Microsoft ADFS: Die effiziente Alternative zum Passwortdschungel!

Microsoft ADFS: Die effiziente Alternative zum Passwortdschungel!

Die wachsende Zahl unterschiedlicher Cloud-Anwendungen sowie Web-Apps und der dadurch verbundene Passwort-Wildwuchs erzeugen den verstärkten Trend zur Single-Sign-On-Identitätsüberprüfung. Microsoft bietet durch Active Directory Federation Services eine Single-Sign-on-Lösung an, welche es Unternehmen ermöglicht, für sämtliche Zugriffspunkte und Einsatzbereiche im Unternehmen eine einmalige sowie zentrale Anmeldung zu bieten – sowohl von intern als auch von extern. Wie dies gelingt und welche Vor- oder Nachteile der Einsatz mit sich bringt, erfahren Sie in dem nachfolgenden Blogartikel.

Firmen setzen mittlerweile eine wachsende Zahl verschiedener Systeme, Endgeräte, Geschäftsanwendungen, Web-Apps und Cloud-Lösungen ein, um die innerbetrieblichen Geschäftsverfahren abwickeln zu können. Deshalb müssen die Beschäftigten sich nicht bloß eine Fülle komplexer Login-IDs sowie Passwörter einprägen, die den Ansprüchen an die Passwortsicherheit reichen, sondern diese bei der Benutzung oder beim Wechseln zwischen den Applikationen, darüber hinaus jedes Mal erneut eintippen. Diese Praxis ist aber nicht bloß zeitaufwändig und wenig benutzerfreundlich, sondern auch empfänglich für IT-Sicherheitsrisiken.

So ist es keineswegs überraschend, dass etliche Beschäftigte mit dem Merken von Benutzerkonto-Informationen oder Login-Daten überfordert sind, wie mehrere Gutachten bestätigen, darunter die Studie „Psychologie der Passwörter 2021“ von LastPass . Obendrein zeigt eine Prüfung von Yubico, dass 54 % aller Mitarbeiter*innen die identischen Passwörter für mehrere geschäftliche Konten verwenden. 22 % der Umfrageteilnehmer schreiben Passwörter nach wie vor auf, um einen Überblick zu bewahren – darunter 41 % der Arbeitgeber und 32 % der C-Level-Führungspersonen.

Den elegantesten und sichersten Pfad aus diesem Dilemma bieten sogenannte Single Sign-on-Lösungen, wie die Active Directory Federation Services von Microsoft.

Was versteht man unter Active Directory Federation Services?

Bei Microsoft Active Directory Federation Services, knapp ADFS oder ebenfalls Active Directory-Verbunddienste genannt, dreht es sich um eine Option von Microsoft für die organisationsübergreifende Anmeldung an verschiedenen Systemen von Drittanbietern, Web-Apps und Cloud-Anwendungen, beispielsweise Microsoft 365, Office 365, SharePoint oder auch OneDrive per Single Sign-On.

Für eine Ausweisung und Authentifizierung der Anwender benutzen die Active Directory Federation Services von Microsoft eine Benutzerverwaltung des Active Directories. Dies gewährt der Single-Sign-Lösung, dass die Arbeitnehmer*innen gegenüber externen Anwendungen anhand der Benutzernamen sowie Passwörter authentifiziert werden, die im Verzeichnisdienst Active Directory gesichert sind. So kann die Varianz rund um die Verwaltung von Zugangskennungen gesenkt sowie sämtliche für die tagtägliche Arbeit benötigten Zugangskennungen an einer Stelle verwaltet werden.

Außerdem verwenden die Active Directory Federation Services das auf Ansprüchen basierendes Autorisierungsmodell und Anmelde-Token für die Zutrittskontrolle. Hierbei erfolgt eine genaue Trennung zwischen den Zielanwendungen und der Verwaltung der Anmeldedaten. Angesichts der Verwendung der Tokens müssen die Active Directory Federation Services die Zugangskennungen nicht mit den Drittsystemen teilen.

Zugleich nutzen die Microsoft Active Directory Federation Services auch als Verbindung, um verschiedene Frameworks zu integrieren beispielsweise die Security Assertion Markup Language, knapp SAML. Die ermöglicht den Zugang auf cloudbasierte und webbasierte Applikationen, welche nicht in der Lage sind, die eingebaute Windows-Authentifizierung, knapp IWA, über Active Directory zu gebrauchen.

Mit Microsoft Active Directory Federation Services in die Cloud!

Es gibt verschiedene Einsatzszenarien für Microsoft Active Directory Federation Services. Eine der häufigsten Szenarien ist die Verbindung von Web-Anwendungen und Cloud-Anwendungen wie Microsoft 365, Office 365, SharePoint oder auch OneDrive mit Active Directory Federation Services. Ein beispielhafter Single Sign-on mit Active Directory Federation Services könnte im Zuge dessen folgendermaßen aussehen:

Zu Arbeitsbeginn melden sich die Arbeitnehmer*innen mit dem Benutzernamen plus Kennwort in der individuellen Windows Domäne an. Wenn sie Zugriff auf etwa Office365 brauchen, müssen sie den Webbrowser öffnen und die Titelseite für den Webservice besuchen.
Über die Active Directory Federation Services erhält der außerbetriebliche Dienstleister die Identität der Angestellten sowie ihre Benutzerrolle oder andere benötigte Daten per Tokens und Claims genannt. Darauffolgend meldet der externe Dienst die Arbeitnehmer*innen für die Benutzung an, ohne dass jene selbst den Benutzernamen oder das Passwort eintragen müssen. Die Arbeitnehmer*innen können nun Office365 entsprechend ihrer Berechtigungen verwenden.

Active Directory Federation Services: Welche Chancen und Risiken gibt es?

Die Vorteile von Active Directory Federation Services befinden sich deutlich auf der Hand.

• Die Arbeitnehmer*innen eines Betriebs benötigen bloß noch eine einzige Zugangskennung, um sich für alle benötigten Anwendungen und Dienste im Geschäftsalltag einzuloggen.
• Microsofts Active Directory Federation Services sind mit allen externen Umgebungen kompatibel, welche kein Windows-basiertes Identitätsmodell benutzen. In Verbindung mit dem persönlichen Active Directory ergibt sich eine gigantische Vielfalt an Anwendungsmöglichkeiten.
• Durch das zentrale Organisieren in der Active Directory-Benutzerverwaltung reduziert sich die Unübersichtlichkeit rund um die Verwaltung von Benutzerkennungen sowie Passwörter.
• Durch die Verwendung der Anmelde-Token bekommen die anderen Anbieter von Cloud-Diensten und Web-Apps niemals Kenntnis über die wirklichen Benutzernamen oder Passwörter. Wird die Zusammenarbeit mit dem Anbieter beendet, genügt es, die generelle Berechtigung zu löschen. Passwörter oder Benutzernamen müssen nicht abgeändert oder gelöscht werden.

Doch auch bei der Nutzung von den Active Directory Federation Services ist nicht absolut alles Gold, was glänzt. Zu den relevanten Minuspunkten gehören:

• Neben den direkten Gebühren für die Inbetriebnahme von Microsoft Active Directory Federation Services, müssen Betriebe laufende Betriebskosten für die Verwaltung und Wartung einberechnen. Je nachdem, wie das konfiguriert ist, können die Active Directory Verbunddienste weitaus mehr kosten als angenommen.

• Gesamtkomplexität: Die Inbetriebnahme, Einstellung und Wartung der Active Directory Verbunddienste ist zeitaufwändig und komplex. Insbesondere dann, wenn eine Anwendung zu den Active Directory Verbunddiensten dazugefügt wird.

Fazit: Mehr Zugriffssicherheit, geringere Kosten, mehr Compliance!

Kaum etwas demotiviert Mitarbeiter*innen so sehr wie das Einprägen einer wachsenden Anzahl verschachtelter Login-IDs plus Passwörter ebenso wie ihre permanente Eingabe, um Anwendungen und Dienste benutzen zu können. Dank Microsofts Active Directory Federation Services müssen sich Mitarbeiter*innen nur noch einen Satz von Anmeldedaten einprägen, um den Zugriff für jegliche Geschäftsanwendungen, Cloud-Lösungen sowie Web-Apps zu bekommen, welche sie für ihren Geschäftsalltag brauchen. Da beim Single Sign-On die Zugangskennungen nur ein einziges Mal übertragen werden, steigert sich die IT-Sicherheit des Netzwerkzugangs. Liegt der Anfangsverdacht eines Identitätsdiebstahls vor, können alle Benutzerkonten von einer Stelle gesperrt oder bearbeitet werden. Zur selben Zeit ist das Single Sign-out mit Active Directory Federation Services ebenso unkompliziert wie das Single Sign-On. Durch die einmalige Abmeldung über den Single Sign-out werden selbstständig alle Sitzungen beendet und die entsprechenden Verbindungen getrennt.

Wollen auch Sie mit Active Directory Federation Services von MS das Benutzererlebnis, die Produktivität und die IT-Sicherheit in Ihrem Betrieb verbessern? Oder haben Sie noch Anliegen zum Inhalt? Sprechen Sie uns an unter 02234 688 39 0 oder per E-Mail an info@netable.de