Category Archives: ADFS

Microsoft AD FS – Active Directory Federation Services – Grundlagen – Office 365

 

Microsoft AD FS

Active Directory Federation Services

Grundlagen

Sicher haben Sie schon von AD FS gehört. Was aber stellt die Hauptfunktion dieses Microsoft Dienstes dar und wofür kann dieser (aus dem Blickwinkel Office 365) verwendet werden?

Sie haben sich bestimmt schon einmal bei einem Webdienst mit einem Konto eines externen Dienstleisters angemeldet. In einem solchen Fall nutzen Sie mehrere Dienste mit nur einem Anmeldekonto. Man spricht dabei von „Single Sign On“ (SSO).

Ein Beispiel: Sie möchten Dienste eines Anbieters für das Vergleichen von Versicherungsangeboten nutzen und können sich an diesem Webdienst z.B. mit Ihrem Facebook Konto anmelden. Wie funktioniert das?

Das Vergleichsportal der Versicherungen ist in diesem Konstrukt der Anbieter eines Dienstes, also der sogenannte „Service Provider“.

Im unserem Beispiel stellt Facebook Ihre garantierte Identität zur Verfügung. Somit stellt Facebook den „Identity Provider“ dar.

Wie ist nun der Ablauf der Anmeldung? Für den Anwender kann der Eindruck entstehen, dass das Vergleichsportal Ihre Nutzerdaten von Facebook kennen würde. Das wäre äußerst fatal. In der technischen Realität, besteht lediglich eine Art Vertrauen zwischen dem Vergleichsportal und Facebook. Einfach skizziert ist der Ablauf der folgende:

  • Der Benutzer ruft die Webseite des Vergleichsportals (Service Provider) auf
  • Das Vergleichsportal gibt dem Benutzer die Adresse des Dienstes der die Anmeldedaten kennt (Identity Provider) zurück
  • Der Benutzer wird umgeleitet zum Identity Provider
  • Dort meldet sich der Benutzer mit seinen Anmeldedaten an.
  • Der Benutzer erhält einen Ausweis (Token)
  • Mit diesem Token meldet sich der Benutzer wieder beim Service Provider, der diesem dann Zugang gewährt.
Office 365

Wie lässt sich diese Technologie nun gewinnbringend mit Office 365 nutzen?

Nehmen wir an, Sie planen Office 365 zu nutzen. Sei es nun als komplette Office Lösung oder auch nur partiell. In der Regel gibt es schon einen Verzeichnisdienst, über den sich ihre Benutzer anmelden und entsprechende Dienste und Ressourcen nutzen können. Der Einfachheit halber gehen wir davon aus, dass es sich um ein Active Directory handelt. Es ließen sich aber auch andere Verzeichnisdienste für diesen Zweck nutzen.

Gehen wir von folgendem Szenario aus:

  • Sie haben ein Active Directory als Verzeichnisdienst in Ihrem Unternehmen im Einsatz
  • Sie möchten Microsoft Office Programme wie z.B. Word oder Excel aus dem Office 365 Angebot nutzen
  • Sie möchten für alle Benutzer eine vereinheitlichte Anmeldung zur Verfügung stellen
  • Sie möchten auch Funktionen „on Premises“ (in Ihrem Haus) nutzen
  • Es soll ein SSO Single Sign On realisiert sein. Unabhängig davon, wo welcher Service genutzt wird

An dieser Stelle sei festgehalten, dass es sich bei Office 365 um den Service Provider und bei Ihrem lokalen Active Directory um den Identity Provider handelt. Auf Seiten des Identity Provider, also in Ihrem Netz, ist nun der Active Directory Federation Service erforderlich, der in den Ablauf der Anmeldung eingebunden wird. Wir bleiben bei einer vereinfachten Darstellung, in der Dinge wie Proxies, DMZ, Zertifikate, etc. zunächst nicht berücksichtigt werden.

Der Ablauf einer Authentifizierung läuft in diesem Konstrukt folgendermaßen ab:

  1. Client fordert Service an
  2. Rückmeldung des Service Providers – Umleitung zum Identity Provider
  3. Anfrage des Clients bei AD FS des Identity Providers
  4. AD FS prüft über die Domain die Validität des Clients
  5. Rückmeldung der Domain – Client valide Ja/Nein
  6. AD FS liefert im positiven Falle ein Token an den Client
  7. Client meldet sich nun mit diesem Token beim Service Provider an

Die Benutzer haben (bei optimaler Einrichtung) den Vorteil, dass sie sich, unabhängig vom Standort, beim Service Provider (in unserem Falle Office 365) anmelden können. Ob sie sich nun im Büro, zu Hause oder am Strand befinden spielt keine Rolle. Gleichermaßen spielt es keine Rolle, um welchen Client es sich handelt. Das kann ein Desktop PC, ein Tablet, ein Handy, etc. sein.