Microsoft Active Directory Federation Services

von | Okt 3, 2022 | Allgemein

Microsoft Active Directory Federation Services

Die wachsende Zahl unterschiedlicher Cloud-Applikationen und Web-Apps und der damit einhergehende Passwort-Wildwuchs bewirken den verstärkten Trend zur Single-Sign-On-Authentifizierung. Microsoft bietet durch Active Directory Federation Services eine Single-Sign-on-Lösung an, die es Firmen gestattet, für sämtliche Zugriffspunkte sowie Anwendungen im Unternehmen eine einmalige sowie zentrale Registrierung zu haben – sowohl von intern wie ebenso von extern. Wie das gelingt und welche Vor- oder Nachteile der Gebrauch mit sich bringt, lernen Sie in dem folgenden Blogartikel.

Unternehmen setzen mittlerweile eine steigende Anzahl verschiedener Systeme, Endgeräte, Geschäftsanwendungen, Web-Apps sowie Cloud-Lösungen ein, um die betrieblichen Geschäftsverfahren ausführen zu können. Infolgedessen müssen die Angestellten sich nicht nur eine Flut komplexer Login-IDs und Passwörter merken, die den Anforderungen an die Passwortsicherheit genügen, sondern diese bei der Nutzung oder beim Wechseln zwischen den Anwendungen, darüber hinaus jedes Mal erneut eingeben. Diese Praxis ist jedoch nicht nur zeitaufwändig und wenig benutzerfreundlich, sondern auch empfänglich für IT-Sicherheitsgefahren.

So ist es keineswegs überraschend, dass viele Beschäftigte mit dem Merken von Account-Informationen oder Login-Daten überfordert sind, wie zahlreiche Studien bestätigen, darunter die Studie „Psychologie der Passwörter 2021“ von LastPass. Obendrein demonstriert eine Prüfung von Yubico, dass 54 Prozent aller Mitarbeiter*innen die gleichen Passwörter für mehrere dienstliche Konten verwenden. 22 % der Umfrageteilnehmer schreiben Passwörter nach wie vor auf, um einen Durchblick zu behalten – darunter 41 Prozent der Arbeitgeber und 32 % der C-Level-Führungspersonen.

Den elegantesten sowie sichersten Weg aus dem Dilemma bieten sogenannte Single Sign-on-Lösungen, wie die Active Directory Federation Services von Microsoft.

Was sind Active Directory Federation Services?

Bei Microsoft Active Directory Federation Services, kurz ADFS oder ebenfalls Active Directory-Verbunddienste bezeichnet, handelt es sich um eine Lösung von Microsoft für die organisationsübergreifende Anmeldung an unterschiedlichen Systemen von Drittanbietern, Web-Apps sowie Cloud-Anwendungen, etwa Microsoft 365, Office 365, SharePoint oder OneDrive per Single Sign-On.

Für eine Ausweisung und Authentifizierung der Anwender benutzen die Active Directory Federation Dienste von Microsoft eine Benutzerverwaltung des Active Directories. Das ermöglicht der Single-Sign-Lösung, dass die Arbeitnehmer*innen gegenüber externen Anwendungen anhand der Benutzernamen sowie Passwörter authentifiziert werden, die im Verzeichnisdienst Active Directory gespeichert sind. So kann die Komplexität rund um die Verwaltung von Zugangskennungen gesenkt sowie sämtliche für die tagtägliche Arbeit benötigten Zugangskennungen an zentraler Stelle verwaltet werden.

Ferner nutzen die Active Directory Federation Services das auf Ansprüchen basierendes Autorisierungsmodell sowie Anmelde-Token für die Zugangskontrolle. Hierbei geschieht eine strikte Separation zwischen den Zielanwendungen sowie einer Verwaltung der Anmeldedaten. Dank der Verwendung der Tokens müssen die Active Directory Federation Services die Zugangskennungen nicht mit den Drittsystemen teilen.

Zugleich nutzen die Microsoft Active Directory Federation Services ebenfalls als Verbindung, um unterschiedliche Frameworks zu integrieren beispielsweise die Security Assertion Markup Language, kurz SAML. Diese gewährt den Zugriff auf cloudbasierte sowie webbasierte Applikationen, die keineswegs in der Lage sind, die integrierte Windows-Authentifizierung, knapp IWA, über Active Directory zu gebrauchen.

Wie funktioniert die Single Sign-On-Anmeldung über Active Directory Federation Services!

Es gibt unterschiedliche Einsatzszenarien für MS Active Directory Federation Services. Eine der häufigsten Szenarien ist die Verbindung von Web-Anwendungen und Cloud-Anwendungen wie Microsoft 365, Office 365, SharePoint oder auch OneDrive mit Active Directory Federation Services. Ein beispielhafter Single Sign-on mit Active Directory Federation Services könnte im Zuge dessen folgenderweise aussehen:

Zu Arbeitsbeginn melden sich die Mitarbeiter*innen mit einem Benutzernamen plus Kennwort in ihrer Windows Domäne an. Wenn sie Zugang auf etwa Office365 benötigen, müssen sie den Internetbrowser starten und die Titelseite für den Webservice aufrufen. Über die Active Directory Federation Services bekommt der außerbetriebliche Anbieter die Benutzerinformation der Mitarbeiter*innen sowie deren Benutzerrolle oder andersartig benötigte Daten per Tokens und Claims genannt. Darauffolgend meldet der externe Provider die Mitarbeiter*innen für die Anwendung an, ohne dass diese eigenhändig den Benutzernamen und das Passwort eingeben müssen. Die Mitarbeiter*innen können nun Office365 gemäß ihrer Berechtigungen nutzen.

Active Directory Federation Services: Die Chancen und Risiken!

Die Vorzüge von Active Directory Federation Services befinden sich deutlich auf der Hand.

  • Die Arbeitnehmer*innen eines Unternehmens brauchen nur noch eine alleinige Zugangskennung, um sich für alle erforderlichen Anwendungen sowie Dienste im Geschäftsalltag zu authentifizieren.
  • Microsofts Active Directory Federation Services sind mit sämtlichen externen Umgebungen kombinierbar, welche kein Windows-basiertes Identitätsmodell benutzen. In Verbindung mit einem persönlichen Active Directory ergibt sich eine gigantische Vielfalt an Anwendungsmöglichkeiten.
  • Durch das zentrale Organisieren in der Active Directory-Benutzerverwaltung reduziert sich die Komplexität rund um die Verwaltung von Benutzerkennungen und Passwörter.
  • Durch die Verwendung der Anmelde-Token erhalten die anderen Dienstleister von Cloud-Diensten sowie Web-Apps niemals Kenntnisstand über die tatsächlichen Benutzernamen oder Passwörter. Wird die Zusammenarbeit mit dem Anbieter beendet, reicht es, die generelle Berechtigung zu löschen. Passwörter oder Benutzernamen müssen keineswegs geändert oder gelöscht werden.

Allerdings auch bei der Nutzung von den Active Directory Federation Services ist keinesfalls alles Gold, was glänzt. Zu den nennenswerten Minuspunkten zählen:

  • Neben den direkten Gebühren für die Inbetriebsetzung von Microsoft Active Directory Federation Services, müssen Unternehmen laufende Kosten für die Verwaltung und Wartung einberechnen. Je nachdem, wie das konfiguriert ist, können die Active Directory Verbunddienste mehr kosten als angenommen.
  • Gesamtkomplexität: Die Inbetriebnahme, Konfiguration und Wartung der Active Directory Verbunddienste ist zeitaufwändig und komplex. Besonders dann, wenn eine Benutzung zu den Active Directory Verbunddiensten hinzugefügt wird.

Fazit: Sicheres Single Sign-On für alle Geschäftsanwendungen!

Kaum etwas demotiviert Arbeitnehmer*innen so sehr wie das Merken einer steigenden Anzahl verschachtelter Login-IDs und Passwörter sowie ihre permanente Eingabe, um Anwendungen sowie Dienste nutzen zu können. Dank Microsofts Active Directory Federation Services brauchen sich Arbeitnehmerinnen bloß noch einen Satz von Anmeldedaten einprägen, um den Zugriff für jegliche Geschäftsanwendungen, Cloud-Lösungen sowie Web-Apps zu bekommen, die sie für den Geschäftsalltag benötigen. Da beim Single Sign-On die Zugangskennungen nur ein einziges Mal übertragen werden, erhöht sich die IT-Sicherheit des Netzwerkzugangs. Liegt ein Anfangsverdacht eines Identitätsdiebstahls vor, könnten jegliche Benutzerkonten von zentraler Stelle gesperrt oder überarbeitet werden. Zur selben Zeit ist das Single Sign-out mit Active Directory Federation Services ebenso unkompliziert wie das Single Sign-On. Über die einmalige Abmeldung über den Single Sign-out werden selbstständig sämtliche Sitzungen geschlossen und die jeweiligen Verbindungen getrennt.

Wollen auch Sie mit Active Directory Federation Services von MS das Benutzererlebnis, die Effizienz sowie die IT-Sicherheit in Ihrem Betrieb verbessern? Oder haben Sie noch Fragen zum Thema? Kontaktieren Sie uns.

sales@itmedata.de

Lesen Sie auch …