Was sind die Active Directory-Verbunddienste (AD FS)?
Die Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) sind eine von Microsoft entwickelte Funktion für Single Sign-on (SSO). Sie bietet sicheren, authentifizierten Zugriff auf Domänen, Geräte, Web-Applikationen und Systeme innerhalb des Active Directory (AD) des Unternehmens sowie auf genehmigten Drittsystemen.
AD FS ist ein Verbunddienst, d. h. die Identität des Benutzers wird zentral verwaltet. Dadurch kann jeder Benutzer vorhandene AD-Anmeldedaten verwenden, um auf Anwendungen innerhalb eines Unternehmensnetzwerks zuzugreifen sowie auf Objekte vertrauenswürdiger Quellen außerhalb des Unternehmens, wie ein Cloud-Netzwerk, eine SaaS-Anwendung oder das Extranet eines anderen Unternehmens. Mit AD FS können Benutzer außerdem auf in AD integrierte Anwendungen zugreifen, während sie remote über die Cloud arbeiten.
AD FS soll das Benutzererlebnis vereinfachen und Unternehmen gleichzeitig die Aufrechterhaltung starker Sicherheitsrichtlinien ermöglichen. Mit AD FS müssen sich Benutzer nur einen Satz Anmeldedaten merken, um Zugriff auf zahlreiche Anwendungen, Systeme und Ressourcen zu erhalten.
CrowdStrike Global Threat Report 2024: Kurzfassung
Der CrowdStrike Global Threat Report 2024 basiert auf den Beobachtungen des CrowdStrike Counter Adversary Operations Teams und hebt die wichtigsten Themen, Trends und Ereignisse in der Cyber-Bedrohungslandschaft hervor.
Jetzt herunterladenFunktionsweise von AD FS
AD FS funktioniert in weiten Teilen wie eine allgemeine SSO-Funktion, d. h. die Identität des Benutzers wird authentifiziert und seine Zugriffsberechtigungen werden überprüft.
Überprüfen der Benutzeridentität
AD FS-SSO überprüft die Identität des Benutzers anhand des Daten-Repositorys des Unternehmens. Dabei werden zwei oder mehr Angaben verwendet, etwa der vollständige Name des Benutzers, seine Personalnummer, Telefonnummer, Mitarbeiter-ID oder E-Mail-Adresse.
Verwalten von Benutzeransprüchen
AD FS basiert auf einem anspruchsbasierten Authentifizierungsmodell. Dabei wird vom System ein sicheres Token generiert, das die Zugriffsrechte bzw. Ansprüche zu jedem Benutzer enthält. Wenn der Benutzer versucht, auf ein System zuzugreifen, gleicht das AD FS die Anfrage mit einer Liste der Systeme und Anwendungen ab, die der Benutzer innerhalb von AD oder Azure AD verwenden darf. Diese Überprüfung umfasst sowohl die internen Ressourcen des Unternehmens als auch Drittsysteme.
Verbundvertrauensstellungen
Die AD FS-Authentifizierung für Drittsysteme erfolgt über einen Proxy-Server, der von Active Directory und der externen Anwendung verwendet wird. Dadurch werden Benutzeridentität und Anspruchsregel miteinander kombiniert. Diese Fähigkeit, die auch als Verbundvertrauensstellung oder Vertrauensstellung der vertrauenden Seite bezeichnet wird, sorgt dafür, dass der Benutzer seine Identität nicht bei jeder einzelnen Anwendung direkt authentifizieren muss.
AD FS-Authentifizierungsprozess
Der AD FS-Authentifizierungsprozess besteht aus fünf grundlegenden Schritten:
- Der Benutzer öffnet einen Link, der mit dem AD FS-Dienst verknüpft ist, und gibt seine Anmeldedaten ein.
- Der AD FS-Dienst authentifiziert die Identität des Benutzers.
- Das AD FS-Tool generiert einen personalisierten Authentifizierungsanspruch für den Benutzer. Darin sind alle Ressourcen aufgeführt, die der Benutzer verwenden darf.
- Der AD FS-Dienst leitet den Anspruch an andere Anwendungen weiter, sobald der Benutzer versucht, auf diese zuzugreifen.
- Die Zielanwendung gewährt oder verweigert die Aktion, je nachdem, welche Bedingungen im Anspruch hinterlegt sind.
Warum verwenden Unternehmen AD FS?
Mitarbeiter greifen im Rahmen ihrer Tätigkeit routinemäßig auf hunderte Anwendungen zu. Viele wünschen sich daher ein Tool zur Verwaltung von Authentifizierung oder Identität, das ihnen die Authentifizierung an jeder einzelnen Anwendung erspart und dennoch sicher ist. SSO-Dienste wie AD FS bieten dem Endbenutzer und dem Unternehmen zahlreiche Vorteile.
Vorteile von AD FS für Endbenutzer
- Einfachheit: Mit AD FS benötigen Endbenutzer einen einzigen Satz Anmeldedaten für zahlreiche interne und externe Anwendungen und Systeme – und müssen also nicht immer wieder neue Anmeldedaten anlegen und sich diese merken.
- Verbessertes Benutzererlebnis: Nachdem die Identität des Benutzers von AD FS authentifiziert wurde, kann er nahtlos zwischen internen und externen Anwendungen wechseln. Dank des Tools für Identitätsverwaltung muss der Benutzer keine Kennwörter eingeben oder seine Arbeit anderweitig unterbrechen.
- Mehr Effizienz: Der AD FS-Dienst bietet nahtlosen Zugriff auf alle darüber verwalteten Web-Applikationen, Systeme und Geräte, sodass der Endbenutzer fließend von einer Aufgabe zur nächsten übergehen kann.
Gründe für die Verwendung von AD FS: Vorteile von AD FS für Unternehmen
- Entlastung des IT-Supports: Zu den häufigsten Helpdesk-Anfragen gehört das Zurücksetzen vergessener, verlorener oder abgelaufener Kennwörter. Mit einem AD FS-Dienst lässt sich der Zeitaufwand für routinemäßige Kennwortprobleme reduzieren, sodass sich das IT-Team wichtigeren Aufgaben widmen kann. Außerdem benötigen IT-Mitarbeiter weniger Zeit für die Einrichtung von Anmeldedaten für neue Konten.
- Vereinfachte Deaktivierung: Wenn Mitarbeiter das Unternehmen verlassen, lassen sich alle zugeordneten Dienste und Ressourcen mit einem einfachen und effizienten AD FS-Prozess deaktivieren. Statt die Anmeldedaten für jedes Konto einzeln zu entfernen – was nicht nur zeitraubend, sondern auch fehleranfällig ist –, kann das IT-Team den Benutzer und die zugehörigen Ansprüche bequem über AD FS deaktivieren.
- Höhere betriebliche Effizienz: Wenn Mitarbeiter ihre Tätigkeiten effizienter durchführen können, steigt auch die Effizienz des Unternehmens insgesamt. AD FS beseitigt Reibungsverluste beim Benutzererlebnis und steigert dadurch die Mitarbeiterproduktivität.
- Verbesserte Sicherheit: Das Verwenden eines AD FS-Dienstes verhindert, dass Benutzer alte Kennwörter wiederverwenden, Kennwörter mehrfach verwenden oder sogar aufschreiben. Dadurch verringert sich die Wahrscheinlichkeit, dass Angreifer ein geknacktes Kennwort für viele weitere Konten benutzen können.
Einschränkungen und Nachteile von AD FS
AD FS ist jedoch auch mit nicht unerheblichen Einschränkungen und Nachteilen verbunden, die Unternehmen im Rahmen ihrer Geschäftsstrategie berücksichtigen sollten.
Infrastrukturkosten: AD FS ist zwar für Windows Server-Instanzen als kostenlose Funktion verfügbar, allerdings sind eine Lizenz für Windows Server und ein dedizierter Server erforderlich.
Betriebs- und Wartungskosten: Abgesehen von Infrastrukturinvestitionen in Form von Lizenzen und Servern entstehen für das Unternehmen zusätzliche Kosten für Betrieb und Wartung des AD FS. Insbesondere die Wartung der Vertrauensstellung zwischen AD-Domänen und externen Anwendungen setzt umfassende technische Fachkenntnisse und Support seitens der IT voraus. In der Azure-Umgebung kann sich dies noch komplexer gestalten. AD FS führt außerdem zu hohen Wartungs- und Betriebskosten in Verbindung mit Infrastruktur-Upgrades, Verbundmanagement und Sicherheitsinvestitionen, etwa in SSL-Zertifikate.
Komplexität: Wenngleich AD FS das Benutzererlebnis vereinfacht, ist die Konfiguration, Bereitstellung und Nutzung des Dienstes in der Regel sehr kompliziert – vor allem in der Cloud oder in Microsoft Azure. Für das Hinzufügen von Zielanwendungen zum Dienst sind umfangreiche technische Fähigkeiten erforderlich. Ironischerweise ist das Benutzererlebnis für AD FS nicht intuitiv und muss von einem speziell geschulten IT-Experten verwaltet werden.
Weitere Einschränkungen von AD FS
- AD FS bietet keine Unterstützung für die Dateifreigabe zwischen Benutzern oder Gruppen.
- AD FS unterstützt keine Druckerserver.
- AD FS bietet für die meisten Remote-Desktop-Verbindungen keine Unterstützung.
- AD FS kann nicht auf Active Directory-Ressourcen zugreifen.
Komponenten und Designelemente von AD FS
AD FS-Komponenten:
Active Directory (AD) bzw. Azure AD: Die proprietären Microsoft-Verzeichnisdienste, mit denen Netzwerkadministratoren allen Netzwerkressourcen Kontoberechtigungen zuweisen und verwalten können.
AD FS-Server: Ein dedizierter Server, der Sicherheits-Token und andere Authentifizierungsobjekte (wie Cookies) verwaltet und speichert.
Azure AD Connect: Das Modul, das Active Directory mit Azure AD verbindet und üblicherweise in Hybridbereitstellungen verwendet wird.
Verbundserver: Ein SSO-Tool, das Authentifizierungs- und Zugriffsdienste für mehrere Systeme in unterschiedlichen Unternehmen über ein gemeinsames Sicherheits-Token (das auf dem AD des Hosts basiert) bereitstellt.
Verbundserver-Proxy: Ein Gateway zwischen dem AD und externen Zielen, das Zugriffsanfragen mit dem Verbundserver koordiniert.
AD FS im Vergleich zu Cloud-Identität
AD FS ist bei weitem nicht das einzige am Markt verfügbare SSO-/Verbundtool. Einige Unternehmen sind in der Lage, die gleichen Funktionen zu geringeren Kosten anzubieten, indem sie einen externen Cloud-Identitätsdienst oder ein cloudbasiertes Tool zur Identitätsverwaltung nutzen.
Cloud-Identitätsauthentifizierer sind tendenziell – aufgrund der geringeren cloudbezogenen Betriebskosten – kostengünstiger. Diese Tools bieten ebenfalls eine nahtlose Integration mit hunderten Anwendungen.
Unternehmen sollten gemeinsam mit ihrem Cybersicherheitspartner bestimmen, welches Authentifizierungstool für sie am besten geeignet ist.
AD FS und Cybersicherheit
Angesichts der Zunahme von Homeoffice-Umgebungen sowie der Cloud-Nutzung sollten Unternehmen überdenken, wie sie ihre Benutzer authentifizieren und Zugriffsberechtigungen erteilen möchten. Wenngleich AD FS nahtlosen und effizienten Zugriff bietet, sind mit dem Dienst dennoch potenziell hohe Sicherheitsrisiken verbunden.
Gewährleisten Sie gemeinsam mit Ihrem Cybersicherheitspartner, dass der AD FS kontinuierlich überwacht und gepatcht wird und dass auch andere Sicherheitsrisiken im Rahmen der Cybersicherheitsstrategie behoben werden.
CrowdStrike empfiehlt Unternehmen, die AD FS auf sichere Weise nutzen möchten, die folgenden drei Best Practices:
- Verschaffen Sie sich einen einheitlichen Überblick über die AD-Gesamtstruktur – sowohl für die internen Systeme als auch für Microsoft Azure. Bestimmen Sie etwaige Sicherheitslücken in Authentifizierungsrichtlinien, Benutzerrollen, Zugriffsberechtigungen sowie Benutzer- und Dienstkonten sowie Zugriffsabweichungen intern und in Microsoft Azure AD.
- Verstärken Sie die AD-Sicherheit durch bedingten Zugriff. Nutzen Sie ein Toolset für Cybersicherheit, das Risiken kontinuierlich bewertet und sich dabei auf das Benutzerverhalten in Verbindung mit Endgeräten, Servern, Anwendungen, Standorten, Benutzerrollen und Gruppen stützt. Bei einer Anomalie sollte das Tool außerdem bedingten Zugriff erzwingen. Dadurch werden hochriskante Zugriffe verhindert und Reibungsverluste bei vertrauenswürdigen Zugriffen eliminiert.
- Zentralisieren Sie die Untersuchung und Behebung von Zwischenfällen. Stellen Sie sicher, dass Ihre Cybersicherheitslösung einen vollständigen Bericht über verdächtige oder anomale Aktivitäten bietet, einschließlich Zeitstempel, Aktivität, Quelle und Ziel.