Active Directory Federation Services (AD FS) ist eine Funktion des Windows Server-Betriebssystems (OS), die den Single Sign-On (SSO) – Zugriff von Endbenutzern auf Anwendungen und Systeme außerhalb der Unternehmensfirewall erweitert.

Was AD FS tut

Die traditionelle Active Directory-Technologie von Microsoft speichert Benutzernamen und Kennwörter und verwendet sie zum Verwalten und Sichern des Zugriffs auf Computer in einer Windows-Domäne. Es bietet auch SSO-Zugriff auf Unternehmensanwendungen., AD Federation Services baut auf dieser Funktionalität auf, um Benutzer auf Systemen von Drittanbietern wie dem Extranet eines anderen Unternehmens oder einem von einem Cloud-Anbieter gehosteten Dienst zu authentifizieren.

Über die SSO-Funktionen kann AD FS einen Benutzer während einer einzelnen Online-Sitzung bei verschiedenen verwandten Web-Apps authentifizieren. AD FS teilt die Identität und die Zugriffsrechte des Benutzers, auch Claims genannt, über die Sicherheitsgrenzen der Organisation hinweg., Wenn Benutzer versuchen, von einem ihrer vertrauenswürdigen Geschäftspartner-auch als Föderation bezeichnet-auf eine bestimmte Web-App zuzugreifen, muss ihre Organisation die Identitätsinformationen des Mitarbeiters über Ansprüche an den Host der Web-App authentifizieren. Der Host kann dann Autorisierungsentscheidungen auf der Grundlage der Ansprüche treffen.,

Vorteile und Nachteile

Active Directory Federation Services zielt darauf ab, die Komplexität der Passwortverwaltung und der Bereitstellung von Gastkonten zu reduzieren, und hat zusätzliche Bedeutung erlangt, da Organisationen und Mitarbeiter mehr auf Software as a Service (SaaS) und Webanwendungen angewiesen sind. SaaS und Web-Apps benötigen in der Regel eigene Benutzerkonten, und AD Federation Services binden diese Benutzernamen und Kennwörter an vorhandene Identitäten., Sobald sich ein Benutzer mit seinen Windows-Anmeldeinformationen anmeldet, authentifiziert AD Federation Services den Zugriff auf alle genehmigten Systeme von Drittanbietern.

AD FS bietet Benutzern, IT-Mitarbeitern und Entwicklern gleichermaßen Vorteile. Mit AD FS können Anmelde-und Zugriffskontrollen basierend auf einem einheitlichen Satz von Anmeldeinformationen bereitgestellt werden. Darüber hinaus bietet die Funktion diese Steuerung für moderne und ältere Anwendungen, vor Ort und in der Cloud. Benutzer können eine nahtlose SSO genießen, ohne sich an unbekannte, unterschiedliche Kontoanmeldeinformationen erinnern zu müssen., AD FS bietet Entwicklern eine einfache Methode zur Authentifizierung von Benutzern mit Identitäten im Organisationsverzeichnis, mit der sie sich auf wichtigere Aufgaben konzentrieren können.

Die Implementierung von AD FS weist einige kleinere Nachteile auf. Es erfordert zusätzliche Infrastrukturanforderungen und Kosten für die Einrichtung. Wie jede Funktion, die einer Infrastruktur hinzugefügt wird, kann AD FS einige Fehlerpunkte hinzufügen.

Wichtige Funktionen

SSO, Federation

SSO-Funktionen ermöglichen es Verbundpartnern, eine optimierte Erfahrung zu teilen, wenn sie die Web-Apps der Organisation verwenden., Darüber hinaus kann ES Verbundserver in mehreren Organisationen bereitstellen, um Transaktionen zwischen Verbundpartnern zu ermöglichen.

Interoperabilität

Durch eine Verbundspezifikation namens WS-Federation ist das föderierte Identitätsmanagementsystem von AD FS mit anderen Produkten kompatibel, die die Webdienstarchitektur unterstützen, und sogar Umgebungen, die das Microsoft Windows-Identitätsmodell nicht verwenden.

– Erweiterbarkeit

AD FS unterstützt die Security Assertion Markup Language (SAML) 1.,1 Sicherheitstokentyp und Kerberos-Authentifizierung und kann auch Ansprüche mithilfe einer anpassbaren Zugriffsanforderung ändern. Durch diese erweiterbare Architektur können Unternehmen AD FS anpassen, um mit ihren aktuellen Sicherheits-und Business-Frameworks zu arbeiten.

Varianten

Active Directory Federation Services wurde erstmals mit Windows Server 2003 R2 als zusätzliche download. Seitdem hat Microsoft fünf verschiedene Versionen von AD FS.

AD FS 2.0, Microsofts dritte Version, ist ein Download von Microsoft.com das ist kompatibel mit Windows Server 2008 und Windows Server 2008 R2., Zu den Upgrades gehören eine verbesserte Installation mit neuen Servervalidierungsprüfungen, eine verbesserte Integration mit Microsoft Office SharePoint Server 2007 und Active Directory Rights Management Services (AD RMS) sowie eine verbesserte Erfahrung beim Aufbau verbundener Trusts.

In AD FS 3.0 für Windows Server 2012 R2 hat Microsoft die Möglichkeit hinzugefügt, mobile Geräte sicher zu registrieren und zu verbinden, Unterstützung für Group Managed Service Accounts (GMSAS) und vereinfachte Anpassung der Login-Plattform.

Die neueste version von AD FS-4.,0 für Windows Server 2016, ermöglicht die Anmeldung mit Azure Multifactor Authentication (MFA), Verzeichnissen ohne AD-Lightweight Directory Access Protocol (LDAP) und Windows Hello for Business. Microsoft verbesserte auch den Überwachungsprozess, die Interoperabilität mit SAML und die Kennwortverwaltung, um Office 365-Benutzer zu verbinden.