Active Directory Federation Services

Mittlerweile haben Apps Einzug in unseren Alltag gehalten. Auch im Business-Kontext lässt sich diese Aussage heutzutage getrost treffen. Mit immer einfacher werdenden Applikationen steigt im Hintergrund jedoch die Komplexität der Infrastruktur. Gerade für den Einsatz von Single Sign On (SSO) wird ein Dienst von Microsoft mit dem Namen Microsoft Active Directory Federation Services immer wichtiger.

Inhaltsverzeichnis

  1. SSO über Unternehmensgrenzen hinweg
    1. Identity Federation
  2. Voraussetzungen für ADFS
    1. Microsoft Active Directory
    2. Reverse Proxy
  3. Active Directory Federation Services in SAP
    1. Fiori Gateway / SAP Cloud Platform
    2. Zwei-Faktor-Authentifizierung
  4. Vorteile des Single Sign Ons via ADFS

SSO über Unternehmensgrenzen hinweg

Identity Federation

Microsoft Active Directory Federation Services – kurz ADFS – ist eine Komponente, die erstmals für Windows Server 2003 R2 veröffentlicht wurde. Ziel dieses Dienstes ist es, den Nutzen eines Single Sign Ons auch über Unternehmensgrenzen hinaus zu ermöglichen. Dafür wird eine so genannte Identity Federation hergestellt. Dabei handelt es sich um eine zusammengesetzte Identität, die sich dann über mehrere Systeme erstreckt.

Ziel dabei ist es, die Informationen an verschiedenen Stellen halten und sie über verschiedene Systeme hinweg nutzen zu können. Im Falle des ADFS besteht ein Großteil der Attribute dieser  Identität in der Regel aus meinem Account im Active Directory, der als Unique Identifier fungiert. Somit ist es mir dann möglich, mich mit meinen Windows Credentials am jeweiligen Service anzumelden. Um diese Identity Federation herzustellen, wird eine so genannte Trust Verbindung zwischen zwei Diensten eingerichtet.

Mobile App Security

E-Book: Mobile App Security

Erfahren Sie, wie Sie mobile Apps im Unternehmen sicher verteilen und verwalten.

Jetzt anfordern

Voraussetzungen für ADFS

Microsoft Active Directory

Um die Active Directory Federation Services nutzen zu können, benötige ich zunächst ein Microsoft Active Directory, welches meine Benutzeranmeldedaten verwaltet. Anschließend wird ein weiterer Windows Server benötigt, welcher für die Einrichtung der Federation genutzt wird. Dieser Server steht in der Regel in meinem LAN. Mit diesem Setup bin ich in der Lage Usern in meinem lokalen Netzwerk den Zugriff auf lokale Anwendungen aber auch einen simplen Login an Drittanbieter-Software zu ermöglichen.

Reverse Proxy

Möchte ich nun einen Zugriff von Außen ermöglichen, benötige ich einen weiteren Server. Hierbei handelt es sich um einen Reverse Proxy. In der Regel würde ich hier das Produkt von Microsoft –den Web Application Proxy – verwenden. Dieser Reverse Proxy steht in der DMZ, also dem Perimeternetzwerk, und hat die Aufgabe, den Federation Server vor direkten Zugriffen aus dem Internet zu schützen.

Active Directory Federation Services in SAP

Fiori Gateway / SAP Cloud Platform

Im SAP Kontext werden die Microsoft ADFS in der Regel in Szenarien mit einem Fiori Gateway oder einer SAP Cloud Platform verwendet. Aber auch andere Cloud-Dienste wie SuccessFactors, SAP Analytics Cloud, SAP Ariba, SAP Concur oder S/4HANA können hier angebunden werden. Damit ist es nicht mehr notwendig, dass sich der SAP Nutzer viele verschiedene Passwörter der einzelnen Dienste merkt, sondern er meldet sich überall mit seinem Windows Login an.

Zwei-Faktor-Authentifizierung

In der größten Ausbaustufe wird das Single Sign On hier nicht über einen direkten Login via Passwort realisiert, sondern über die Integration von Zertifikaten auf dem Mobilgerät. In diesem Fall habe ich dann eine Art Zwei-Faktor-Authentifizierung. Der erste Faktor ist dabei mein Login am Telefon, also meine PIN, der zweite Faktor das Zertifikat.

Auch wenn dies die wahrscheinlich bequemste Variante der Authentifizierung an verschiedenen Systemen ist, birgt sie jedoch gerade in der Einrichtung und durch ihre Komplexität eine Vielzahl von Tücken und Stolperfallen. Daher ist in der Praxis häufig ein Login mittels Benutzername und Passwort zu sehen.

Vorteile des Single Sign Ons via ADFS

Dieses bringt viele Vorteile mit sich. Der wahrscheinlich offensichtlichste ist die Reduktion der Service-Anfragen für Passwortresets. Auf der anderen Seite führt dies aber auch dazu, dass die Passwort-Richtlinien in der Regel härter gestaltet werden können, da es nur noch ein Passwort gibt, welches sich der Nutzer merken muss.

Das könnte Sie auch interessieren:

SAP Fiori
Unser E-Book zum Thema Die besten Blogbeiträge zu SAP Fiori

Das könnte Sie auch interessieren

SAP Fiori mobile Anwendung

Fiori 3.0: Worauf können Sie sich freuen?

Dass SAP mit Fiori noch so einiges in Planung hat, um die SAP-Oberflächen aller Endanwender auf ein neues Level zu heben und die User Experience noch weiter zu optimieren, war bereits bekannt. Spätestens seit der großen Ankündigung auf den SAP-TechEd-Veranstaltungen 2018 wissen wir nun, dass mit SAP Fiori 3.0 die Vorgängerversion Fiori 2.0 (seit 2016 […]

weiterlesen
Fiori Apps

Einführung in mobile Services für SAP Fiori

Die mobile Services für SAP Fiori ermöglichen es Ihnen, mobile Versionen Ihrer SAP Fiori-Anwendungen zu erstellen und diese Anwendungen über Mobile Place oder den unternehmenseigenen App Store zu verteilen.

weiterlesen
Concept of virtual diagram,graph interfaces,digital display,connections,statistics icons.Man using contemporary electronic tablet with dock keyboard.Blurred background. Horizontal.

Bereitstellungsoptionen für SAP Fiori Frontend Server

Der SAP Fiori Frontend Server (FES) bietet eine Reihe an Technologiekomponenten, die für den Betrieb von SAP Fiori Szenarien auf einem ABAP On-Premise Frontend Server erforderlich sind. Der Fiori Frontend Server kann dabei in verschiedenen Architekturen eingerichtet werden. In diesem Blogbeitrag stellen wir Ihnen daher drei mögliche Bereitstellungsoptionen für den SAP Fiori Frontend Server vor.

weiterlesen

Unsere Produkte zu Active Directory Federation Services

Mobile Infrastruktur und Security

Mobile Infrastruktur und Security

Der Wunsch, mobile Endgeräten im Berufsalltag einzusetzen, wird immer größer. Auf der einen Seite locken erhöhte Produktivität & Flexibilität in der Erledigung von Aufgaben, auf der anderen Seite bringt die Nutzung von Firmendaten außerhalb des gesicherten Firmennetzes auch Gefahren mit sich.

Mehr Informationen
Einführung von Enterprise Mobility

Enterprise Mobility Strategie Einführung

In einer schnelllebigen Welt wie der heutigen, ist eine mobile Strategie unumgänglich: Alles ist mobil und so sind es auch Ihre Mitarbeiter. Deshalb wird es Zeit für Ihre Enterprise Mobility Einführung!

Mehr Informationen
Mobile Infrastructure Check up

Infrastrukturkonzept für den Einsatz mobiler Applikationen

Die Infrastruktur ist ein essentieller Teil der EDV jedes Unternehmens. Mit dem rasanten Umzug vom Desktop auf das mobile Endgerät ergaben sich völlig neue Szenarien, die neue Anforderungen an die Unternehmensinfrastrukturen stellen.

Mehr Informationen

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Newsletter

Angebot anfordern
Preisliste herunterladen
Expert Session
Support