Vad är ADFS?

Active Directory Federation Services (ADFS) är en Single Sign-On-lösning (SSO) från Microsoft. Det är en komponent av operativsystemet Windows Server och ger användarna autentiserad tillgång till appar som inte kan använda Integrated Windows Authentication (IWA) via Active Directory (AD).

ADFS har tagits fram för att ge flexibilitet och ger organisationer möjlighet att kontrollera personalens konton och förenkla deras användning: en anställd behöver bara logga in en gång och har sedan tillgång till många appar via SSO.

Hur fungerar ADFS?

ADFS sköter autentiseringar via en proxy-tjänst mellan AD och målapp. Den använder en Federated Trust som länkar ADFS och målappen för att bevilja åtkomst till användare. Detta gör att användare kan logga in på en federerad app via SSO utan att behöva autentisera sin identitet direkt i appen.

Autentiseringen sker normalt i dessa fyra steg:

1. Användaren surfar till den URL som ges av ADFS-tjänsten.
2. ADFS-tjänsten autentiserar sedan användaren via organisationens AD-tjänst.
3. Vid autentiseringen ger sedan ADFS-tjänsten användaren ett autentiseringsanspråk.
4. Användarens webbläsare skickar sedan anspråket vidare till målappen som tillåter eller nekar åtkomst baserat på den Federated Trust-tjänst som skapats.

Varför använder företag ADFS?

ADFS kom till p.g.a. behovet att lösa problem som skapats av AD till följd av ökande antal uppkopplingar i världen. AD och IWA har begränsningar när det gäller modern autentisering och kan inte autentisera användare av externa appar som integrerats i AD. Detta är en utmaning för det moderna företaget där användarna ofta behöver komma åt appar som inte ägs eller hanteras av deras AD-organisation.

ADFS kan lösa och förenkla dessa problem med tredje parts autentiseringar men inte utan att det medför vissa risker eller nackdelar.

ADFS löser problemet med användare som måste ha tillgång till AD-integrerade appar på distans genom att erbjuda en flexibel lösning där de kan autentisera med organisationens vanliga inloggningsdata för AD via ett webbgränssnitt. Det gör att användare från en organisation har tillgång till appar som tillhör en annan organisation bortom den egna AD-domänen. Exempel på detta är appar i en partnerorganisation eller i en modern molntjänst som genom detta nu är en del av många organisationers utökade IT-landskap.

Över 90 % av organisationerna använder Active Directory vilket betyder att många också använder ADFS.

Vilka är riskerna och nackdelarna?

ADFS har sina nackdelar och är långt ifrån en idealisk lösning för autentisering. Några av nackdelarna är dolda infrastruktur-och underhållskostnader sam säkerhetsrisker.

Men trots att ADFS är en gratisfunktion i Windows Server så behöver man en Windows Server-licens och en server som värd för ADFS-tjänsten vilket medför en kostnad för organisationen. Kostnaden för en server-licens har ökat sedan Windows Server 2016 släpptes och baseras nu per kärna.

Dolda underhållskostnader

Förutom de direkta kostnaderna för driftsättning av ADFS måste organisationer också vara uppmärksamma på de löpande drift- och underhållskostnaderna för en ADFS-tjänst. Samspelet mellan AD-domäner måste skötas av anställda teknikspecialister och ADFS-servers måste patchas, uppdateras och säkerhetskopieras regelbundet. Dessutom är det avgörande att ADFS har en hög tillgänglighet eftersom det är en kritisk tjänst. Beroende på hur ADFS är konfigurerad kan kostnaderna bli högre än förväntat: både direkt när mer infrastruktur behövs och indirekt när komplexiteten ökar.

Total komplexitet

Driftsättning, konfigurering och underhåll av en ADFS-lösning är inte enkla uppgifter. Varje gång en app läggs till en ADFS-tjänst är processen dessutom tidsödande och tekniskt komplicerad vilket hindrar IT-smidigheten.

Säkerhetsrisker

Standardinstallationen av en färdig ADFS är inte så säker som den kan vara. För att skydda den på rätt sätt är det flera saker som IT måste utföra. Dessutom måste en ADFS som körs på en Windows Server härdas och säkras så att inte lösningen utsätts för risk.

ADFS jämfört med Cloud Identity

Det är tveklöst så att ADFS har en del fördelar som gjort det till ett populärt val för organisationer som söker en federerad identitetslösning. Men ADFS har tydliga nackdelar som inte kan ignoreras.

Molnbaserade identitetstjänster från tredje part kan ha matchande funktioner som i vissa fall överträffar de i ADFS. Cloud Identity-lösningar är mer kostnadseffektiva p.g.a. lägre driftkostnader och att de dessutom har inbyggd hög tillgänglighet och sömlöst kan integreras med hundratals appar. Okta ger sina användare säkra molnbaserade identitetslösningar, lösningar som inte bara löster autentiseringarna utan också sätter säkerheten i första hand.

Lär dig mer om hur du undviker dolda kostnader för ADFS och hittar rätt autentiseringslösningar för ditt företag.