Active Directory Federation Services (ADFS)
ADFS ist ein Microsoft-Serverdienst für föderierte Authentifizierung und Single Sign-On, der Claims-basierte Tokens zur Identitätsübertragung zwischen Active Directory und externen Anwendungen ausstellt.
Klassifikation
- KomplexitätHoch
- AuswirkungTechnisch
- EntscheidungstypTechnisch
- OrganisationsreifeReif
Technischer Kontext
Prinzipien & Ziele
Use Cases & Szenarien
Kompromisse
- Fehlkonfigurierte Claims können zu ungewolltem Zugriff führen
- Ausfall der ADFS-Infrastruktur beeinträchtigt Authentifizierung
- Unsichere Zertifikatshandhabung erhöht Angriffsfläche
- Automatisierte Zertifikatsrotation und Überwachung einführen
- Claims-Transformationen bewusst und dokumentiert anwenden
- Hochverfügbare Farm-Topologien und regelmäßige DR-Tests
I/O & Ressourcen
- Active Directory-Domänencontroller
- Gültige Zertifikate für Token-Signierung
- Netzwerk- und DNS-Konfiguration
- Claims-basierte Security Tokens
- Eingerichtete Vertrauensstellungen zu Partnern/Apps
- Audit- und Authentifizierungsprotokolle
Beschreibung
Active Directory Federation Services (ADFS) ist ein Microsoft-Serverdienst zur föderierten Authentifizierung und Single Sign-On. Er ermöglicht gesicherte Identitätsübertragung zwischen Active Directory und externen Anwendungen mittels Claims-basierten Token. Administratoren konfigurieren Vertrauensstellungen, Zertifikate und Claims-Regeln zur Anpassung.
✔Vorteile
- Ermöglicht Single Sign-On und verbessert Nutzererfahrung
- Unterstützt Föderation mit Partnern und Cloud-Diensten
- Feingranulare Zugriffskontrolle über Claims
✖Limitationen
- Starke Bindung an Microsoft-Ökosystem und Active Directory
- Komplexe Zertifikats- und Trust-Verwaltung
- Betrieb und Skalierung erfordern spezialisiertes Know-how
Trade-offs
Metriken
- Anmelde-Latenz
Zeit von Authentifizierungsanforderung bis erfolgreicher Token-Ausstellung.
- Verfügbarkeitsrate der ADFS-Farm
Prozentualer Anteil der Betriebszeit im definierten Zeitraum.
- Anzahl fehlgeschlagener Authentifizierungen
Anzahl der fehlgeschlagenen Authentifizierungsversuche, relevant für Sicherheit und Troubleshooting.
Beispiele & Implementierungen
SSO für internes CRM
ADFS wurde eingesetzt, um Mitarbeitern nahtlosen Zugang zum CRM-System zu ermöglichen ohne mehrfaches Anmelden.
Föderation mit externem Lieferanten
Vertrauensstellung ermöglicht Lieferanten den Zugriff auf notwendige Portale über ihre Unternehmensidentität.
Hybride Anmeldung für Office-Apps
On-Premises AD und Cloud-Apps wurden über ADFS verbunden, um bestehende Policies weiter zu nutzen.
Implementierungsschritte
Planung der Infrastruktur, Hochverfügbarkeit und Trust-Topologie
Installation der AD FS-Rolle auf vorgesehenen Servern
Konfiguration von Zertifikaten, Claims-Rules und Vertrauensstellungen
Tests der Authentifizierungsflüsse und Monitoring einrichten
⚠️ Technische Schulden & Engpässe
Tech Debt
- Alte Claim-Regeln ohne Dokumentation
- Manuelle Zertifikatsverwaltung statt Automatisierung
- Unzureichende Monitoring- und Alert-Regeln
Bekannte Engpässe
Beispiele für Missbrauch
- ADFS als alleinige Benutzerverwaltung ohne Delegation an AD
- Öffentliche Freigabe von Trust-Endpunkten ohne Absicherung
- Claims-Attribute ohne Datenschutzprüfung an Dritte weitergeben
Typische Fallen
- Unterschätzung der Zertifikatslebenszyklen
- Fehlende Tests für externe Partner-Föderationen
- Unvollständige Logging-Konfiguration für Audits
Erforderliche Fähigkeiten
Drivers (Architectural Drivers)
Constraints
- • Abhängigkeit von Active Directory-Struktur
- • Einhaltung von Zertifikats- und Sicherheitsrichtlinien
- • Eingeschränkte native Cloud-Integration ohne zusätzliche Komponenten