Служба федерации Active Directory (AD FS) — это функция единого входа (SSO), разработанная Microsoft, которая обеспечивает безопасный доступ с проверкой подлинности к любому домену, устройству, веб-приложению или системе в Active Directory организации (AD), а также к утвержденным третьим лицам.

AD FS является федеративным, что означает, что он централизует идентификацию пользователя, что позволяет каждому человеку использовать существующие учетные данные AD для доступа к приложениям в корпоративной сети и через доверенные источники за пределами организации, такие как облачная сеть, приложение SaaS или экстрасеть другой компании. AD FS также позволяет пользователям получать доступ к приложениям, интегрированным в AD, при удаленной работе через облако.

Цель AD FS — упростить работу пользователей, а также позволить организации поддерживать строгие политики безопасности. С помощью AD FS пользователям нужно всего лишь создать и запомнить единые онлайн-учетные данные, чтобы получить доступ к множеству приложений, систем и ресурсов.

Как работает AD FS?

AD FS работает во многом аналогично общему SSO, поскольку он проверяет подлинность пользователя и права доступа пользователя.

Проверка идентификатора пользователя

Единый вход AD FS использует информацию, найденную в репозитории данных компании, для подтверждения личности пользователя с использованием двух или более частей информации, таких как полное имя пользователя, номер сотрудника, номер телефона, идентификатор сотрудника или адрес электронной почты.

Управление пользователями

AD FS использует модель аутентификации на основе утверждений. Это означает, что система создает безопасный токен, содержащий права доступа или утверждения, относящиеся к каждому пользователю. Когда пользователь пытается получить доступ к системе, AD FS проверит запрос на соответствие списку систем и приложений, которые пользователю разрешено использовать в AD или Azure AD. Эта проверка включает в себя внутренние активы организации, а также сторонние системы.

Федеративный траст

Аутентификация AD FS для сторонних систем выполняется через прокси-службу, используемую Active Directory и внешним приложением, которая объединяет удостоверение пользователя и правило утверждения. Эта возможность, известная как федеративное доверие или партийное доверие, позволяет пользователю напрямую обойти проверку подлинности своей личности в каждом приложении.

Процесс аутентификации AD FS

Процесс аутентификации AD FS состоит из пяти основных этапов:

1. Пользователь получает доступ к ссылке, связанной со службой AD FS, и вводит свои учетные данные.

2. Служба AD FS проверяет подлинность пользователя.

3. Инструмент AD FS создает для пользователя персонализированное утверждение аутентификации, в котором перечислены те ресурсы, которые пользователю разрешено использовать.

4. Служба AD FS пересылает это утверждение другим приложениям, если и когда пользователь пытается получить к ним доступ.

5. Целевое приложение разрешает или отклоняет действие на основании условий, изложенных в утверждении.

Почему организации используют AD FS?

Сотрудники регулярно получают доступ к сотням приложений для выполнения своей работы. Это усиливает потребность в инструменте аутентификации или управления идентификацией, который устраняет необходимость индивидуальной аутентификации входа в систему для каждого приложения и сохраняет безопасность. Службы единого входа, такие как AD FS, предоставляют множество преимуществ как конечному пользователю, так и организации.

Преимущества AD FS для конечных пользователей

Простота. С помощью AD FS конечный пользователь может использовать один набор учетных данных для ряда внутренних и внешних приложений и систем, избавляя пользователя от необходимости создавать и запоминать несколько учетных данных.

Улучшенный пользовательский опыт. Как только их личность будет проверена AD FS, пользователи смогут беспрепятственно перемещаться между внутренними и внешними приложениями. Этот инструмент управления идентификацией избавляет пользователя от необходимости вводить пароли или иным образом прерывать ход своей работы.

Повышение эффективности. AD FS обеспечивает беспрепятственный доступ к любому количеству веб-приложений, систем или устройств. Для конечного пользователя это означает, что он может плавно переходить от одной задачи к другой.

Преимущества AD FS для организаций

Сокращение ИТ-поддержки. Одним из наиболее частых запросов в службу поддержки является сброс забытых, утерянных или просроченных паролей. Благодаря AD FS ИТ-служба может сократить время, затрачиваемое на рутинные проблемы с паролями, и сосредоточиться на более важной работе. ИТ-специалисты также будут тратить меньше времени на настройку учетных данных для новых учетных записей.

Упрощенная деактивация. В случае ухода сотрудника AD FS обеспечивает простой и эффективный процесс деактивации всех связанных служб и активов. Вместо отмены учетных данных каждой учетной записи по отдельности, что отнимает много времени и подвержено ошибкам, ИТ-специалисты могут деактивировать пользователя и связанные с ним утверждения в AD FS.

Организационная эффективность. Когда сотрудники более эффективно выполняют свою работу, организация также становится более эффективной. AD FS устраняет противоречия в работе сотрудников, что приводит к повышению производительности.

Улучшенная безопасность. Использование AD FS естественным образом снижает необходимость для конечных пользователей повторно использовать старые пароли, использовать один и тот же пароль в приложениях или записывать свои пароли. Это снижает вероятность того, что цифровые злоумышленники смогут использовать взломанный пароль для доступа к множеству связанных учетных записей.

Ограничения и недостатки AD FS

AD FS имеет несколько важных ограничений и недостатков, которые организации должны учитывать в своей бизнес-стратегии.

Затраты на инфраструктуру. Хотя AD FS доступен на Windows Server в качестве бесплатной функции, для его работы требуется лицензия Windows Server и выделенный сервер.

Затраты на эксплуатацию и техническое обслуживание. Помимо инвестиций в инфраструктуру, такую ​​как лицензии и серверы, эксплуатация и обслуживание AD FS влечет за собой дополнительные затраты для организации. В частности, поддержание взаимного доверия между доменами AD и внешними приложениями требует глубоких технических знаний и поддержки со стороны ИТ-организации.

В среде Azure это может быть еще сложнее. AD FS также приводит к высоким затратам на обслуживание и эксплуатацию, связанным с обновлением инфраструктуры, управлением федерацией и инвестициями в безопасность, такими как затраты на сертификаты уровня защищенных сокетов (SSL).

Сложность. Хотя AD FS упрощает работу пользователя, его обычно очень сложно настроить, развернуть и использовать, особенно в облаке или Microsoft Azure. Добавление целевых приложений в сервис требует значительных технических навыков. По иронии судьбы, пользовательский интерфейс AD FS не интуитивно понятен и должен управляться специально обученным ИТ-специалистом.

Дополнительные ограничения AD FS

- AD FS не поддерживает общий доступ к файлам между пользователями или группами.

- AD FS не поддерживает серверы печати.

- AD FS не поддерживает большинство подключений к удаленному рабочему столу.

- AD FS не может получить доступ к ресурсам Active Directory.

Компоненты AD FS и элементы дизайна

Компоненты ADFS:

Active Directory (AD) и/или Azure AD: собственные службы каталогов Microsoft, которые позволяют сетевым администраторам назначать права учетной записи и управлять ими для всех сетевых ресурсов.

Сервер AD FS: выделенный сервер, который поддерживает и хранит токены безопасности и другие ресурсы аутентификации, такие как файлы cookie.

Azure AD Connect: модуль, который соединяет Active Directory с Azure AD, обычно используемый в гибридных развертываниях.

Сервер федерации: инструмент единого входа, который предоставляет службы аутентификации и доступа нескольким системам на разных предприятиях с помощью общего токена безопасности на основе AD хоста.

Прокси-сервер федерации: шлюз между AD и внешними целями, который координирует запросы доступа с сервером федерации.

Отличие AD FS от Cloud Identity

AD FS — далеко не единственный инструмент единого входа/федерации, доступный сегодня на рынке. Некоторые организации могут получить те же функции с меньшими затратами с помощью сторонней облачной службы идентификации или облачного инструмента управления идентификацией.

Облачные средства аутентификации, как правило, более рентабельны из-за более низких эксплуатационных расходов, связанных с облаком. Эти инструменты также обеспечивают бесшовную интеграцию с сотнями приложений.

Организациям следует сотрудничать со своим партнером по кибербезопасности, чтобы определить, какой инструмент аутентификации идеально подходит для их бизнеса.

AD FS и кибербезопасность

Учитывая переход на удаленную работу, а также растущую зависимость от облака, компании должны пересмотреть способы аутентификации пользователей и предоставления привилегий доступа. Хотя AD FS обеспечивает бесперебойный и эффективный доступ, он сопряжен с потенциально серьезными рисками безопасности.

Важно работать с вашим партнером по кибербезопасности, чтобы обеспечить постоянный мониторинг и исправление AD FS, а также устранение других рисков безопасности в рамках стратегии кибербезопасности.

Mainton предлагает следующие три передовых метода для повышения безопасности организаций, использующих AD FS:

1. Унифицируйте видимость AD как локально, так и в Microsoft Azure. Определите любые пробелы в безопасности в политиках аутентификации, ролях пользователей, привилегиях доступа и учетных записях людей и служб, а также любые отклонения в доступе как в локальной среде, так и в Microsoft Azure AD.

2. Укрепите безопасность AD с помощью условного доступа. Используйте набор инструментов кибербезопасности, который постоянно оценивает риски на основе поведения пользователей, привязанных к таким объектам, как конечные точки, серверы, приложения, местоположение, роли и группы пользователей. Инструмент также должен обеспечивать условный доступ в случае аномалии. Это предотвратит доступ с высоким риском и устранит препятствия для доверенного доступа.

3. Централизуйте расследование инцидентов и реагирование на них. Убедитесь, что решение по кибербезопасности формирует полный отчет о любой подозрительной или аномальной активности, включая временную метку, активность, источник и место назначения.

Важно отметить, что не только вредоносное ПО и вирусы влияют на работу сайта, а и многие другие факторы. Но, какова бы ни была причина, по которой страница сайта не открывается, например проблемы с базой данных или сервером, DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.

Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.