Active Directory Federation Services
Mittlerweile haben Apps Einzug in unseren Alltag gehalten. Auch im Business-Kontext lässt sich diese Aussage heutzutage getrost treffen. Mit immer einfacher werdenden Applikationen steigt im Hintergrund jedoch die Komplexität der Infrastruktur. Gerade für den Einsatz von Single Sign On (SSO) wird ein Dienst von Microsoft mit dem Namen Microsoft Active Directory Federation Services immer wichtiger.
Inhaltsverzeichnis
SSO über Unternehmensgrenzen hinweg
Identity Federation
Microsoft Active Directory Federation Services – kurz ADFS – ist eine Komponente, die erstmals für Windows Server 2003 R2 veröffentlicht wurde. Ziel dieses Dienstes ist es, den Nutzen eines Single Sign Ons auch über Unternehmensgrenzen hinaus zu ermöglichen. Dafür wird eine so genannte Identity Federation hergestellt. Dabei handelt es sich um eine zusammengesetzte Identität, die sich dann über mehrere Systeme erstreckt.
Ziel dabei ist es, die Informationen an verschiedenen Stellen halten und sie über verschiedene Systeme hinweg nutzen zu können. Im Falle des ADFS besteht ein Großteil der Attribute dieser Identität in der Regel aus meinem Account im Active Directory, der als Unique Identifier fungiert. Somit ist es mir dann möglich, mich mit meinen Windows Credentials am jeweiligen Service anzumelden. Um diese Identity Federation herzustellen, wird eine so genannte Trust Verbindung zwischen zwei Diensten eingerichtet.
Voraussetzungen für ADFS
Microsoft Active Directory
Um die Active Directory Federation Services nutzen zu können, benötige ich zunächst ein Microsoft Active Directory, welches meine Benutzeranmeldedaten verwaltet. Anschließend wird ein weiterer Windows Server benötigt, welcher für die Einrichtung der Federation genutzt wird. Dieser Server steht in der Regel in meinem LAN. Mit diesem Setup bin ich in der Lage Usern in meinem lokalen Netzwerk den Zugriff auf lokale Anwendungen aber auch einen simplen Login an Drittanbieter-Software zu ermöglichen.
Reverse Proxy
Möchte ich nun einen Zugriff von Außen ermöglichen, benötige ich einen weiteren Server. Hierbei handelt es sich um einen Reverse Proxy. In der Regel würde ich hier das Produkt von Microsoft –den Web Application Proxy – verwenden. Dieser Reverse Proxy steht in der DMZ, also dem Perimeternetzwerk, und hat die Aufgabe, den Federation Server vor direkten Zugriffen aus dem Internet zu schützen.
Active Directory Federation Services in SAP
Fiori Gateway / SAP Cloud Platform
Im SAP Kontext werden die Microsoft ADFS in der Regel in Szenarien mit einem Fiori Gateway oder einer SAP Cloud Platform verwendet. Aber auch andere Cloud-Dienste wie SuccessFactors, SAP Analytics Cloud, SAP Ariba, SAP Concur oder S/4HANA können hier angebunden werden. Damit ist es nicht mehr notwendig, dass sich der SAP Nutzer viele verschiedene Passwörter der einzelnen Dienste merkt, sondern er meldet sich überall mit seinem Windows Login an.
Zwei-Faktor-Authentifizierung
In der größten Ausbaustufe wird das Single Sign On hier nicht über einen direkten Login via Passwort realisiert, sondern über die Integration von Zertifikaten auf dem Mobilgerät. In diesem Fall habe ich dann eine Art Zwei-Faktor-Authentifizierung. Der erste Faktor ist dabei mein Login am Telefon, also meine PIN, der zweite Faktor das Zertifikat.
Auch wenn dies die wahrscheinlich bequemste Variante der Authentifizierung an verschiedenen Systemen ist, birgt sie jedoch gerade in der Einrichtung und durch ihre Komplexität eine Vielzahl von Tücken und Stolperfallen. Daher ist in der Praxis häufig ein Login mittels Benutzername und Passwort zu sehen.
Vorteile des Single Sign Ons via ADFS
Dieses bringt viele Vorteile mit sich. Der wahrscheinlich offensichtlichste ist die Reduktion der Service-Anfragen für Passwortresets. Auf der anderen Seite führt dies aber auch dazu, dass die Passwort-Richtlinien in der Regel härter gestaltet werden können, da es nur noch ein Passwort gibt, welches sich der Nutzer merken muss.
