Active Directory Federation Services (AD FS) (Polski)
Active Directory Federation Services (AD FS) to funkcja systemu operacyjnego Windows Server, która rozszerza dostęp użytkowników końcowych do aplikacji i systemów poza zaporą firmową.
co robi AD FS
tradycyjna technologia Active Directory firmy Microsoft przechowuje nazwy użytkowników i hasła i wykorzystuje je do zarządzania i zabezpieczania dostępu do komputerów w domenie Windows. Zapewnia również dostęp SSO do aplikacji korporacyjnych., Usługi Federacji reklam opierają się na tej funkcjonalności do uwierzytelniania użytkowników w systemach innych firm, takich jak ekstranet innej firmy lub usługa hostowana przez dostawcę chmury.
dzięki funkcjom SSO AD FS może uwierzytelniać użytkownika w różnych powiązanych aplikacjach internetowych podczas jednej sesji online. AD FS udostępnia tożsamość użytkownika i prawa dostępu, zwane również roszczeniami, wykraczając poza granice bezpieczeństwa organizacji., Gdy użytkownicy próbują uzyskać dostęp do określonej aplikacji internetowej od jednego ze swoich zaufanych partnerów biznesowych-znanego również jako Federacja – ich organizacja musi uwierzytelnić informacje o tożsamości pracownika poprzez roszczenia do hosta aplikacji internetowej. Gospodarz może następnie podejmować decyzje autoryzacyjne w oparciu o roszczenia.,
zalety i wady
Active Directory Federation Services ma na celu zmniejszenie złożoności zarządzania hasłami i tworzenia kont gości, a co więcej, organizacje i pracownicy polegają bardziej na oprogramowaniu jako usłudze (SaaS) i aplikacjach internetowych. SaaS i aplikacje internetowe zazwyczaj wymagają własnych kont użytkowników, a Usługi Federacji reklam łączą te nazwy użytkowników i hasła z istniejącymi tożsamościami., Gdy użytkownik zaloguje się za pomocą swoich poświadczeń Windows, usługi Federacji reklam uwierzytelniają dostęp do wszystkich zatwierdzonych systemów stron trzecich.
AD FS oferuje korzyści zarówno użytkownikom, pracownikom IT, jak i programistom. Dzięki AD FS może zapewnić logowanie i kontrolę dostępu w oparciu o zunifikowany zestaw poświadczeń. Dodatkowo funkcja ta zapewnia kontrolę nad nowoczesnymi i starszymi aplikacjami, lokalnie i w chmurze. Użytkownicy mogą korzystać z bezproblemowego SSO bez konieczności zapamiętywania nieznanych, różnych poświadczeń konta., AD FS oferuje programistom prostą metodę uwierzytelniania użytkowników z tożsamościami w katalogu organizacyjnym, pozwalając im skupić swoje wysiłki na ważniejszych przedsięwzięciach.
jest kilka drobnych wad implementacji AD FS. Wymaga to dodatkowych wymagań w zakresie infrastruktury i kosztów związanych z jej utworzeniem. Podobnie jak każda funkcja dodana do infrastruktury, AD FS może dodać pewne punkty awarii.
ważne funkcje
SSO, Federacja
funkcje SSO umożliwiają partnerom Federacji dzielenie się usprawnionymi doświadczeniami podczas korzystania z aplikacji internetowych organizacji., Ponadto może wdrażać serwery Federacji w wielu organizacjach, aby umożliwić transakcje między partnerami Federacji.
interoperacyjność
dzięki specyfikacji federacyjnej o nazwie WS-Federation, federated identity management system AD FS jest interoperacyjny z innymi produktami obsługującymi architekturę usług internetowych, a nawet środowisk, które nie używają modelu tożsamości Microsoft Windows.
rozszerzalność
AD FS obsługuje Security Assertion Markup Language (SAML) 1.,1 Typ tokena bezpieczeństwa i uwierzytelnianie Kerberos, a także może zmieniać roszczenia za pomocą konfigurowalnego żądania dostępu. Dzięki tej rozszerzalnej architekturze organizacje mogą dostosować AD FS do swoich obecnych ram zabezpieczeń i struktur biznesowych.
wersje
Active Directory Federation Services zostały po raz pierwszy wydane wraz z systemem Windows Server 2003 R2 jako dodatkowy plik do pobrania. Od tego czasu Microsoft wydał pięć różnych wersji AD FS.
AD FS 2.0, trzecie wydanie Microsoftu, jest pobierana z Microsoft.com jest kompatybilny z Windows Server 2008 i Windows Server 2008 R2., Jego uaktualnienia obejmują ulepszoną instalację z nowymi kontrolami sprawdzania poprawności serwera, zaostrzoną integrację z Microsoft Office SharePoint Server 2007 i usługami zarządzania prawami Active Directory (AD RMS) oraz ulepszone doświadczenie w tworzeniu federacyjnych trustów.
w AD FS 3.0 Dla Windows Server 2012 R2 firma Microsoft dodała możliwość bezpiecznej rejestracji i dołączania do urządzeń mobilnych, obsługę kont usług zarządzanych grupowo (GMSA) i uproszczone dostosowywanie platformy logowania.
najnowsza wersja, AD FS 4.,0 w systemie Windows Server 2016 umożliwia logowanie za pomocą uwierzytelniania wieloczynnikowego Azure (MFA), katalogów LDAP (non-ad Lightweight Directory Access Protocol) i Windows Hello for Business. Microsoft poprawił również proces audytu, współpracę z SAML i zarządzanie hasłami w celu zrzeszania użytkowników pakietu Office 365.