Active Directory Federation Services (AD FS) är en funktion i operativsystemet Windows Server (OS) som utökar slutanvändarnas enda inloggning (SSO) tillgång till program och system utanför företagets brandvägg.

vad AD FS gör

Microsofts traditionella Active Directory-teknik lagrar användarnamn och lösenord och använder dem för att hantera och säkra åtkomst till datorer på en Windows-domän. Det ger också SSO tillgång till företagsapplikationer., Ad Federation Services bygger på denna funktion för att autentisera användare på utomstående system, till exempel ett annat företags Extranät eller en tjänst som en molnleverantör är värd för.

genom SSO-funktioner kan AD FS autentisera en användare till olika relaterade webbappar under en enda online-session. AD FS delar användarens identitet och åtkomsträttigheter, även känd som fordringar, över organisationens säkerhetsgränser., När användare försöker komma åt en viss webbapp från en av sina betrodda affärspartners-även känd som en federation-måste deras organisation autentisera medarbetarens identitetsinformation via anspråk till värd för webbappen. Värden kan sedan fatta auktoriseringsbeslut baserat på kraven.,

fördelar och nackdelar

Active Directory Federation Services syftar till att minska komplexiteten kring lösenordshantering och gästkontotillsättning, och det har tagit extra vikt som organisationer och anställda förlitar sig mer på programvara som en tjänst (SaaS) och webbapplikationer. SaaS och webbappar kräver vanligtvis sina egna användarkonton, och Ad Federationstjänster knyter dessa användarnamn och lösenord till befintliga identiteter., När en användare loggar in med sina Windows-autentiseringsuppgifter autentiserar ad Federation Services åtkomst till alla godkända tredjepartssystem.

AD FS erbjuder fördelar för användare, IT-Personal och utvecklare. Med AD FS kan det ge inloggning och åtkomstkontroll baserat på en enhetlig uppsättning referenser. Dessutom ger funktionen denna kontroll över moderna och äldre applikationer, på lokaler och i molnet. Användare kan njuta av en sömlös SSO utan att behöva komma ihåg okända, disparata kontouppgifter., AD FS erbjuder utvecklare en enkel metod för att autentisera användare med identiteter i organisationskatalogen, så att de kan fokusera sina ansträngningar på viktigare strävanden.

det finns några mindre nackdelar med att implementera AD FS. Det kräver ytterligare infrastrukturkrav och kostnader för att inrätta. Precis som alla funktioner som läggs till i en infrastruktur kan AD FS lägga till några felpunkter.

viktiga funktioner

SSO, federation

SSO-funktioner gör det möjligt för federationspartners att dela en strömlinjeformad upplevelse när de använder organisationens webbappar., Dessutom kan den distribuera federationsservrar i flera organisationer för att möjliggöra transaktioner mellan federationspartners.

interoperabilitet

genom en federationsspecifikation som heter WS-Federation är AD FS federerade identitetshanteringssystem driftskompatibelt med andra produkter som stöder webbtjänstearkitektur och till och med miljöer som inte använder Microsoft Windows identity-modellen.

Töjbarhet

AD FS stöder Security Assertion Markup Language (SAML) 1.,1 typ av säkerhetstoken och Kerberos-autentisering, och kan även ändra anspråk med hjälp av en anpassningsbar åtkomstbegäran. Genom denna utbyggbara arkitektur kan organisationer justera AD FS för att arbeta med sina nuvarande säkerhets-och affärsramar.

versioner

Active Directory Federation Services släpptes först med Windows Server 2003 R2 som en extra nedladdning. Sedan dess har Microsoft släppt fem olika versioner av AD FS.

AD FS 2.0, Microsofts tredje utgåva, är en nedladdning från Microsoft.com det är kompatibelt med Windows Server 2008 och Windows Server 2008 R2., Dess uppgraderingar inkluderar förbättrad installation med nya server-validering kontroller, åt integration med Microsoft Office SharePoint Server 2007 och Active Directory Rights Management Services (AD RMS) och en förbättrad upplevelse för att skapa externa förtroenden.

i AD FS 3.0 för Windows Server 2012 R2 lade Microsoft till möjligheten att säkert registrera och ansluta sig till mobila enheter, stöd för gmsas (group Managed Service Accounts) och förenklad anpassning av inloggningsplattformen.

den senaste versionen, AD FS 4.,0 för Windows Server 2016, gör det möjligt för sign-on med Azure multifactor autentisering (MFA), icke-AD Lightweight Directory Access Protocol (LDAP) kataloger och Windows Hej för Verksamheten. Microsoft förbättrade också revisionsprocessen, driftskompatibilitet med SAML och lösenordshantering till federerade Office 365-användare.