Die steigende Zahl unterschiedlicher Cloud-Anwendungen sowie Web-Apps und der dadurch verbundene Passwort-Wildwuchs erzeugen einen verstärkten Trend zur Single-Sign-On-Authentifizierung. Microsoft bietet mit Active Directory Federation Services eine Single-Sign-on-Lösung an, welche es Firmen gestattet, für sämtliche Zugriffspunkte sowie Anwendungen im Betrieb eine einmalige und zentrale Anmeldung zu haben – sowohl von intern als auch von extern. Wie dies funktioniert und welche Vor- und Nachteile ihr Einsatz mit sich bringt, erfahren Sie in dem folgenden Blogartikel.

Unternehmen setzen heute eine steigende Anzahl verschiedener Systeme, Endgeräte, Geschäftsanwendungen, Web-Apps und Cloud-Lösungen ein, um die innerbetrieblichen Geschäftsprozesse abwickeln zu können. Deshalb müssen die Angestellten sich nicht bloß eine Flut komplexer Login-IDs sowie Passwörter merken, die den Anforderungen an die Passwortsicherheit reichen, sondern diese bei der Benutzung oder beim Wechseln zwischen den Anwendungen, auch jedes Mal neu eingeben. Diese Routine ist aber nicht nur zeitaufwändig und benutzerunfreundlich, sondern auch empfänglich für IT-Sicherheitsgefahren.

So ist es keineswegs überraschend, dass etliche Mitarbeiter mit dem Einprägen von Account-Informationen und Login-Daten überfordert sind, wie mehrere Gutachten bestätigen, darunter die Studie „Psychologie der Passwörter 2021“ von LastPass. Ferner demonstriert die Auswertung von Yubico, dass 54 % aller Mitarbeiter*innen die gleichen Passwörter für mehrere geschäftliche Konten verwenden. 22 Prozent der Befragten schreiben Passwörter immer noch auf, um den Durchblick zu bewahren – darunter 41 % der Firmeninhaber und 32 % der C-Level-Führungspersonen.

Den elegantesten sowie sichersten Weg aus dem Dilemma liefern sogenannte Single Sign-on-Lösungen, wie die Active Directory Federation Services von Microsoft.

Active Directory Federation Services: Eine Definition!

Bei Microsoft Active Directory Federation Services, kurz ADFS oder ebenfalls Active Directory-Verbunddienste genannt, handelt es sich um eine Option von Microsoft für die organisationsübergreifende Anmeldung an verschiedenen Systemen von Drittanbietern, Web-Apps und Cloud-Anwendungen, etwa Microsoft 365, Office 365, SharePoint oder OneDrive per Single Sign-On.

Für eine Ausweisung und Identitätsüberprüfung der Anwender benutzen die Active Directory Federation Dienste von Microsoft eine Benutzerverwaltung des Active Directories. Dies ermöglicht der Single-Sign-Lösung, dass die Arbeitnehmer*innen gegenüber externen Anwendungen mit Hilfe der Benutzernamen sowie Passwörter authentifiziert werden, welche im Verzeichnisdienst Active Directory gesichert sind. Auf diese Weise kann die Komplexität rund um die Verwaltung von Zugangskennungen gesenkt und alle möglichen für die tagtägliche Arbeit erforderlichen Zugangskennungen an einer Stelle organisiert werden.

Ferner verwenden die Active Directory Federation Services das auf Erfordernissen basierendes Autorisierungsmodell und Anmelde-Token für die Zutrittskontrolle. Hierbei geschieht eine genaue Trennung zwischen den Zielanwendungen und einer Verwaltung der Anmeldedaten. Dank der Verwendung der Tokens müssen die Active Directory Federation Services die Zugangskennungen nicht mit den Drittsystemen teilen.

Parallel nutzen die Microsoft Active Directory Federation Services auch als Schnittstelle, um verschiedene Frameworks zu integrieren wie die Security Assertion Markup Language, kurz SAML. Die ermöglicht den Zugriff auf cloudbasierte und webbasierte Anwendungen, welche keineswegs in der Lage sind, die eingebaute Windows-Authentifizierung, knapp IWA, über Active Directory zu verwenden.

Mit Active Directory in Office365 anmelden!

Es gibt verschiedene Einsatzszenarien für Microsoft Active Directory Federation Services. Eine der meist genutzten Szenarien ist die Verbindung von Web-Anwendungen mit Cloud-Anwendungen wie Microsoft 365, Office 365, SharePoint oder OneDrive mit Active Directory Federation Services. Ein beispielhafter Single Sign-on mit Active Directory Federation Services kann im Zuge dessen folgendermaßen ausschauen:

Zu Arbeitsbeginn melden sich die Arbeitnehmer*innen mit einem Benutzernamen plus Kennwort in der individuellen Windows Domäne an. Wenn sie Zugang auf etwa Office365 benötigen, müssen sie den Webbrowser öffnen und die Startseite für den Webservice aufrufen.

Über die Active Directory Federation Services bekommt der externe Anbieter die Identität der Angestellten sowie deren Benutzerrolle oder andersartig erforderliche Informationen per Tokens und Claims mitgeteilt. Darauffolgend meldet der externe Provider die Arbeitnehmer*innen für die Benutzung an, ohne dass diese eigenhändig den Benutzernamen oder das Passwort eingeben müssen. Die Mitarbeiter*innen können dann Office365 gemäß deren Berechtigungen nutzen.

Active Directory Federation Services: Welche Vorteile und Nachteile gibt es?

Die Vorteile von Active Directory Federation Services liegen klar auf der Hand.

  • Die Mitarbeiter*innen eines Betriebs benötigen nur noch eine alleinige Zugangskennung, um sich für sämtliche benötigten Programme und Dienste im Geschäftsalltag einzuloggen.
  • Microsofts Active Directory Federation Services sind mit allen externen Umgebungen kompatibel, die kein Windows-basiertes Identitätsmodell benutzen. In Verbindung mit dem eigenen Active Directory ergibt sich eine riesige Vielzahl an Anwendungsmöglichkeiten.
  • Durch das zentrale Management in der Active Directory-Benutzerverwaltung reduziert sich die Unübersichtlichkeit rund um die Administration von Benutzerkennungen sowie Passwörter.
  • Durch die Verwendung der Anmelde-Token erhalten die externen Dienstleister von Cloud-Diensten sowie Web-Apps zu keiner Zeit Kenntnis über die tatsächlichen Benutzernamen und Passwörter. Wird die Zusammenarbeit mit dem Dienstleister beendet, genügt es, die allgemeine Berechtigung zu entziehen. Passwörter oder Benutzernamen müssen nicht geändert oder gelöscht werden.

Allerdings auch bei der Anwendung von den Active Directory Federation Services ist nicht alles Gold, was glänzt.

Zu den nennenswerten Minuspunkten gehören:

  • Neben den konkreten Kosten für die Inbetriebsetzung von Microsoft Active Directory Federation Services, müssen Betriebe monatliche Betriebskosten für die Administration sowie Wartung berücksichtigen. Je nachdem, wie das konfiguriert ist, können die Active Directory Verbunddienste weitaus mehr kosten als angenommen.
  • Gesamtkomplexität: Die Inbetriebsetzung, Konfiguration und Wartung der Active Directory Verbunddienste ist zeitaufwändig und umfassend. Besonders dann, wenn eine Benutzung zu den Active Directory Verbunddiensten dazugefügt wird.

Fazit: Mehr IT-Sicherheit dank Active Directory Federation Services!

Fast nichts demotiviert Mitarbeiter*innen so extrem wie das Einprägen einer steigenden Anzahl verschachtelter Login-IDs plus Passwörter ebenso wie ihre permanente Eingabe, um Anwendungen und Dienste benutzen zu können. Dank Microsofts Active Directory Federation Services brauchen sich Mitarbeiter*innen nur noch einen Satz von Anmeldedaten einprägen, um den Zugriff für sämtliche Geschäftsanwendungen, Cloud-Lösungen und Web-Apps zu bekommen, welche sie für den Geschäftsalltag brauchen. Weil beim Single Sign-On die Zugangskennungen bloß ein einziges Mal übertragen werden, erhöht sich die IT-Sicherheit des Netzwerkzugangs. Liegt ein Verdacht eines Identitätsdiebstahls vor, können alle Benutzerkonten von zentraler Stelle gesperrt oder bearbeitet werden. Zur selben Zeit ist das Single Sign-out mit Active Directory Federation Services genauso einfach wie das Single Sign-On. Über die einmalige Abmeldung über den Single Sign-out werden automatisch sämtliche Sitzungen beendet und die entsprechenden Verbindungen getrennt.

Möchten auch Sie mit Active Directory Federation Services von Microsoft das Benutzererlebnis, die Produktivität sowie die IT-Sicherheit in Ihrem Unternehmen verbessern? Oder haben Sie noch Anliegen zum Thema? Kontaktieren Sie uns.