Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Dipl.-Ing. (FH) Andreas Donner
ADFS (Active Directory Federation Services) ist eine Software von Microsoft, mit deren Hilfe sich User über Organisationsgrenzen hinweg per Single Sign-on an unterschiedlichen Services anmelden können. ADFS nutzt hierfür die Benutzerverwaltung des Active Directories (AD).
Anbieter zum Thema
Die Abkürzung ADFS steht für Active Directory Federation Services und bezeichnet eine Software von Microsoft für die organisiationsübergreifende Anmeldung an Services per Single Sign-on. Alternative Namen für ADFS sind Active Directory-Verbunddienste oder Active Directory-Verbundservices.
Für die Identifikation und Authentifizierung der Benutzer verwenden die Active Directory Federation Services die Benutzerverwaltung eines Active Directories (AD) in einer Windows Domäne. Anwender werden gegenüber den Systemen von Drittanbietern anhand der im Active Directory gespeicherten Benutzernamen und Passwörter authentifiziert. Bei den Services der Drittanbieter kann es sich beispielsweise um Dienste eines Cloud-Anbieters oder um Dienste in einem Extranet einer fremden Firma handeln.
Durch die Active Directory Federation Services lassen sich Aufwand und Komplexität der Verwaltung von Benutzernamen und Passwörtern reduzieren. Ein Unternehmen wird in die Lage versetzt, sämtliche für die tägliche Arbeit der Mitarbeiter benötigten Zugangskennungen an zentraler Stelle zu managen. ADFS wurde von Microsoft für Windows Server entwickelt und erstmals in der Version 1.0 für Windows Server 2003 R2 veröffentlicht. Die aktuelle Version für Windows Server 2016 ist ADFS 4.0.
Die Active Directory Federation Services nutzen das so genannte Claim-basierte Autorisierungsmodell und Token-Nachrichten. Dank Verwendung der Tokens muss ADFS Benutzernamen und Passwörter nicht mit den Drittsystemen teilen. Sie sind nur der Benutzerverwaltung der eigenen Windows-Domäne bekannt.
Vorteile von ADFS
Durch ADFS und die Möglichkeit, sich gegenüber externen Services per Single Sign-on zu authentifizieren, ergeben sie zahlreiche Vorteile. User benötigen nur noch eine einzige Kennung und müssen sich für alle in der täglichen Arbeit benötigten Dienste nur einmalig authentifizieren. ADFS ist kompatibel mit externen Umgebungen, die kein Windows-basiertes Identitätsmodell verwenden. In Kombination mit dem eigenen Active Directory entsteht eine riesige Vielfalt an Anwendungsmöglichkeiten.
Der Aufwand für die Verwaltung von Benutzerkennungen und Passwörter reduziert sich durch das zentrale Management in der AD-Benutzerverwaltung. Dank der Verwendung von Tokens erhalten externe Serviceanbieter zu keiner Zeit Kenntnis über die tatsächlichen Benutzernamen und Passwörter. Wird die Zusammenarbeit mit dem Anbieter beendet, genügt es, seine generelle Berechtigung zu entziehen. Passwörter oder Benutzernamen müssen nicht geändert oder gelöscht werden.
Grundidee, Konzept und Begriffe der Active Directory Federation Services
Die Active Directory Federation Services basieren auf der Grundidee der Claim-basierten Autorisierung mit Anmelde-Token und Single Sign-on für externe Services. Es findet eine strikte Trennung zwischen dem Service, auf den zugegriffen werden soll, und der Verwaltung der Anmeldedaten statt.
Die Verwaltung der Identitäten leistet das Active Directory des Unternehmens, bei dem der Anwender arbeitet. Die Services können von anderen Unternehmen oder Cloud-Providern betrieben werden und haben keine eigene Benutzerverwaltung. Sie wenden sich an die Active Directory Federation Services. Das verwaltende Unternehmen hat dadurch die volle Kontrolle über alle Benutzerkonten seiner Mitarbeiter.
Die Technik lässt sich nicht nur zwischen unterschiedlichen Unternehmen und Serviceprovidern anwenden, sondern kann auch innerhalb eines Unternehmens zum Einsatz kommen. Verschiedene Sicherheitsbereiche lassen sich voneinander trennen, ohne auf die Vorteile einer zentralen Benutzerverwaltung zu verzichten.
Eine Federation besteht aus zwei Parteien. Dem Identity Provider und dem Application Provider. Der Identity Provider verwaltet die Benutzerkonten, der Applikation Provider stellt die Applikationen zur Verfügung und akzeptiert Anmeldungen des Identity Providers. Während des Anmeldeprozesses tauschen die beiden Parteien Security Tokens aus. Die Tokens bestätigen die Identität und beinhalten weitere Informationen wie Gruppen- oder Abteilungszugehörigkeiten.
Die Informationen eines Tokens werden auch als Claims bezeichnet. Die Claims sind so strukturiert, dass der Application Provider sie für die Zuteilung der Zugriffsrechte einer Applikation passend verwenden kann. Inhalt und Struktur der Claims sind daher zuvor abzustimmen. Ein Token hat die Form eines XML-Dokuments, das per Zertifikat verschlüsselt und vom Identity Provider signiert ist. Zwischen dem Identity Provider und dem Application Provider besteht eine Vertrauensbeziehung. Der Application Provider geht davon aus, dass der Token eine gültige Anmeldung dokumentiert.
Typischer Ablauf eines Single Sign-ons mit ADFS
Je nach Implementierung und eingesetzten Services kann sich der Ablauf eines Anmeldevorgangs unterscheiden. Ein beispielhafter Single Sign-on mit ADFS könnte folgendermaßen aussehen:
Zu Beginn seiner Arbeit meldet sich der Anwender an seinem lokalen Rechner mit dem Benutzernamen und Kennwort in seiner Windows Domäne an. Benötigt der Mitarbeiter Informationen eines externen Service, beispielsweise einer Cloud-Awendung, startet er seinen Webbrowser und ruft die Startseite für den Webservice auf. Über die Active Directory Federation Services bekommt der externe Anbieter die Identität des Anwenders und seine Benutzerrolle oder andere benötigte Informationen per Tokens und Claims mitgeteilt. Anschließend meldet der externe Provider den Anwender für den Service an, ohne dass dieser selbst den Benutzernamen und das Passwort eingeben muss. Der Mitarbeiter kann nun die Cloud-Services entsprechend seiner Berechtigungen nutzen.
(ID:45154662)
