Definition

Was ist ADFS (Active Directory Federation Services)?

| Autor / Redakteur: tutanch / Andreas Donner

(© aga7ta - Fotolia)

ADFS (Active Directory Federation Services) ist eine Software von Microsoft, mit deren Hilfe sich User über Organisationsgrenzen hinweg per Single Sign-on an unterschiedlichen Services anmelden können. ADFS nutzt hierfür die Benutzerverwaltung des Active Directories (AD).

Die Abkürzung ADFS steht für Active Directory Federation Services und bezeichnet eine Software von Microsoft für die organisiationsübergreifende Anmeldung an Services per Single Sign-on. Alternative Namen für ADFS sind Active Directory-Verbunddienste oder Active Directory-Verbundservices.

Für die Identifikation und Authentifizierung der Benutzer verwenden die Active Directory Federation Services die Benutzerverwaltung eines Active Directories (AD) in einer Windows Domäne. Anwender werden gegenüber den Systemen von Drittanbietern anhand der im Active Directory gespeicherten Benutzernamen und Passwörter authentifiziert. Bei den Services der Drittanbieter kann es sich beispielsweise um Dienste eines Cloud-Anbieters oder um Dienste in einem Extranet einer fremden Firma handeln.

Durch die Active Directory Federation Services lassen sich Aufwand und Komplexität der Verwaltung von Benutzernamen und Passwörtern reduzieren. Ein Unternehmen wird in die Lage versetzt, sämtliche für die tägliche Arbeit der Mitarbeiter benötigten Zugangskennungen an zentraler Stelle zu managen. ADFS wurde von Microsoft für Windows Server entwickelt und erstmals in der Version 1.0 für Windows Server 2003 R2 veröffentlicht. Die aktuelle Version für Windows Server 2016 ist ADFS 4.0.

Die Active Directory Federation Services nutzen das so genannte Claim-basierte Autorisierungsmodell und Token-Nachrichten. Dank Verwendung der Tokens muss ADFS Benutzernamen und Passwörter nicht mit den Drittsystemen teilen. Sie sind nur der Benutzerverwaltung der eigenen Windows-Domäne bekannt.

Vorteile von ADFS

Durch ADFS und die Möglichkeit, sich gegenüber externen Services per Single Sign-on zu authentifizieren, ergeben sie zahlreiche Vorteile. User benötigen nur noch eine einzige Kennung und müssen sich für alle in der täglichen Arbeit benötigten Dienste nur einmalig authentifizieren. ADFS ist kompatibel mit externen Umgebungen, die kein Windows-basiertes Identitätsmodell verwenden. In Kombination mit dem eigenen Active Directory entsteht eine riesige Vielfalt an Anwendungsmöglichkeiten.

Der Aufwand für die Verwaltung von Benutzerkennungen und Passwörter reduziert sich durch das zentrale Management in der AD-Benutzerverwaltung. Dank der Verwendung von Tokens erhalten externe Serviceanbieter zu keiner Zeit Kenntnis über die tatsächlichen Benutzernamen und Passwörter. Wird die Zusammenarbeit mit dem Anbieter beendet, genügt es, seine generelle Berechtigung zu entziehen. Passwörter oder Benutzernamen müssen nicht geändert oder gelöscht werden.

Grundidee, Konzept und Begriffe der Active Directory Federation Services

Die Active Directory Federation Services basieren auf der Grundidee der Claim-basierten Autorisierung mit Anmelde-Token und Single Sign-on für externe Services. Es findet eine strikte Trennung zwischen dem Service, auf den zugegriffen werden soll, und der Verwaltung der Anmeldedaten statt.

Die Verwaltung der Identitäten leistet das Active Directory des Unternehmens, bei dem der Anwender arbeitet. Die Services können von anderen Unternehmen oder Cloud-Providern betrieben werden und haben keine eigene Benutzerverwaltung. Sie wenden sich an die Active Directory Federation Services. Das verwaltende Unternehmen hat dadurch die volle Kontrolle über alle Benutzerkonten seiner Mitarbeiter.

Die Technik lässt sich nicht nur zwischen unterschiedlichen Unternehmen und Serviceprovidern anwenden, sondern kann auch innerhalb eines Unternehmens zum Einsatz kommen. Verschiedene Sicherheitsbereiche lassen sich voneinander trennen, ohne auf die Vorteile einer zentralen Benutzerverwaltung zu verzichten.

Eine Federation besteht aus zwei Parteien. Dem Identity Provider und dem Application Provider. Der Identity Provider verwaltet die Benutzerkonten, der Applikation Provider stellt die Applikationen zur Verfügung und akzeptiert Anmeldungen des Identity Providers. Während des Anmeldeprozesses tauschen die beiden Parteien Security Tokens aus. Die Tokens bestätigen die Identität und beinhalten weitere Informationen wie Gruppen- oder Abteilungszugehörigkeiten.

Die Informationen eines Tokens werden auch als Claims bezeichnet. Die Claims sind so strukturiert, dass der Application Provider sie für die Zuteilung der Zugriffsrechte einer Applikation passend verwenden kann. Inhalt und Struktur der Claims sind daher zuvor abzustimmen. Ein Token hat die Form eines XML-Dokuments, das per Zertifikat verschlüsselt und vom Identity Provider signiert ist. Zwischen dem Identity Provider und dem Application Provider besteht eine Vertrauensbeziehung. Der Application Provider geht davon aus, dass der Token eine gültige Anmeldung dokumentiert.

Typischer Ablauf eines Single Sign-ons mit ADFS

Je nach Implementierung und eingesetzten Services kann sich der Ablauf eines Anmeldevorgangs unterscheiden. Ein beispielhafter Single Sign-on mit ADFS könnte folgendermaßen aussehen:

Zu Beginn seiner Arbeit meldet sich der Anwender an seinem lokalen Rechner mit dem Benutzernamen und Kennwort in seiner Windows Domäne an. Benötigt der Mitarbeiter Informationen eines externen Service, beispielsweise einer Cloud-Awendung, startet er seinen Webbrowser und ruft die Startseite für den Webservice auf. Über die Active Directory Federation Services bekommt der externe Anbieter die Identität des Anwenders und seine Benutzerrolle oder andere benötigte Informationen per Tokens und Claims mitgeteilt. Anschließend meldet der externe Provider den Anwender für den Service an, ohne dass dieser selbst den Benutzernamen und das Passwort eingeben muss. Der Mitarbeiter kann nun die Cloud-Services entsprechend seiner Berechtigungen nutzen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

TeamViewer Tensor ab sofort verfügbar

Fernsteuerung und -zugriff mit Enterprise-Features

TeamViewer Tensor ab sofort verfügbar

TeamViewer bietet eine auf Enterprises zugeschnittene Plattform für Fernsteuerung, Support und Zusammenarbeit an. Die skalierbare SaaS Tensor sei auditierbar, bequem zu verwalten und lasse sich in gängige Plattformen im Unternehmensumfeld einbinden. lesen

Serverrollen im Überblick

Active Directory Workshop Teil 2

Serverrollen im Überblick

Active Directory besteht nicht nur aus Domänencontrollern, sondern aus einer Vielzahl weiterer Serverdienste, die ein gemeines Verzeichnis nutzen, aber jeweils eigene Funktionen zur Verfügung stellen. Wir geben einen Überblick. lesen

DirectAccess mit Windows Server 2016 und Windows 10

Anbindung übers Web – schneller und sicherer als VPN

DirectAccess mit Windows Server 2016 und Windows 10

Mit DirectAccess bietet Microsoft bereits seit den Vorgängerversionen von Windows 10 und Windows Server 2016 die Möglichkeit, Arbeitsstationen über das Internet schnell und sicher an das Firmennetz anzubinden. Vorteil: keine Zusatzkosten und ein wesentlich einfacheres Handling für Anwender all bei anderen VPN-Lösungen. lesen

Mit der Ereignisanzeige auf Fehlersuche

Troubleshooting in Windows

Mit der Ereignisanzeige auf Fehlersuche

Um Fehler auf Windows-Servern oder -Arbeitsstationen zu finden und zu beheben sind nicht immer Zusatztools notwendig. In der Ereignisanzeige listet Windows alle Aktionen des Betriebssystems auf, auch die Fehler. Hier lassen sich Probleme daher schnell eingrenzen und finden. lesen

AD, Virtualisierung und Cloud-Anbindung

Windows Server 2016

AD, Virtualisierung und Cloud-Anbindung

Mit Windows Server 2016 erhöht Microsoft deutlich die Sicherheit in Netzwerken und Active-Directory-Umgebungen. Die Virtualisierung und Anbindung der Cloud spielen eine noch wichtigere Rolle, Domänencontroller lassen sich besser virtualisieren und VMs werden besser geschützt. lesen

Edge-Update kommt per Windows-10-Build

Microsoft Patchday Februar 2016

Edge-Update kommt per Windows-10-Build

Zum Februar-Patchday erhält der neue Edge-Browser von Windows 10 ein kumulatives Update. Dieses wird im Rahmen der neuen Build-Version 10586.104 ausgerollt. Hinzu gesellen sich zwei weitere kritische und neun wichtige Security Bulletins. lesen

HTTP.sys, Internet Explorer und Office werden aktualisiert

Microsoft Patchday April 2015

HTTP.sys, Internet Explorer und Office werden aktualisiert

Zum April-Patchday 2015 rollt Microsoft kritsche Updates für den Internet Explorer und MS Office aus. Zwei kritische Security Bulletins und sieben wichtige Aktualisierungen stehen zusätzlich auf dem Programm. lesen

Cloud-Infrastruktur für Office 365

Zscaler Direct-to-Cloud Network verbessert UX für SaaS

Cloud-Infrastruktur für Office 365

Das Zscaler Direct-to-Cloud Network soll die Nutzererfahrung (UX) von Office 365 verbessern. Der Anbieter verspricht entlastete Firewalls, umfangreiche Sicherheitsfunktionen und Traffic Visibility. lesen

Licht ins Dunkel der Office-365-Integration

Buchvorstellung: „Microsoft Office 365“ von Markus Widl

Licht ins Dunkel der Office-365-Integration

Jede Anwendung ist nur so gut, wie die Umgebung, in die sie der Administrator stellt. Diese Wahrheit gilt auch für Office 365 von Microsoft. „Warum?“, wird sich jetzt mancher fragen. Office 365 ist doch ein SaaS-Angebot für Exchange, SharePoint- und Lync-Infrastrukturen, die der Kunde nur als Dienst nutzen kann. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45154662 / Definitionen)