Active Directory Federation Services (AD FS) is een functie van het besturingssysteem Windows Server die de SSO-toegang (single sign-on) van eindgebruikers uitbreidt tot toepassingen en systemen buiten de bedrijfsfirewall.

wat AD FS doet

Microsoft ‘ s traditionele Active Directory-technologie slaat gebruikersnamen en wachtwoorden op en gebruikt deze om de toegang tot computers in een Windows-domein te beheren en beveiligen. Het biedt ook SSO toegang tot zakelijke toepassingen., AD Federation Services bouwt op deze functionaliteit voort om gebruikers te verifiëren op systemen van derden, zoals het extranet van een ander bedrijf of een service die wordt gehost door een cloudprovider.

via SSO-mogelijkheden kan AD FS een gebruiker tijdens één onlinesessie verifiëren bij verschillende, gerelateerde webapps. AD FS deelt de identiteit en toegangsrechten van de gebruiker, ook wel claims genoemd, over de beveiligingsgrenzen van de organisatie heen., Wanneer gebruikers proberen toegang te krijgen tot een bepaalde webapp van een van hun vertrouwde zakelijke partners-ook wel een Federatie genoemd-moet hun organisatie de identiteitsgegevens van de werknemer verifiëren via claims op de host van de webapp. De host kan vervolgens autorisatiebeslissingen nemen op basis van de claims.,

voordelen en nadelen

Active Directory Federation Services wil de complexiteit rond wachtwoordbeheer en gastaccount provisioning verminderen, en het heeft extra belang gekregen als organisaties en werknemers vertrouw meer op software as a Service (SaaS) en webapplicaties. SaaS – en webapps vereisen doorgaans hun eigen gebruikersaccounts en Ad Federation-Services koppelen deze gebruikersnamen en wachtwoorden aan bestaande identiteiten., Zodra een gebruiker zich aanmeldt met zijn of haar Windows-referenties, verifieert AD Federation Services de toegang tot alle goedgekeurde systemen van derden.

AD FS biedt voordelen voor gebruikers, IT-personeel en ontwikkelaars. Met AD FS kan het aanmeldings-en toegangscontrole bieden op basis van een uniforme set referenties. Bovendien biedt de functie deze controle over moderne en legacy-toepassingen, op locatie en in de cloud. Gebruikers kunnen genieten van een naadloze SSO zonder Onbekende, ongelijksoortige accountgegevens te onthouden., AD FS biedt ontwikkelaars een eenvoudige methode om gebruikers met identiteiten in de organisatiemap te verifiëren, zodat ze hun inspanningen kunnen richten op belangrijkere inspanningen.

Er zijn een paar kleine nadelen aan het implementeren van AD FS. Het vereist extra infrastructuurvereisten en kosten om op te zetten. Net als elke functie die aan een infrastructuur is toegevoegd, kan AD FS enkele foutpunten toevoegen.

belangrijke functies

SSO, federation

SSO mogelijkheden stellen federation partners in staat om een gestroomlijnde ervaring te delen wanneer ze de web apps van de organisatie gebruiken., Bovendien kan het federatieservers in meerdere organisaties implementeren om transacties tussen federatiepartners mogelijk te maken.

interoperabiliteit

via een federatiespecificatie genaamd WS-Federation is het federatieve identiteitsbeheersysteem van AD FS interoperabel met andere producten die webservicearchitectuur ondersteunen en zelfs omgevingen die geen gebruik maken van het Microsoft Windows-identiteitsmodel.

uitbreidbaarheid

AD FS ondersteunt de SAML (Security Assertion Markup Language)1.,1 Type beveiligingstoken en Kerberos-verificatie, en kan ook claims wijzigen met behulp van een aanpasbare toegangsaanvraag. Via deze uitbreidbare architectuur kunnen organisaties AD FS aanpassen aan hun huidige beveiligings-en bedrijfskaders.

versies

Active Directory Federation Services werd voor het eerst uitgebracht met Windows Server 2003 R2 als extra download. Sindsdien heeft Microsoft vijf verschillende versies van AD FS uitgebracht.

AD FS 2.0, de derde release van Microsoft, is een download van Microsoft.com dat compatibel is met Windows Server 2008 en Windows Server 2008 R2., De upgrades omvatten verbeterde installatie met nieuwe servervalidatiecontroles, aangescherpte integratie met Microsoft Office SharePoint Server 2007 en Active Directory Rights Management Services (AD RMS) en een verbeterde ervaring om federatieve vertrouwensrelaties tot stand te brengen.

in AD FS 3.0 Voor Windows Server 2012 R2 heeft Microsoft de mogelijkheid toegevoegd om zich veilig te registreren en deel te nemen aan mobiele apparaten, ondersteuning voor group Managed Service Accounts (gMSAs) en vereenvoudigde aanpassing van het aanmeldplatform.

de meest recente versie, AD FS 4.,0 Voor Windows Server 2016, maakt aanmelden mogelijk met Azure multifactor authenticatie (MFA), LDAP-mappen (non-AD Lightweight Directory Access Protocol) en Windows Hello for Business. Microsoft verbeterde ook het auditproces, interoperabiliteit met SAML en wachtwoordbeheer om Office 365-gebruikers te federeren.