Active Directory Federation Services (AD FS) je funkce systému Windows Server operační systém (OS), která rozšiřuje koncových uživatelů single sign-on (SSO) přístup k aplikacím a systémům mimo firemní firewall.

co AD FS dělá

tradiční technologie Active Directory společnosti Microsoft ukládá uživatelská jména a hesla a používá je ke správě a zabezpečení přístupu k počítačům v doméně Windows. Poskytuje také SSO přístup k podnikovým aplikacím., Ad Federation Services staví na této funkci k ověření uživatelů v systémech třetích stran, jako je extranet jiné společnosti nebo služba hostovaná poskytovatelem cloudu.

díky schopnostem SSO může AD FS autentizovat uživatele do různých souvisejících webových aplikací během jedné online relace. AD FS sdílí identitu a přístupová práva uživatele, také známý jako nároky, přes bezpečnostní hranice organizace., Když se uživatelé pokusí o přístup k určité webové aplikace od jednoho z jejich důvěryhodných obchodních partnerů-také známý jako federace-jejich organizace musí ověření totožnosti zaměstnance informace prostřednictvím nároků na hostitelské webové aplikace. Hostitel pak může činit autorizační rozhodnutí na základě nároků.,

Výhody a nevýhody

Active Directory Federation Services si klade za cíl snížit složitost kolem heslo řízení a hodnocení účtu opravných položek, a to má vzít na sebe další význam jako organizace a zaměstnanci více spoléhat na software jako služba (SaaS) a webových aplikací. SaaS a webové aplikace obvykle vyžadují své vlastní uživatelské účty, a služby Ad Federation spojují tato uživatelská jména a hesla s existujícími identitami., Jakmile se uživatel přihlásí pomocí svých pověření systému Windows, služba Ad Federation Services ověřuje přístup ke všem schváleným systémům třetích stran.

AD FS nabízí výhody uživatelům, it zaměstnancům i vývojářům. S AD FS, může poskytnout přihlášení a řízení přístupu na základě jednotné sady pověření. Tato funkce navíc poskytuje tuto kontrolu napříč moderními a staršími aplikacemi, v prostorách a v cloudu. Uživatelé si mohou vychutnat bezproblémové SSO, aniž by museli pamatovat neznámé, nesourodé pověření účtu., AD FS nabízí vývojářům jednoduchou metodu ověřování uživatelů s identitami v organizačním adresáři, což jim umožňuje soustředit své úsilí na důležitější úsilí.

existuje několik drobných nevýhod implementace AD FS. Vyžaduje další požadavky na infrastrukturu a náklady na Nastavení. Jako každá funkce přidaná do infrastruktury, AD FS může přidat některé body selhání.

důležité funkce

SSO, Federation

SSO schopnosti umožňují partnerům federace sdílet zjednodušený zážitek, když používají webové aplikace organizace., Navíc může nasadit servery federace ve více organizacích, aby umožnila transakce mezi partnery federace.

Interoperabilita

Prostřednictvím federace specifikace názvem WS-Federation, služby AD FS‘ federated identity management systém je interoperabilní s jinými produkty, které podporují webové služby architektura a dokonce i prostředí, které nepoužívají Microsoft Windows identity modelu.

rozšiřitelnost

AD FS podporuje značkovací jazyk bezpečnostního tvrzení (SAML) 1.,1 typ bezpečnostního tokenu a autentizace Kerberos a může také změnit nároky pomocí přizpůsobitelného požadavku na přístup. Prostřednictvím této rozšiřitelné architektury mohou organizace upravit AD FS tak, aby spolupracovaly se svými současnými bezpečnostními a obchodními rámci.

verze

služby Active Directory Federation Services byly poprvé vydány s Windows Server 2003 R2 jako další stahování. Od té doby společnost Microsoft vydala pět různých verzí AD FS.

AD FS 2.0, třetí vydání společnosti Microsoft, je stahování z Microsoft.com to je kompatibilní s Windows Server 2008 a Windows Server 2008 R2., Jeho vylepšení patří lepší instalace nového serveru validační kontroly, zpřísnění integrace s Microsoft Office SharePoint Server 2007 a Active Directory Rights Management Services (AD RMS) a vylepšený zážitek vytvořit federované vztahy důvěryhodnosti.

Ve službě AD FS 3.0 pro systém Windows Server 2012 R2, Microsoft přidal možnost bezpečně zaregistrovat a připojit mobilní zařízení, podpora pro skupiny Spravované Účty Služeb (gMSAs) a zjednodušené přizpůsobení přihlašovací platformu.

nejnovější verze, AD FS 4.,0 pro Windows Server 2016, umožňuje přihlášení s Azure multifactor authentication (MFA), non-ad Lightweight Directory Access Protocol (LDAP) adresářů a Windows Hello for Business. Microsoft také zlepšil proces auditu, interoperabilitu se SAML a správu hesel, aby federoval uživatele Office 365.