suas desvantagens, o que o torna longe de ser uma solução de autenticação ideal. Essas desvantagens incluem os custos ocultos de infraestrutura e manutenção, bem como os riscos de segurança.
Mesmo que o ADFS seja um recurso gratuito no Windows Server, o comissionamento do ADFS requer uma licença do Windows Server e um servidor para hospedar o serviço ADFS, o que tem um custo para a organização. Notavelmente, o custo de uma licença de servidor aumentou desde o lançamento do Windows Server 2016, com o licenciamento agora baseado em cada núcleo.
Custos ocultos de manutenção
Além dos custos diretos de comissionamento do ADFS, as organizações também precisam considerar os custos operacionais contínuos de gerenciamento e manutenção de um serviço ADFS. As relações de confiança entre os domínios do AD precisam ser mantidas por funcionários com profundas habilidades técnicas, e os servidores ADFS precisam ser corrigidos, atualizados e submetidos a backup regularmente. Além disso, como o ADFS é um serviço crítico, a alta disponibilidade é fundamental. Dependendo de como está configurado, o ADFS pode custar mais do que o previsto: tanto diretamente, à medida que mais infraestrutura é necessária, quanto indiretamente, à medida que a complexidade aumenta.
Complexidade geral
Comissionar, configurar e manter uma solução ADFS não é uma tarefa simples. Além disso, cada vez que um aplicativo é adicionado a um serviço ADFS, o processo é demorado e tecnicamente intrincado, o que dificulta a agilidade de TI.
Riscos de segurança
Uma instalação padrão e pronta para uso do ADFS não é tão segura quanto poderia ser. Para protegê-lo adequadamente, existem várias etapas que a TI precisa executar. Além disso, como o ADFS é executado em um Windows Server, ele também precisa ser reforçado e protegido para garantir que a solução não esteja em risco.
ADFS vs. Identidade na nuvem
Não há dúvida de que o ADFS tem algumas vantagens que o tornam uma escolha popular para organizações que buscam uma solução de identidade federada. No entanto, o ADFS tem desvantagens distintas que não podem ser ignoradas.
Serviços de identidade de terceiros baseados na nuvem podem possuir recursos que correspondem e, em alguns casos, superam os do ADFS. As soluções de identidade na nuvem são mais econômicas devido à menor sobrecarga operacional necessária para executá-las; além disso, elas têm alta disponibilidade integrada e integração perfeita com centenas de aplicativos. Okta fornece soluções seguras de identidade baseadas na nuvem para seus usuários – soluções que não apenas resolverão os desafios de autenticação, mas que também manterão a segurança consistentemente em primeiro plano.
Saiba mais sobre como e encontre as soluções de autenticação certas para sua empresa.
