Microsoft ADFS – Was ist das und wie funktioniert es?

Die steigende Menge verschiedener Cloud-Anwendungen sowie Web-Apps und der dadurch verbundene Passwort-Wildwuchs erzeugen den verstärkten Trend zur Single-Sign-On-Authentifizierung. Microsoft bietet mit Active Directory Federation Services eine Single-Sign-on-Lösung an, die es Unternehmen ermöglicht, für alle Zugriffspunkte und Einsatzbereiche im Unternehmen eine einmalige sowie zentrale Registrierung zu haben – sowohl von innerbetrieblich als auch von außerhalb. Wie dies gelingt und welche Vor- und Nachteile der Gebrauch mit sich bringt, lernen Sie in dem nachfolgenden Blogbeitrag.
Firmen setzen heute eine wachsende Zahl unterschiedlicher Systeme, Endgeräte, Geschäftsanwendungen, Web-Apps sowie Cloud-Lösungen ein, um die betrieblichen Geschäftsverfahren abwickeln zu können. Infolgedessen müssen die Angestellten sich nicht nur eine Flut komplexer Login-IDs sowie Passwörter merken, welche den Anforderungen an die Passwortsicherheit genügen, sondern ebendiese bei der Benutzung oder beim Wechseln zwischen den Applikationen, darüber hinaus jedes Mal erneut eingeben. Derartige Praxis ist jedoch nicht bloß zeitaufwändig plus wenig benutzerfreundlich, sondern auch empfänglich für IT-Sicherheitsrisiken.
So ist es keineswegs verwunderlich, dass viele Beschäftigte mit dem Einprägen von Account-Informationen oder Login-Daten überlastet sind, wie mehrere Studien bestätigen, darunter die Studie „Psychologie der Passwörter 2021“ von LastPass. Obendrein demonstriert die Auswertung von Yubico, dass 54 Prozent aller Mitarbeiter*innen die identischen Passwörter für mehrere dienstliche Konten verwenden. 22 Prozent der Umfrageteilnehmer schreiben Passwörter immer noch auf, um einen Überblick zu bewahren – darunter 41 % der Arbeitgeber und 32 % der C-Level-Führungskräfte.
Den elegantesten und sichersten Weg aus diesem Dilemma liefern sogenannte Single Sign-on-Lösungen, wie die Active Directory Federation Services von Microsoft.

Was sind Active Directory Federation Services?

Bei Microsoft Active Directory Federation Services, knapp ADFS oder ebenfalls Active Directory-Verbunddienste genannt, handelt es sich um eine Lösung von Microsoft für die organisationsübergreifende Anmeldung an verschiedenen Systemen von Drittanbietern, Web-Apps und Cloud-Anwendungen, beispielsweise Microsoft 365, Office 365, SharePoint oder auch OneDrive per Single Sign-On.
Für die Identifikation sowie Identitätsüberprüfung der Benutzer benutzen die Active Directory Federation Dienste von Microsoft die Benutzerverwaltung des Active Directories. Dies ermöglicht der Single-Sign-Lösung, dass die Mitarbeiter*innen gegenüber externen Anwendungen anhand der Benutzernamen und Passwörter authentifiziert werden, die im Verzeichnisdienst Active Directory gesichert sind. Auf diese Weise kann die Komplexität rund um die Verwaltung von Zugangskennungen reduziert sowie sämtliche für die tägliche Arbeit erforderlichen Zugangskennungen an einer Stelle organisiert werden.
Ferner verwenden die Active Directory Federation Services das auf Erfordernissen basierendes Autorisierungsmodell sowie Anmelde-Token für die Zugangskontrolle. Hierbei erfolgt eine strikte Trennung zwischen den Zielanwendungen sowie der Verwaltung der Anmeldedaten. Angesichts der Benutzung der Tokens müssen die Active Directory Federation Services die Zugangskennungen keinesfalls mit den Drittsystemen teilen.
Parallel nutzen die Microsoft Active Directory Federation Services ebenfalls als Verbindung, um verschiedene Frameworks zu integrieren wie die Security Assertion Markup Language, knapp SAML. Diese ermöglicht den Zugang auf cloudbasierte sowie webbasierte Applikationen, die nicht in der Lage sind, die integrierte Windows-Authentifizierung, knapp IWA, über Active Directory zu gebrauchen.

Typischer Ablauf einer Single Sign-On-Anmeldung mit Active Directory Federation Services!

Es gibt verschiedene Einsatzszenarien für MS Active Directory Federation Services. Eine der häufigsten Szenarien ist die Verbindung von Web-Anwendungen mit Cloud-Anwendungen wie Microsoft 365, Office 365, SharePoint oder auch OneDrive mit Active Directory Federation Services. Ein beispielhafter Single Sign-on mit Active Directory Federation Services kann im Zuge dessen folgendermaßen ausschauen:
Zu Arbeitsbeginn melden sich die Mitarbeiter*innen mit einem Benutzernamen und Kennwort in ihrer Windows Domäne an. Wenn sie Zugriff auf etwa Office365 benötigen, müssen sie den Webbrowser öffnen und die Titelseite für den Webservice besuchen.
Über die Active Directory Federation Services erhält der externe Anbieter die Benutzerinformation der Angestellten sowie deren Benutzerrolle oder andere erforderliche Informationen per Tokens plus Claims mitgeteilt. Darauffolgend meldet der externe Provider die Mitarbeiter*innen für die Benutzung an, ohne dass jene eigenhändig den Benutzernamen und das Passwort eingeben müssen. Die Mitarbeiter*innen können nun Office365 gemäß ihrer Berechtigungen nutzen.

Active Directory Federation Services: Welche Chancen und Risiken gibt es?

Die Vorteile von Active Directory Federation Services liegen deutlich auf der Hand.
  • Die Arbeitnehmer*innen eines Betriebs benötigen nur noch eine einzige Zugangskennung, um sich für sämtliche erforderlichen Programme sowie Dienste im Geschäftsalltag zu authentifizieren.
  • Microsofts Active Directory Federation Services sind mit sämtlichen externen Bereichen kompatibel, die kein Windows-basiertes Identitätsmodell benutzen. In Kombination mit einem persönlichen Active Directory ergibt sich eine gigantische Vielzahl an Anwendungsmöglichkeiten.
  • Durch das zentrale Organisieren in der Active Directory-Benutzerverwaltung komprimiert sich die Komplexität rund um die Verwaltung von Benutzerkennungen und Passwörter.
  • Durch die Verwendung der Anmelde-Token erhalten die externen Anbieter von Cloud-Diensten und Web-Apps niemals Kenntnis über die tatsächlichen Benutzernamen und Passwörter. Wird die Zusammenarbeit mit dem Dienstleister beendet, genügt es, die generelle Berechtigung zu löschen. Passwörter oder Benutzernamen müssen nicht abgeändert oder gelöscht werden.
Allerdings auch bei der Anwendung von den Active Directory Federation Services ist nicht alles Gold, was glänzt. Zu den relevanten Nachteilen zählen:
  • Außer den konkreten Kosten für die Inbetriebnahme von Microsoft Active Directory Federation Services, müssen Betriebe laufende Kosten für die Verwaltung sowie Wartung einberechnen. Je nachdem, wie das konfiguriert ist, können die Active Directory Verbunddienste weitaus mehr kosten als angenommen.
  • Gesamtkomplexität: Die Inbetriebsetzung, Konfiguration sowie Wartung der Active Directory Verbunddienste ist zeitaufwändig und umfassend. Besonders dann, wenn eine Anwendung zu den Active Directory Verbunddiensten hinzugefügt wird.

Fazit: Mehr IT-Sicherheit dank Active Directory Federation Services!

Fast nichts demotiviert Mitarbeiter*innen so sehr wie das Merken einer wachsenden Masse verschachtelter Login-IDs und Passwörter ebenso wie ihre permanente Eingabe, um Programme und Dienste benutzen zu können. Dank Microsofts Active Directory Federation Services müssen sich Arbeitnehmer*innen nur noch einen einzigen Satz von Anmeldedaten einprägen, um den Zugang für sämtliche Geschäftsanwendungen, Cloud-Lösungen und Web-Apps zu erhalten, die sie für den Geschäftsalltag brauchen. Weil beim Single Sign-On die Zugangskennungen bloß ein einziges Mal übermittelt werden, steigert sich die IT-Sicherheit des Netzwerkzugangs. Liegt der Anfangsverdacht eines Identitätsdiebstahls vor, könnten jegliche Benutzerkonten von einer Stelle gesperrt oder überarbeitet werden. Gleichzeitig ist das Single Sign-out mit Active Directory Federation Services genauso unkompliziert wie das Single Sign-On. Durch die einmalige Abmeldung über den Single Sign-out werden automatisch alle Sitzungen beendet und die jeweiligen Verbindungen getrennt.

Du bist IT-Dienstleister: Du bist an unserem Blogartikel Plus Abo interessiert? Dann freuen wir uns auf Deine Kontaktaufnahme per Mail an ingo.luecker@itleague.de.