Was sind die Active Directory-Verbunddienste (AD FS)? (2024)

Table of Contents
Was sind die Active Directory-Verbunddienste (ADFS)? Funktionsweise von ADFS Überprüfen der Benutzeridentität Verwalten von Benutzeransprüchen Verbundvertrauensstellungen ADFS-Authentifizierungsprozess Warum verwenden Unternehmen ADFS? Vorteile von ADFS für Endbenutzer Gründe für die Verwendung von ADFS: Vorteile von ADFS für Unternehmen Einschränkungen und Nachteile von ADFS Weitere Einschränkungen von ADFS Komponenten und Designelemente von ADFS

Was sind die Active Directory-Verbunddienste (ADFS)?

Die Active Directory-Verbunddienste (Active Directory Federation Services, ADFS) sind eine von Microsoft entwickelte Funktion für Single Sign-on (SSO). Sie bietet sicheren, authentifizierten Zugriff auf Domänen, Geräte, Web-Applikationen und Systeme innerhalb des Active Directory (AD) des Unternehmens sowie auf genehmigten Drittsystemen.

ADFS ist ein Verbunddienst, d.h. die Identität des Benutzers wird zentral verwaltet. Dadurch kann jeder Benutzer vorhandene AD-Anmeldedaten verwenden, um auf Anwendungen innerhalb eines Unternehmensnetzwerks zuzugreifen sowie auf Objekte vertrauenswürdiger Quellen außerhalb des Unternehmens, wie ein Cloud-Netzwerk, eine SaaS-Anwendung oder das Extranet eines anderen Unternehmens. Mit ADFS können Benutzer außerdem auf in AD integrierte Anwendungen zugreifen, während sie remote über die Cloud arbeiten.

ADFS soll das Benutzererlebnis vereinfachen und Unternehmen gleichzeitig die Aufrechterhaltung starker Sicherheitsrichtlinien ermöglichen. Mit ADFS müssen sich Benutzer nur einen Satz Anmeldedaten merken, um Zugriff auf zahlreiche Anwendungen, Systeme und Ressourcen zu erhalten.

Was sind die Active Directory-Verbunddienste (AD FS)? (1)

CrowdStrike Global Threat Report 2024: Kurzfassung

Der CrowdStrike Global Threat Report 2024 basiert auf den Beobachtungen des CrowdStrike Counter Adversary Operations Teams und hebt die wichtigsten Themen, Trends und Ereignisse in der Cyber-Bedrohungslandschaft hervor.

See Also
Implementing Active Directory Federation Services step-by-stepStep-By-Step: Setting up AD FS and Enabling Single Sign-On to Office 365Konfigurieren Sie die AD FS-Unterstützung für die Benutzerzertifikat-AuthentifizierungHäufig gestellte Fragen zu den Active Directory-Verbunddiensten (Active Directory Federation Services, AD FS)

Jetzt herunterladen

Funktionsweise von ADFS

ADFS funktioniert in weiten Teilen wie eine allgemeine SSO-Funktion, d.h. die Identität des Benutzers wird authentifiziert und seine Zugriffsberechtigungen werden überprüft.

Überprüfen der Benutzeridentität

ADFS-SSO überprüft die Identität des Benutzers anhand des Daten-Repositorys des Unternehmens. Dabei werden zwei oder mehr Angaben verwendet, etwa der vollständige Name des Benutzers, seine Personalnummer, Telefonnummer, Mitarbeiter-ID oder E-Mail-Adresse.

Verwalten von Benutzeransprüchen

ADFS basiert auf einem anspruchsbasierten Authentifizierungsmodell. Dabei wird vom System ein sicheres Token generiert, das die Zugriffsrechte bzw. Ansprüche zu jedem Benutzer enthält. Wenn der Benutzer versucht, auf ein System zuzugreifen, gleicht das ADFS die Anfrage mit einer Liste der Systeme und Anwendungen ab, die der Benutzer innerhalb von AD oder Azure AD verwenden darf. Diese Überprüfung umfasst sowohl die internen Ressourcen des Unternehmens als auch Drittsysteme.

Verbundvertrauensstellungen

Die ADFS-Authentifizierung für Drittsysteme erfolgt über einen Proxy-Server, der von Active Directory und der externen Anwendung verwendet wird. Dadurch werden Benutzeridentität und Anspruchsregel miteinander kombiniert. Diese Fähigkeit, die auch als Verbundvertrauensstellung oder Vertrauensstellung der vertrauenden Seite bezeichnet wird, sorgt dafür, dass der Benutzer seine Identität nicht bei jeder einzelnen Anwendung direkt authentifizieren muss.

WEITERE INFORMATIONEN

Falcon OverWatch ist ein Art „menschliches Erkennungsmodul“ für Bedrohungen, das Ihr Team perfekt ergänzt. Erfahren Sie, wie Sie mit CrowdStrike verborgene Angriffe mit maximaler Effektivität und Effizienz sichtbar machen und stoppen!Mehr erfahren: Proaktiv verwaltete Bedrohungssuche

ADFS-Authentifizierungsprozess

Der ADFS-Authentifizierungsprozess besteht aus fünf grundlegenden Schritten:

  1. Der Benutzer öffnet einen Link, der mit dem ADFS-Dienst verknüpft ist, und gibt seine Anmeldedaten ein.
  2. Der ADFS-Dienst authentifiziert die Identität des Benutzers.
  3. Das ADFS-Tool generiert einen personalisierten Authentifizierungsanspruch für den Benutzer. Darin sind alle Ressourcen aufgeführt, die der Benutzer verwenden darf.
  4. Der ADFS-Dienst leitet den Anspruch an andere Anwendungen weiter, sobald der Benutzer versucht, auf diese zuzugreifen.
  5. Die Zielanwendung gewährt oder verweigert die Aktion, je nachdem, welche Bedingungen im Anspruch hinterlegt sind.

Warum verwenden Unternehmen ADFS?

Mitarbeiter greifen im Rahmen ihrer Tätigkeit routinemäßig auf hunderte Anwendungen zu. Viele wünschen sich daher ein Tool zur Verwaltung von Authentifizierung oder Identität, das ihnen die Authentifizierung an jeder einzelnen Anwendung erspart und dennoch sicher ist. SSO-Dienste wie ADFS bieten dem Endbenutzer und dem Unternehmen zahlreiche Vorteile.

See Also
Teil 28b: Active Directory Federation Services konfigurieren

Vorteile von ADFS für Endbenutzer

  • Einfachheit: Mit ADFS benötigen Endbenutzer einen einzigen Satz Anmeldedaten für zahlreiche interne und externe Anwendungen und Systeme– und müssen also nicht immer wieder neue Anmeldedaten anlegen und sich diese merken.
  • Verbessertes Benutzererlebnis: Nachdem die Identität des Benutzers von ADFS authentifiziert wurde, kann er nahtlos zwischen internen und externen Anwendungen wechseln. Dank des Tools für Identitätsverwaltung muss der Benutzer keine Kennwörter eingeben oder seine Arbeit anderweitig unterbrechen.
  • Mehr Effizienz: Der ADFS-Dienst bietet nahtlosen Zugriff auf alle darüber verwalteten Web-Applikationen, Systeme und Geräte, sodass der Endbenutzer fließend von einer Aufgabe zur nächsten übergehen kann.

Gründe für die Verwendung von ADFS: Vorteile von ADFS für Unternehmen

  • Entlastung des IT-Supports: Zu den häufigsten Helpdesk-Anfragen gehört das Zurücksetzen vergessener, verlorener oder abgelaufener Kennwörter. Mit einem ADFS-Dienst lässt sich der Zeitaufwand für routinemäßige Kennwortprobleme reduzieren, sodass sich das IT-Team wichtigeren Aufgaben widmen kann. Außerdem benötigen IT-Mitarbeiter weniger Zeit für die Einrichtung von Anmeldedaten für neue Konten.
  • Vereinfachte Deaktivierung: Wenn Mitarbeiter das Unternehmen verlassen, lassen sich alle zugeordneten Dienste und Ressourcen mit einem einfachen und effizienten ADFS-Prozess deaktivieren. Statt die Anmeldedaten für jedes Konto einzeln zu entfernen– was nicht nur zeitraubend, sondern auch fehleranfällig ist–, kann das IT-Team den Benutzer und die zugehörigen Ansprüche bequem über ADFS deaktivieren.
  • Höhere betriebliche Effizienz: Wenn Mitarbeiter ihre Tätigkeiten effizienter durchführen können, steigt auch die Effizienz des Unternehmens insgesamt. ADFS beseitigt Reibungsverluste beim Benutzererlebnis und steigert dadurch die Mitarbeiterproduktivität.
  • Verbesserte Sicherheit: Das Verwenden eines ADFS-Dienstes verhindert, dass Benutzer alte Kennwörter wiederverwenden, Kennwörter mehrfach verwenden oder sogar aufschreiben. Dadurch verringert sich die Wahrscheinlichkeit, dass Angreifer ein geknacktes Kennwort für viele weitere Konten benutzen können.

WEITERE INFORMATIONEN

CrowdStrike ermöglicht reibungslose Zero-Trust-Sicherheit durch Echtzeit-Bedrohungsschutz, Erzwingung von IT-Richtlinien und die Nutzung von Identitäts-, Verhaltens- und Risikoanalysen.Mehr erfahren: Falcon Zero Trust

Einschränkungen und Nachteile von ADFS

ADFS ist jedoch auch mit nicht unerheblichen Einschränkungen und Nachteilen verbunden, die Unternehmen im Rahmen ihrer Geschäftsstrategie berücksichtigen sollten.

Infrastrukturkosten: ADFS ist zwar für Windows Server-Instanzen als kostenlose Funktion verfügbar, allerdings sind eine Lizenz für Windows Server und ein dedizierter Server erforderlich.

Betriebs- und Wartungskosten: Abgesehen von Infrastrukturinvestitionen in Form von Lizenzen und Servern entstehen für das Unternehmen zusätzliche Kosten für Betrieb und Wartung des ADFS. Insbesondere die Wartung der Vertrauensstellung zwischen AD-Domänen und externen Anwendungen setzt umfassende technische Fachkenntnisse und Support seitens der IT voraus. In der Azure-Umgebung kann sich dies noch komplexer gestalten. ADFS führt außerdem zu hohen Wartungs- und Betriebskosten in Verbindung mit Infrastruktur-Upgrades, Verbundmanagement und Sicherheitsinvestitionen, etwa in SSL-Zertifikate.

Komplexität: Wenngleich ADFS das Benutzererlebnis vereinfacht, ist die Konfiguration, Bereitstellung und Nutzung des Dienstes in der Regel sehr kompliziert– vor allem in der Cloud oder in Microsoft Azure. Für das Hinzufügen von Zielanwendungen zum Dienst sind umfangreiche technische Fähigkeiten erforderlich. Ironischerweise ist das Benutzererlebnis für ADFS nicht intuitiv und muss von einem speziell geschulten IT-Experten verwaltet werden.

Weitere Einschränkungen von ADFS

  • ADFS bietet keine Unterstützung für die Dateifreigabe zwischen Benutzern oder Gruppen.
  • ADFS unterstützt keine Druckerserver.
  • ADFS bietet für die meisten Remote-Desktop-Verbindungen keine Unterstützung.
  • ADFS kann nicht auf Active Directory-Ressourcen zugreifen.

Komponenten und Designelemente von ADFS

ADFS-Komponenten:

Active Directory (AD) bzw. Azure AD: Die proprietären Microsoft-Verzeichnisdienste, mit denen Netzwerkadministratoren allen Netzwerkressourcen Kontoberechtigungen zuweisen und verwalten können.

ADFS-Server: Ein dedizierter Server, der Sicherheits-Token und andere Authentifizierungsobjekte (wie Cookies) verwaltet und speichert.

Azure AD Connect: Das Modul, das Active Directory mit Azure AD verbindet und üblicherweise in Hybridbereitstellungen verwendet wird.

Verbundserver: Ein SSO-Tool, das Authentifizierungs- und Zugriffsdienste für mehrere Systeme in unterschiedlichen Unternehmen über ein gemeinsames Sicherheits-Token (das auf dem AD des Hosts basiert) bereitstellt.

Verbundserver-Proxy: Ein Gateway zwischen dem AD und externen Zielen, das Zugriffsanfragen mit dem Verbundserver koordiniert.

ADFS im Vergleich zu Cloud-Identität

ADFS ist bei weitem nicht das einzige am Markt verfügbare SSO-/Verbundtool. Einige Unternehmen sind in der Lage, die gleichen Funktionen zu geringeren Kosten anzubieten, indem sie einen externen Cloud-Identitätsdienst oder ein cloudbasiertes Tool zur Identitätsverwaltung nutzen.

Cloud-Identitätsauthentifizierer sind tendenziell– aufgrund der geringeren cloudbezogenen Betriebskosten– kostengünstiger. Diese Tools bieten ebenfalls eine nahtlose Integration mit hunderten Anwendungen.

Unternehmen sollten gemeinsam mit ihrem Cybersicherheitspartner bestimmen, welches Authentifizierungstool für sie am besten geeignet ist.

ADFS und Cybersicherheit

Angesichts der Zunahme von Homeoffice-Umgebungen sowie der Cloud-Nutzung sollten Unternehmen überdenken, wie sie ihre Benutzer authentifizieren und Zugriffsberechtigungen erteilen möchten. Wenngleich ADFS nahtlosen und effizienten Zugriff bietet, sind mit dem Dienst dennoch potenziell hohe Sicherheitsrisiken verbunden.

Gewährleisten Sie gemeinsam mit Ihrem Cybersicherheitspartner, dass der ADFS kontinuierlich überwacht und gepatcht wird und dass auch andere Sicherheitsrisiken im Rahmen der Cybersicherheitsstrategie behoben werden.

CrowdStrike empfiehlt Unternehmen, die ADFS auf sichere Weise nutzen möchten, die folgenden drei Best Practices:

  1. Verschaffen Sie sich einen einheitlichen Überblick über die AD-Gesamtstruktur– sowohl für die internen Systeme als auch für Microsoft Azure. Bestimmen Sie etwaige Sicherheitslücken in Authentifizierungsrichtlinien, Benutzerrollen, Zugriffsberechtigungen sowie Benutzer- und Dienstkonten sowie Zugriffsabweichungen intern und in Microsoft Azure AD.
  2. Verstärken Sie die AD-Sicherheit durch bedingten Zugriff. Nutzen Sie ein Toolset für Cybersicherheit, das Risiken kontinuierlich bewertet und sich dabei auf das Benutzerverhalten in Verbindung mit Endgeräten, Servern, Anwendungen, Standorten, Benutzerrollen und Gruppen stützt. Bei einer Anomalie sollte das Tool außerdem bedingten Zugriff erzwingen. Dadurch werden hochriskante Zugriffe verhindert und Reibungsverluste bei vertrauenswürdigen Zugriffen eliminiert.
  3. Zentralisieren Sie die Untersuchung und Behebung von Zwischenfällen. Stellen Sie sicher, dass Ihre Cybersicherheitslösung einen vollständigen Bericht über verdächtige oder anomale Aktivitäten bietet, einschließlich Zeitstempel, Aktivität, Quelle und Ziel.
Was sind die Active Directory-Verbunddienste (AD FS)? (2024)
Top Articles
Yotam Ottolenghi’s sweet treats for the Christmas table – recipes | Food
The Liver Pate Recipe My Kids Will Actually Eat
R Ff7 Remake
Kirby D. Anthoney Now
Aita For Choosing To Support My Girl
Manhungay
"Rainbow Family" will im Harz bleiben: Hippie-Camp bis Anfang September geplant
Streit um "Rainbow Gathering" mit 2.000 Menschen - Hippies reagieren auf Drohung von Behörde
Darktide Weapon Tier List: Best Weapons for Each Class | ...
Darktide Psyker Build And Best Weapons
Violent Night Showtimes Near Amc Fallbrook 7
Gotcha Paper Chesterfield 2023
Latest Posts
Homemade Gyoza Wrappers Recipe (Only 3-Ingredients)
Honey-Glazed Mushrooms With Udon Recipe
Article information

Author: Tuan Roob DDS

Last Updated:

Views: 6153

Rating: 4.1 / 5 (62 voted)

Reviews: 93% of readers found this page helpful

Author information

Name: Tuan Roob DDS

Birthday: 1999-11-20

Address: Suite 592 642 Pfannerstill Island, South Keila, LA 74970-3076

Phone: +9617721773649

Job: Marketing Producer

Hobby: Skydiving, Flag Football, Knitting, Running, Lego building, Hunting, Juggling

Introduction: My name is Tuan Roob DDS, I am a friendly, good, energetic, faithful, fantastic, gentle, enchanting person who loves writing and wants to share my knowledge and understanding with you.