Active Directory Federation Services

Mittlerweile haben Apps Einzug in unseren Alltag gehalten. Auch im Business-Kontext lässt sich diese Aussage heutzutage getrost treffen. Mit immer einfacher werdenden Applikationen steigt im Hintergrund jedoch die Komplexität der Infrastruktur. Gerade für den Einsatz von Single Sign On (SSO) wird ein Dienst von Microsoft mit dem Namen Microsoft Active Directory Federation Services immer wichtiger.

Inhaltsverzeichnis

  1. SSO über Unternehmensgrenzen hinweg
    1. Identity Federation
  2. Voraussetzungen für ADFS
    1. Microsoft Active Directory
    2. Reverse Proxy
  3. Active Directory Federation Services in SAP
    1. Fiori Gateway / SAP Cloud Platform
    2. Zwei-Faktor-Authentifizierung
  4. Vorteile des Single Sign Ons via ADFS

SSO über Unternehmensgrenzen hinweg

Identity Federation

Microsoft Active Directory Federation Services – kurz ADFS – ist eine Komponente, die erstmals für Windows Server 2003 R2 veröffentlicht wurde. Ziel dieses Dienstes ist es, den Nutzen eines Single Sign Ons auch über Unternehmensgrenzen hinaus zu ermöglichen. Dafür wird eine so genannte Identity Federation hergestellt. Dabei handelt es sich um eine zusammengesetzte Identität, die sich dann über mehrere Systeme erstreckt.

Ziel dabei ist es, die Informationen an verschiedenen Stellen halten und sie über verschiedene Systeme hinweg nutzen zu können. Im Falle des ADFS besteht ein Großteil der Attribute dieser  Identität in der Regel aus meinem Account im Active Directory, der als Unique Identifier fungiert. Somit ist es mir dann möglich, mich mit meinen Windows Credentials am jeweiligen Service anzumelden. Um diese Identity Federation herzustellen, wird eine so genannte Trust Verbindung zwischen zwei Diensten eingerichtet.

E-Book: Enterprise Mobility Management

Welche grundlegenden Funktionen bietet eine EMM-Lösung? Anbieterüberblick und Analyse der wichtigsten Player am Markt.

Voraussetzungen für ADFS

Microsoft Active Directory

Um die Active Directory Federation Services nutzen zu können, benötige ich zunächst ein Microsoft Active Directory, welches meine Benutzeranmeldedaten verwaltet. Anschließend wird ein weiterer Windows Server benötigt, welcher für die Einrichtung der Federation genutzt wird. Dieser Server steht in der Regel in meinem LAN. Mit diesem Setup bin ich in der Lage Usern in meinem lokalen Netzwerk den Zugriff auf lokale Anwendungen aber auch einen simplen Login an Drittanbieter-Software zu ermöglichen.

Reverse Proxy

Möchte ich nun einen Zugriff von Außen ermöglichen, benötige ich einen weiteren Server. Hierbei handelt es sich um einen Reverse Proxy. In der Regel würde ich hier das Produkt von Microsoft –den Web Application Proxy – verwenden. Dieser Reverse Proxy steht in der DMZ, also dem Perimeternetzwerk, und hat die Aufgabe, den Federation Server vor direkten Zugriffen aus dem Internet zu schützen.

Active Directory Federation Services in SAP

Fiori Gateway / SAP Cloud Platform

Im SAP Kontext werden die Microsoft ADFS in der Regel in Szenarien mit einem Fiori Gateway oder einer SAP Cloud Platform verwendet. Aber auch andere Cloud-Dienste wie SuccessFactors, SAP Analytics Cloud, SAP Ariba, SAP Concur oder S/4HANA können hier angebunden werden. Damit ist es nicht mehr notwendig, dass sich der SAP Nutzer viele verschiedene Passwörter der einzelnen Dienste merkt, sondern er meldet sich überall mit seinem Windows Login an.

Zwei-Faktor-Authentifizierung

In der größten Ausbaustufe wird das Single Sign On hier nicht über einen direkten Login via Passwort realisiert, sondern über die Integration von Zertifikaten auf dem Mobilgerät. In diesem Fall habe ich dann eine Art Zwei-Faktor-Authentifizierung. Der erste Faktor ist dabei mein Login am Telefon, also meine PIN, der zweite Faktor das Zertifikat.

Auch wenn dies die wahrscheinlich bequemste Variante der Authentifizierung an verschiedenen Systemen ist, birgt sie jedoch gerade in der Einrichtung und durch ihre Komplexität eine Vielzahl von Tücken und Stolperfallen. Daher ist in der Praxis häufig ein Login mittels Benutzername und Passwort zu sehen.

Vorteile des Single Sign Ons via ADFS

Dieses bringt viele Vorteile mit sich. Der wahrscheinlich offensichtlichste ist die Reduktion der Service-Anfragen für Passwortresets. Auf der anderen Seite führt dies aber auch dazu, dass die Passwort-Richtlinien in der Regel härter gestaltet werden können, da es nur noch ein Passwort gibt, welches sich der Nutzer merken muss.

Das könnte Sie auch interessieren:

SAP Fiori
Unser E-Book zum Thema Die besten Blogbeiträge zu SAP Fiori

Unsere Produkte zu Active Directory Federation Services

Mobile Infrastruktur und Security

Mobile Infrastruktur und Security

Der Wunsch, mobile Endgeräten im Berufsalltag einzusetzen, wird immer größer. Auf der einen Seite locken erhöhte Produktivität & Flexibilität in der Erledigung von Aufgaben, auf der anderen Seite bringt die Nutzung von Firmendaten außerhalb des gesicherten Firmennetzes auch Gefahren mit sich.

Mehr Informationen

Enterprise Mobility Strategie Einführung

In einer schnelllebigen Welt wie der heutigen, ist eine mobile Strategie unumgänglich: Alles ist mobil und so sind es auch Ihre Mitarbeiter. Deshalb wird es Zeit für Ihre Enterprise Mobility Einführung!

Mehr Informationen

Infrastrukturkonzept für den Einsatz mobiler Applikationen

Die Infrastruktur ist ein essentieller Teil der EDV jedes Unternehmens. Mit dem rasanten Umzug vom Desktop auf das mobile Endgerät ergaben sich völlig neue Szenarien, die neue Anforderungen an die Unternehmensinfrastrukturen stellen.

Mehr Informationen

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support