Benutzer-Werkzeuge
Inhaltsverzeichnis
ADFS (Active Directory Federation Services) ermöglicht es Active Directory-Domänen Vertrauensbeziehungen (Trust) zu externen Systemen herzustellen. Dabei fungiert ADFS als Identitätsprovider (Identity Provider, IdP), der Benutzern die Authentifizierung gegenüber externen Diensten ermöglicht.
ADFS hingegen ermöglicht eine sichere Authentifizierung und Autorisierung über verschiedene Sicherheitsdomänen hinweg. Es wird verwendet, wenn Unternehmen ihren Benutzern den Zugriff auf externe Dienste ermöglichen möchten, ohne dass diese sich separat authentifizieren müssen. ADFS stellt dabei sicher, dass Benutzeranmeldeinformationen nicht an externe Dienste weitergegeben werden.
Active Directory-Verbunddienste (ADFS) werden hauptsächlich für drei Anwendungsfälle verwendet:
- Authentifizierung von Office365 (Cloud Services)
- Single Sign-on für externe Applikationen.
- Authentifizierung von Benutzern angeschlossener Unternehmen.
Authenfifizierung
Der Authentifizierungsprozess in ADFS kann je nach den Anforderungen der Organisation konfiguriert werden. Standardmäßig verwendet ADFS das Security Assertion Markup Language (SAML)-Protokoll, um SSO bereitzustellen. Wenn ein Benutzer auf eine geschützte Ressource zugreifen möchte, leitet ADFS den Benutzer an den Identitätsanbieter weiter, um seine Anmeldeinformationen zu überprüfen. Nach erfolgreicher Authentifizierung erhält ADFS ein Sicherheitstoken, das Informationen über den Benutzer und dessen Berechtigungen enthält. Dieses Sicherheitstoken wird dann an den Dienstanbieter weitergeleitet, um den Zugriff auf die Ressource zu ermöglichen.
Aktiv
Bei der aktiven Authentifizierung erfolgt die Überprüfung der Benutzeridentität durch direkte Interaktion des Benutzers mit dem Authentifizierungssystem. Der Benutzer muss aktiv Aktionen durchführen, um seine Identität nachzuweisen, beispielsweise das Eingeben von Anmeldeinformationen wie Benutzername und Kennwort, die Verwendung von biometrischen Daten oder das Vorlegen eines Sicherheitstokens. Diese Interaktion erfordert eine aktive Beteiligung des Benutzers während des Authentifizierungsprozesses.
Passiv
Bei der passiven Authentifizierung erfolgt die Überprüfung der Benutzeridentität auf transparente Weise, ohne dass der Benutzer aktiv eingreifen muss. Das System überprüft die Identität des Benutzers anhand verschiedener Faktoren, wie z. B. der IP-Adresse, des Geräts, von Cookies oder anderen kontextuellen Informationen. Der Benutzer wird dabei nicht explizit zur Eingabe von Anmeldeinformationen aufgefordert.
Zertifikate
Zertifikate dienen dazu, die Sicherheit und Integrität der Kommunikation und des Identitätsaustauschs zwischen den ADFS-Servern und anderen Systemen zu gewährleisten.
- Service Communications-Zertifikat: Dieses Zertifikat wird verwendet, um die Kommunikation zwischen den ADFS-Servern und anderen Diensten zu sichern.
- SSL-Zertifikat: Dieses Zertifikat wird für die SSL/TLS-Verschlüsselung der ADFS-Website verwendet.
und gegebenenfalls Zwischenzertifikate
- Service Communications-Zwischenzertifikat: Bei der Verwendung von Zertifikaten mit einer Zertifikatskette kann ein Zwischenzertifikat erforderlich sein, um die Kommunikation zwischen den ADFS-Servern und anderen Diensten zu ermöglichen.
- Token-Signing-Zwischenzertifikat: Wenn das Token-Signing-Zertifikat auf einem Zwischenzertifikat basiert, kann ein Token-Signing-Zwischenzertifikat erforderlich sein.
- Token-Decrypting-Zwischenzertifikat: Wenn das Token-Decrypting-Zertifikat auf einem Zwischenzertifikat basiert, kann ein Token-Decrypting-Zwischenzertifikat erforderlich sein.
Links
Seiten-Werkzeuge
