Active Directory – Was ist das und wie funktioniert es?

Die wachsende Menge verschiedener Cloud-Anwendungen sowie Web-Apps und der damit einhergehende Passwort-Wildwuchs erzeugen den verstärkten Trend zur Single-Sign-On-Authentifizierung. Microsoft bietet durch Active Directory Federation Services eine Single-Sign-on-Lösung an, die es Unternehmen ermöglicht, für alle Zugriffspunkte und Einsatzbereiche im Unternehmen eine einmalige sowie zentrale Anmeldung zu haben – sowohl von intern wie ebenso von extern. Wie dies funktioniert und welche Vor- und Nachteile ihr Einsatz mit sich bringt, lernen Sie in dem nachfolgenden Blogbeitrag.

Firmen setzen heute eine wachsende Anzahl verschiedener Systeme, Endgeräte, Geschäftsanwendungen, Web-Apps und Cloud-Lösungen ein, um die innerbetrieblichen Geschäftsprozesse ausführen zu können. Deshalb müssen die Angestellten sich nicht nur eine Fülle komplexer Login-IDs sowie Passwörter merken, welche den Ansprüchen an die Passwortsicherheit reichen, sondern ebendiese bei der Benutzung oder beim Wechseln zwischen den Applikationen, darüber hinaus jedes Mal erneut eingeben. Derartige Routine ist jedoch nicht bloß zeitaufwändig und benutzerunfreundlich, sondern auch anfällig für IT-Sicherheitsrisiken.

So ist es keineswegs überraschend, dass viele Beschäftigte mit dem Einprägen von Account-Informationen oder Login-Daten überfordert sind, wie mehrere Gutachten bestätigen, darunter die Studie „Psychologie der Passwörter 2021“. Ferner demonstriert die Prüfung von Yubico, dass 54 % aller Mitarbeiter*innen die gleichen Passwörter für mehrere geschäftliche Konten nutzen. 22 Prozent der Befragten schreiben Passwörter immer noch auf, um den Überblick zu behalten – darunter 41 Prozent der Arbeitgeber und 32 Prozent der C-Level-Führungspersonen.

Den edelsten sowie sichersten Pfad aus dem Schlamassel liefern sogenannte Single Sign-on-Lösungen, wie die Active Directory Federation Services von Microsoft.

Was sind Active Directory Federation Services?

Bei Microsoft Active Directory Federation Services, kurz ADFS oder ebenfalls Active Directory-Verbunddienste bezeichnet, dreht es sich um eine Lösung von Microsoft für die organisationsübergreifende Registrierung an unterschiedlichen Systemen von Drittanbietern, Web-Apps und Cloud-Anwendungen, beispielsweise Microsoft 365, Office 365, SharePoint oder auch OneDrive per Single Sign-On.

Für eine Identifikation sowie Identitätsüberprüfung der Anwender verwenden die Active Directory Federation Dienste von Microsoft die Benutzerverwaltung des Active Directories. Das ermöglicht der Single-Sign-Lösung, dass die Arbeitnehmer*innen gegenüber externen Anwendungen anhand der Benutzernamen und Passwörter authentifiziert werden, welche im Verzeichnisdienst Active Directory gesichert sind. So kann die Varianz rund um die Verwaltung von Zugangskennungen gesenkt sowie alle möglichen für die tägliche Arbeit benötigten Zugangskennungen an zentraler Stelle verwaltet werden.

Außerdem verwenden die Active Directory Federation Services das auf Ansprüchen basierendes Autorisierungsmodell und Anmelde-Token für die Zugangskontrolle. Dabei geschieht eine genaue Trennung zwischen den Zielanwendungen und einer Verwaltung der Anmeldedaten. Dank der Benutzung der Tokens müssen die Active Directory Federation Services die Zugangskennungen nicht mit den Drittsystemen teilen.

Zugleich nutzen die Microsoft Active Directory Federation Services auch als Verbindung, um unterschiedliche Frameworks einzubinden wie die Security Assertion Markup Language, knapp SAML. Die ermöglicht den Zugang auf cloudbasierte und webbasierte Anwendungen, die nicht in der Lage sind, die eingebaute Windows-Authentifizierung, kurz IWA, über Active Directory zu verwenden.

Einsatzmöglichkeiten für den Active Directory Verbunddienst!

Es gibt verschiedene Einsatzszenarien für MS Active Directory Federation Services. Eine der häufigsten Szenarien ist die Verbindung von Web-Anwendungen mit Cloud-Anwendungen wie Microsoft 365, Office 365, SharePoint oder auch OneDrive mit Active Directory Federation Services. Ein beispielhafter Single Sign-on mit Active Directory Federation Services kann dabei folgenderweise ausschauen:

Zu Arbeitsbeginn melden sich die Arbeitnehmer:innen mit einem Benutzernamen plus Kennwort in ihrer Windows Domäne an. Sobald sie Zugriff auf etwa Office365 benötigen, müssen sie den Internetbrowser öffnen und die Titelseite für den Webservice besuchen. Über die Active Directory Federation Services bekommt der externe Anbieter die Benutzerinformation der Mitarbeiterinnen und deren Benutzerrolle oder andere benötigte Daten per Tokens und Claims mitgeteilt. Darauffolgend meldet der externe Provider die Arbeitnehmer:innen für die Anwendung an, ohne dass diese eigenhändig den Benutzernamen oder das Passwort eingeben müssen. Die Arbeitnehmerinnen können dann Office365 gemäß deren Berechtigungen nutzen.

Active Directory Federation Services: Die Chancen und Risiken!

Die Vorteile von Active Directory Federation Services liegen deutlich auf der Hand.

• Die Mitarbeiter:innen eines Betriebs benötigen bloß noch eine alleinige Zugangskennung, um sich für alle benötigten Programme und Dienste im Geschäftsalltag zu authentifizieren.
• Microsofts Active Directory Federation Services sind mit allen externen Bereichen kombinierbar, die kein Windows-basiertes Identitätsmodell verwenden. In Kombination mit einem persönlichen Active Directory ergibt sich eine riesige Vielfalt an Anwendungsmöglichkeiten.
• Durch das zentrale Organisieren in der Active Directory-Benutzerverwaltung reduziert sich die Unübersichtlichkeit rund um die Verwaltung von Benutzerkennungen sowie Passwörter.
• Durch die Verwendung der Anmelde-Token erhalten die externen Anbieter von Cloud-Diensten sowie Web-Apps zu keiner Zeit Kenntnisstand über die wirklichen Benutzernamen und Passwörter. Wird die Kooperation mit dem Anbieter beendet, reicht es, die generelle Berechtigung zu entziehen. Passwörter oder Benutzernamen müssen nicht geändert oder gelöscht werden.

Allerdings auch bei der Nutzung von den Active Directory Federation Services ist nicht alles Gold, was glänzt. Zu den relevanten Nachteilen zählen:

• Neben den konkreten Gebühren für die Inbetriebnahme von Microsoft Active Directory Federation Services, müssen Betriebe monatliche Betriebskosten für die Administration und Wartung berücksichtigen. Je nachdem, wie das konfiguriert ist, können die Active Directory Verbunddienste weitaus mehr kosten als angenommen.
• Gesamtkomplexität: Die Inbetriebsetzung, Konfiguration und Wartung der Active Directory Verbunddienste ist zeitintensiv und umfassend. Insbesondere dann, wenn eine Anwendung zu den Active Directory Verbunddiensten dazugefügt wird.

Fazit: Sichere und zukunftsweisende Architektur für Cloud-Anwendungen!

Kaum etwas demotiviert Mitarbeiter:innen so sehr wie das Einprägen einer wachsenden Masse komplexer Login-IDs plus Passwörter ebenso wie ihre ständige Eingabe, um Anwendungen und Dienste nutzen zu können. Durch Microsofts Active Directory Federation Services brauchen sich Mitarbeiterinnen nur noch einen Satz von Anmeldedaten merken, um den Zugang für sämtliche Geschäftsanwendungen, Cloud-Lösungen sowie Web-Apps zu erhalten, die sie für den Geschäftsalltag brauchen. Weil beim Single Sign-On die Zugangskennungen bloß ein einziges Mal übermittelt werden, steigert sich die IT-Sicherheit des Netzwerkzugangs. Liegt der Anfangsverdacht eines Identitätsdiebstahls vor, könnten jegliche Benutzerkonten von einer Stelle gesperrt oder bearbeitet werden. Gleichzeitig ist das Single Sign-out mit Active Directory Federation Services ebenso unkompliziert wie das Single Sign-On. Über die einmalige Abmeldung über den Single Sign-out werden automatisch sämtliche Sitzungen geschlossen und die jeweiligen Verbindungen getrennt.

Wollen auch Sie mit Active Directory Federation Services von Microsoft das Benutzererlebnis, die Produktivität und die IT-Sicherheit in Ihrem Betrieb verbessern? Oder haben Sie noch Fragen zum Thema? Kontaktieren Sie uns.