Tobias Feldherr

10. Juli 2019

2 Kommentare

SSO über Unternehmensgrenzen hinweg

Identity Federation

Microsoft Active Directory Federation Services – kurz ADFS – ist eine Komponente, die erstmals für Windows Server 2003 R2 veröffentlicht wurde. Ziel dieses Dienstes ist es, den Nutzen eines Single Sign Ons auch über Unternehmensgrenzen hinaus zu ermöglichen. Dafür wird eine so genannte Identity Federation hergestellt. Dabei handelt es sich um eine zusammengesetzte Identität, die sich dann über mehrere Systeme erstreckt.

Ziel dabei ist es, die Informationen an verschiedenen Stellen halten und sie über verschiedene Systeme hinweg nutzen zu können. Im Falle des ADFS besteht ein Großteil der Attribute dieser  Identität in der Regel aus meinem Account im Active Directory, der als Unique Identifier fungiert. Somit ist es mir dann möglich, mich mit meinen Windows Credentials am jeweiligen Service anzumelden. Um diese Identity Federation herzustellen, wird eine so genannte Trust Verbindung zwischen zwei Diensten eingerichtet.

E-Book: Mobile App Security

Erfahren Sie, wie Sie mobile Apps im Unternehmen sicher verteilen und verwalten.

Jetzt anfordern

E-Book: Mobile App Security

×

Voraussetzungen für ADFS

Microsoft Active Directory

Um die Active Directory Federation Services nutzen zu können, benötige ich zunächst ein Microsoft Active Directory, welches meine Benutzeranmeldedaten verwaltet. Anschließend wird ein weiterer Windows Server benötigt, welcher für die Einrichtung der Federation genutzt wird. Dieser Server steht in der Regel in meinem LAN. Mit diesem Setup bin ich in der Lage Usern in meinem lokalen Netzwerk den Zugriff auf lokale Anwendungen aber auch einen simplen Login an Drittanbieter-Software zu ermöglichen.

Reverse Proxy

Möchte ich nun einen Zugriff von Außen ermöglichen, benötige ich einen weiteren Server. Hierbei handelt es sich um einen Reverse Proxy. In der Regel würde ich hier das Produkt von Microsoft –den Web Application Proxy – verwenden. Dieser Reverse Proxy steht in der DMZ, also dem Perimeternetzwerk, und hat die Aufgabe, den Federation Server vor direkten Zugriffen aus dem Internet zu schützen.

Active Directory Federation Services in SAP

Fiori Gateway / SAP Cloud Platform

Im SAP Kontext werden die Microsoft ADFS in der Regel in Szenarien mit einem Fiori Gateway oder einer SAP Cloud Platform verwendet. Aber auch andere Cloud-Dienste wie SuccessFactors, SAP Analytics Cloud, SAP Ariba, SAP Concur oder S/4HANA können hier angebunden werden. Damit ist es nicht mehr notwendig, dass sich der SAP Nutzer viele verschiedene Passwörter der einzelnen Dienste merkt, sondern er meldet sich überall mit seinem Windows Login an.

Zwei-Faktor-Authentifizierung

In der größten Ausbaustufe wird das Single Sign On hier nicht über einen direkten Login via Passwort realisiert, sondern über die Integration von Zertifikaten auf dem Mobilgerät. In diesem Fall habe ich dann eine Art Zwei-Faktor-Authentifizierung. Der erste Faktor ist dabei mein Login am Telefon, also meine PIN, der zweite Faktor das Zertifikat.

Auch wenn dies die wahrscheinlich bequemste Variante der Authentifizierung an verschiedenen Systemen ist, birgt sie jedoch gerade in der Einrichtung und durch ihre Komplexität eine Vielzahl von Tücken und Stolperfallen. Daher ist in der Praxis häufig ein Login mittels Benutzername und Passwort zu sehen.

Vorteile des Single Sign Ons via ADFS

Dieses bringt viele Vorteile mit sich. Der wahrscheinlich offensichtlichste ist die Reduktion der Service-Anfragen für Passwortresets. Auf der anderen Seite führt dies aber auch dazu, dass die Passwort-Richtlinien in der Regel härter gestaltet werden können, da es nur noch ein Passwort gibt, welches sich der Nutzer merken muss.

FAQ

Was sind Active Directory Federation Services?

Active Directory Federation Services (ADFS) sind ein von Microsoft bereitgestellter Dienst, der als Security Token zur Identifizierung und Autorisierung verwendet werden kann. Dazu wird eine Identity Federation hergestellt, die als zusammengesetzte Identität für mehrere Systeme genutzt wird. Diese wird über einen Account im Active Directory hergestellt, der als Unique Identifier dient.

Welche Voraussetzungen benötigen Active Directory Federation Services?

Voraussetzungen für die Nutzung von ADFS sind ein Microsoft Active Directory zur Verwaltung der Anmeldedaten und ein Windowsserver zur Einrichtung der Federation, um Nutzern innerhalb eines lokalen Netzwerkes Zugriff auf lokale Anwendungen zu ermöglichen. Für einen Zugriff von außen wird ein zusätzlicher Server benötigt, ein sogenannter Reverse Proxy. Dieser schützt den Federation Server vor Versuchen des direkten Zugriffs auf diesen aus dem Internet.

Welche Vorteile bieten Active Directory Federation Services?

Mit den Active Directory Federation Services können Informationen an unterschiedlichen Stellen gehalten und genutzt werden. Dank der ADFS ist die Verwendung von Single Sign Ons (SSO) auch über die eigenen Unternehmensgrenzen hinaus möglich. Außerdem müssen sich Nutzer dank der ADFS nur noch ein einziges Passwort merken, um verschiedene Dienste verwenden zu können. Auf diese Weise können Service-Anfragen für Passwortresets deutlich reduziert werden.

Wie funktionieren Active Directory Federation Services im SAP Bereich?

Im SAP Umfeld kommen ADFS meist mit einem Fiori Gateway, einer SAP Cloud Platform oder anderen Cloud-Diensten wie SuccessFactors, SAP Analytics oder S/4HANA zum Einsatz. Aber auch die Anbindung an SAP Ariba und SAP Concur ist möglich.

Tobias Feldherr

Als Management & Technologieberater im Bereich Mobility verbinde ich tiefgehende fachliche Expertise mit langjährigem Projektleitungs-Know-How. Diese Kombination liefert mir die Grundlage, meine Kunden-Projekte zum Erfolg zu führen. Gerne unterstütze ich Sie bei den Themen mobile Infrastrukturen und App-Entwicklung mit SAPUI5 oder Low-Code.

Sie haben Fragen? Kontaktieren Sie mich!