Die steigende Zahl verschiedener Cloud-Applikationen sowie Web-Apps und der damit einhergehende Passwort-Wildwuchs bewirken den vermehrten Trend zur Single-Sign-On-Identitätsüberprüfung. Microsoft bietet mit Active Directory Federation Services eine Single-Sign-on-Lösung an, welche es Unternehmen gestattet, für alle Zugriffspunkte und Anwendungen im Unternehmen eine einmalige und zentrale Registrierung zu haben – sowohl von innerbetrieblich wie ebenso von extern. Wie dies funktioniert und welche Vor- und Nachteile ihr Einsatz mit sich bringt, erfahren Sie in dem folgenden Blogbeitrag.
Unternehmen setzen heute eine steigende Anzahl unterschiedlicher Systeme, Endgeräte, Geschäftsanwendungen, Web-Apps sowie Cloud-Lösungen ein, mit dem Ziel die innerbetrieblichen Geschäftsverfahren ausführen zu können. Infolgedessen müssen die Beschäftigten sich keineswegs nur eine Flut komplexer Login-IDs sowie Passwörter merken, welche den Anforderungen an die Passwortsicherheit genügen, sondern diese bei der Benutzung oder beim Wechseln zwischen den Applikationen, auch jedes Mal neu eingeben. Diese Praxis ist aber nicht nur zeitintensiv und wenig benutzerfreundlich, sondern ebenso empfänglich für IT-Sicherheitsgefahren.
Somit ist es keineswegs verwunderlich, dass viele Mitarbeiter mit dem Einprägen von Account-Informationen oder Login-Daten überlastet sind, wie mehrere Gutachten zeigen, zum Beispiel die Studie Psychologie der Passwörter 2021“ von LastPass. Ferner demonstriert eine Auswertung von Yubico, dass 54 Prozent aller Mitarbeiter*innen die gleichen Passwörter für mehrere geschäftliche Konten verwenden. 22 % der Befragten schreiben Passwörter nach wie vor auf, um den Durchblick zu bewahren – darunter 41 Prozent der Firmeninhaber und 32 % der C-Level-Führungskräfte.
Den edelsten sowie sichersten Pfad aus diesem Schlamassel liefern sogenannte Single Sign-on-Lösungen, wie die Active Directory Federation Services von Microsoft.
Was sind Active Directory Federation Services?
Bei Microsoft Active Directory Federation Services, knapp ADFS oder auch Active Directory-Verbunddienste bezeichnet, dreht es sich um eine Option von Microsoft für die organisationsübergreifende Anmeldung an verschiedenen Systemen von Drittanbietern, Web-Apps und Cloud-Anwendungen, etwa Microsoft 365, Office 365, SharePoint oder auch OneDrive per Single Sign-On.
Für die Identifikation und Authentifizierung der Anwender verwenden die Active Directory Federation Services von Microsoft eine Benutzerverwaltung des Active Directories. Dies ermöglicht der Single-Sign-Lösung, dass die Arbeitnehmer*innen gegenüber außenstehenden Anwendungen anhand der Benutzernamen sowie Passwörter authentifiziert werden, die im Verzeichnisdienst Active Directory gespeichert sind. So kann die Varianz rund um die Verwaltung von Zugangskennungen gesenkt und sämtliche für die tägliche Arbeit benötigten Zugangskennungen an einer Stelle organisiert werden.
Außerdem nutzen die Active Directory Federation Services ein auf Ansprüchen basierendes Autorisierungsmodell sowie Anmelde-Token für die Zutrittskontrolle. Dabei erfolgt eine genaue Trennung zwischen den Zielanwendungen und einer Verwaltung der Anmeldedaten. Angesichts der Verwendung der Tokens müssen die Active Directory Federation Services die Zugangskennungen nicht mit den Drittsystemen teilen.
Parallel dienen die Microsoft Active Directory Federation Services auch als Verbindung, um unterschiedliche Frameworks zu integrieren wie die Security Assertion Markup Language, knapp SAML. Die ermöglicht den Zugang auf cloudbasierte sowie webbasierte Applikationen, die keineswegs in der Lage sind, die integrierte Windows-Authentifizierung, knapp IWA, über Active Directory zu verwenden.
Einsatzmöglichkeiten für den Active Directory Verbunddienst!
Es gibt unterschiedliche Einsatzszenarien für Microsoft Active Directory Federation Services. Eine der meist genutzten Szenarien ist die Verknüpfung von Web-Anwendungen mit Cloud-Anwendungen wie Microsoft 365, Office 365, SharePoint oder OneDrive mit Active Directory Federation Services. Ein beispielhafter Single Sign-on mit Active Directory Federation Services kann im Zuge dessen folgendermaßen aussehen:
Zu Arbeitsbeginn melden sich die Arbeitnehmerinnen mit dem Benutzernamen plus Kennwort in ihrer Windows Domäne an. Sobald sie Zugang auf etwa Office365 brauchen, müssen sie den Webbrowser öffnen und die Titelseite für den Webservice aufrufen. Über die Active Directory Federation Services erhält der externe Anbieter die Benutzerinformation der Angestellten und deren Benutzerrolle oder andere benötigte Informationen per Tokens und Claims mitgeteilt. Anschließend meldet der externe Dienst die Mitarbeiterinnen für die Benutzung an, ohne dass jene selbst den Benutzernamen und das Passwort eingeben müssen. Die Mitarbeiter*innen können dann Office365 gemäß ihrer Berechtigungen verwenden.
Active Directory Federation Services: Zugriff auf alle Geschäftsanwendungen mit einer einzigen Identität!
Die Vorzüge von Active Directory Federation Services liegen deutlich auf der Hand.
- Die Arbeitnehmer*innen eines Betriebs benötigen nur noch eine einzige Zugangskennung, um sich für sämtliche erforderlichen Anwendungen sowie Dienste im Geschäftsalltag einzuloggen.
- Microsofts Active Directory Federation Services sind mit sämtlichen externen Bereichen kompatibel, welche kein Windows-basiertes Identitätsmodell verwenden. In Kombination mit dem eigenen Active Directory entsteht eine gigantische Vielzahl an Anwendungsmöglichkeiten.
- Durch das zentrale Management in der Active Directory-Benutzerverwaltung komprimiert sich die Unübersichtlichkeit rund um die Administration von Benutzerkennungen und Passwörter.
- Durch die Benutzung der Anmelde-Token bekommen die externen Dienstleister von Cloud-Diensten und Web-Apps zu keiner Zeit Kenntnis über die tatsächlichen Benutzernamen und Passwörter. Wird die Zusammenarbeit mit dem Anbieter beendet, reicht es, die generelle Berechtigung zu entziehen. Passwörter oder Benutzernamen müssen nicht abgeändert oder gelöscht werden.
Allerdings auch bei der Nutzung von den Active Directory Federation Services ist keinesfalls alles Gold, was glänzt. Zu den relevanten Minuspunkten zählen:
- Außer den konkreten Gebühren für die Inbetriebnahme von Microsoft Active Directory Federation Services, müssen Betriebe laufende Kosten für die Administration und Wartung einberechnen. Je nachdem, wie das konfiguriert ist, können die Active Directory Verbunddienste weitaus mehr kosten als erwartet.
- Gesamtkomplexität: Die Inbetriebnahme, Konfiguration sowie Wartung der Active Directory Verbunddienste ist zeitaufwändig und umfassend. Besonders dann, wenn eine Benutzung zu den Active Directory Verbunddiensten dazugefügt wird.
Fazit: Sichere und zukunftsweisende Architektur für Cloud-Anwendungen!
Kaum etwas demotiviert Mitarbeiterinnen so sehr wie das Einprägen einer steigenden Anzahl verschachtelter Login-IDs plus Passwörter ebenso wie ihre ständige Eingabe, um Anwendungen und Dienste benutzen zu können. Dank Microsofts Active Directory Federation Services brauchen sich Arbeitnehmerinnen nur noch einen einzigen Satz von Anmeldedaten merken, um den Zugang für sämtliche Geschäftsanwendungen, Cloud-Lösungen und Web-Apps zu erhalten, die sie für ihren Geschäftsalltag benötigen. Weil beim Single Sign-On die Zugangskennungen bloß ein einziges Mal übertragen werden, steigert sich die IT-Sicherheit des Netzwerkzugangs. Liegt der Verdacht eines Identitätsdiebstahls vor, können jegliche Benutzerkonten von zentraler Stelle gesperrt oder bearbeitet werden. Gleichzeitig ist das Single Sign-out mit Active Directory Federation Services ebenso einfach wie das Single Sign-On. Durch die einmalige Abmeldung über den Single Sign-out werden selbstständig alle Sitzungen beendet und die jeweiligen Verbindungen getrennt.
Möchten auch Sie mit Active Directory Federation Services von MS das Benutzererlebnis, die Produktivität und die IT-Sicherheit in Ihrem Unternehmen steigern? Oder haben Sie noch Fragen zum Thema? Kontaktieren Sie uns.
Telefonisch unter 0049 8284 99690-0 oder per E-Mail unter vertrieb@esko-systems.de