Active Directory Federation Services (AD FS) è una funzionalità del sistema operativo Windows Server che estende l’accesso Single Sign-on (SSO) degli utenti finali ad applicazioni e sistemi esterni al firewall aziendale.

Cosa fa AD FS

La tradizionale tecnologia Active Directory di Microsoft memorizza nomi utente e password e li utilizza per gestire e proteggere l’accesso ai computer su un dominio Windows. Fornisce inoltre l’accesso SSO alle applicazioni aziendali., AD Federation Services si basa su questa funzionalità per autenticare gli utenti su sistemi di terze parti, come l’extranet di un’altra azienda o un servizio ospitato da un provider cloud.

Grazie alle funzionalità SSO, AD FS può autenticare un utente a diverse app Web correlate durante una singola sessione online. AD FS condivide l’identità e i diritti di accesso dell’utente, noti anche come reclami, oltre i limiti di sicurezza dell’organizzazione., Quando gli utenti tentano di accedere a una determinata app Web da uno dei loro partner commerciali fidati, noto anche come federazione, la loro organizzazione deve autenticare le informazioni di identità del dipendente tramite attestazioni all’host dell’app Web. L’host può quindi prendere decisioni di autorizzazione in base alle richieste.,

i Vantaggi e gli svantaggi

Active Directory Federation Services mira a ridurre la complessità di gestione delle password di account guest e provisioning, ha assunto ulteriore importanza come le aziende e i dipendenti contare di più sul software as a service (SaaS) e le applicazioni web. SaaS e le app Web in genere richiedono i propri account utente e AD Federation Services collega tali nomi utente e password alle identità esistenti., Una volta che un utente accede con le proprie credenziali di Windows, AD Federation Services autentica l’accesso a tutti i sistemi di terze parti approvati.

AD FS offre vantaggi agli utenti, al personale IT e agli sviluppatori. Con AD FS, è in grado di fornire accesso e controllo degli accessi in base a un set unificato di credenziali. Inoltre, la funzione fornisce questo controllo su applicazioni moderne e legacy, on premise e nel cloud. Gli utenti possono godere di un SSO senza soluzione di continuità senza dover ricordare le credenziali di account non familiari e disparate., AD FS offre agli sviluppatori un metodo semplice per autenticare gli utenti con identità nella directory organizzativa, consentendo loro di concentrare i loro sforzi su attività più importanti.

Ci sono alcuni piccoli inconvenienti nell’implementazione di AD FS. Richiede requisiti di infrastruttura aggiuntivi e costi per la configurazione. Come qualsiasi funzione aggiunta a un’infrastruttura, AD FS potrebbe aggiungere alcuni punti di errore.

Caratteristiche importanti

Le funzionalità SSO, federation

consentono ai partner della federazione di condividere un’esperienza semplificata quando utilizzano le app Web dell’organizzazione., Inoltre, può distribuire i server della federazione in più organizzazioni per abilitare le transazioni tra partner della federazione.

Interoperabilità

Attraverso una specifica federation denominata WS-Federation, il sistema di gestione delle identità federate di AD FS è interoperabile con altri prodotti che supportano l’architettura dei servizi Web e persino ambienti che non utilizzano il modello di identità Microsoft Windows.

Estensibilità

AD FS supporta il linguaggio SAML (Security Assertion Markup Language) 1.,1 tipo di token di sicurezza e autenticazione Kerberos, e può anche modificare le attestazioni utilizzando una richiesta di accesso personalizzabile. Attraverso questa architettura estensibile, le organizzazioni possono regolare AD FS per lavorare con i loro attuali framework di sicurezza e di business.

Versioni

Active Directory Federation Services è stato rilasciato per la prima volta con Windows Server 2003 R2 come download aggiuntivo. Da allora, Microsoft ha rilasciato cinque diverse versioni di AD FS.

AD FS 2.0, terza versione di Microsoft, è un download da Microsoft.com che è compatibile con Windows Server 2008 e Windows Server 2008 R2., I suoi aggiornamenti includono una migliore installazione con nuovi controlli di convalida del server, integrazione rafforzata con Microsoft Office SharePoint Server 2007 e Active Directory Rights Management Services (AD RMS) e una migliore esperienza per stabilire trust federati.

In AD FS 3.0 per Windows Server 2012 R2, Microsoft ha aggiunto la possibilità di registrare e unire in modo sicuro i dispositivi mobili, il supporto per gli account di servizio gestito di gruppo (GMSA) e la personalizzazione semplificata della piattaforma di accesso.

La versione più recente, AD FS 4.,0 per Windows Server 2016, consente l’accesso con Azure Multifactor Authentication (MFA), directory LDAP (Lightweight Directory Access Protocol) non AD e Windows Hello for Business. Microsoft ha inoltre migliorato il processo di controllo, l’interoperabilità con SAML e la gestione delle password per federare gli utenti di Office 365.