Sehr geehrte Leser*innen,

Unternehmen setzen heute eine wachsende Anzahl verschiedener Systeme, Endgeräte, Geschäftsanwendungen, Web-Apps sowie Cloud-Lösungen ein, um die betrieblichen Geschäftsprozesse ausführen zu können. Deshalb müssen die Beschäftigten sich nicht nur eine Flut komplexer Login-IDs und Passwörter einprägen, welche den Anforderungen an die Passwortsicherheit reichen, sondern ebendiese bei der Benutzung oder beim Wechseln zwischen den Anwendungen, auch jedes Mal neu eingeben. Derartige Routine ist jedoch nicht bloß zeitaufwändig plus benutzerunfreundlich, sondern auch anfällig für IT-Sicherheitsgefahren.

So ist es keineswegs verwunderlich, dass viele Beschäftigte mit dem Merken von Benutzerkonto-Informationen oder Login-Daten überfordert sind, wie mehrere Studien zeigen, darunter die Studie „Psychologie der Passwörter 2021“ von LastPass. Ferner demonstriert die Prüfung von Yubico, dass 54 % aller Mitarbeiter*innen die gleichen Passwörter für mehrere geschäftliche Konten verwenden. 22 Prozent der Umfrageteilnehmer schreiben Passwörter nach wie vor auf, um einen Durchblick zu behalten – darunter 41 Prozent der Firmeninhaber und 32 Prozent der C-Level-Führungspersonen.

Den elegantesten und sichersten Weg aus dem Schlamassel bieten sogenannte Single Sign-On-Lösungen, wie die Active Directory Federation Services von Microsoft.

Active Directory Federation Services: Eine Definition!

Bei Microsoft Active Directory Federation Services, knapp ADFS oder auch Active Directory-Verbunddienste bezeichnet, handelt es sich um eine Option von Microsoft für die organisationsübergreifende Registrierung an verschiedenen Systemen von Drittanbietern, Web-Apps und Cloud-Anwendungen, etwa Microsoft 365, Office 365, SharePoint oder auch OneDrive per Single Sign-On.

Für die Ausweisung und Identitätsüberprüfung der Anwender verwenden die Active Directory Federation Dienste von Microsoft eine Benutzerverwaltung des Active Directories. Dies ermöglicht der Single-Sign-Lösung, dass die Mitarbeiter*innen gegenüber außenstehenden Anwendungen anhand der Benutzernamen und Passwörter authentifiziert werden, welche im Verzeichnisdienst Active Directory gesichert sind. Auf diese Weise kann die Komplexität rund um die Verwaltung von Zugangskennungen reduziert sowie sämtliche für die tagtägliche Arbeit benötigten Zugangskennungen an einer Stelle organisiert werden.

Außerdem verwenden die Active Directory Federation Services das auf Erfordernissen basierendes Autorisierungsmodell und Anmelde-Token für die Zugangskontrolle. Hierbei erfolgt eine genaue Separation zwischen den Zielanwendungen sowie einer Verwaltung der Anmeldedaten. Dank der Verwendung der Tokens müssen die Active Directory Federation Services die Zugangskennungen keinesfalls mit den Drittsystemen teilen.

Parallel dienen die Microsoft Active Directory Federation Services ebenfalls als Schnittstelle, um unterschiedliche Frameworks zu integrieren wie die Security Assertion Markup Language, kurz SAML. Die ermöglicht den Zugang auf cloudbasierte sowie webbasierte Anwendungen, die nicht in der Lage sind, die integrierte Windows-Authentifizierung, kurz IWA, über Active Directory zu gebrauchen.

Einsatzmöglichkeiten von Active Directory Federation Services!

Es gibt verschiedene Einsatzszenarien für MS Active Directory Federation Services. Eine der meist genutzten Szenarien ist die Verknüpfung von Web-Anwendungen mit Cloud-Anwendungen wie Microsoft 365, Office 365, SharePoint oder OneDrive mit Active Directory Federation Services. Ein beispielhafter Single Sign-On mit Active Directory Federation Services kann dabei folgenderweise ausschauen:

Zu Arbeitsbeginn melden sich die Mitarbeiter*innen mit einem Benutzernamen und Kennwort in ihrer Windows Domäne an. Wenn sie Zugriff auf etwa Office365 benötigen, müssen sie den Webbrowser starten und die Titelseite für den Webservice besuchen.
Über die Active Directory Federation Services erhält der externe Dienstleister die Benutzerinformation der Angestellten und ihre Benutzerrolle oder andersartig benötigte Daten per Tokens plus Claims mitgeteilt. Anschließend meldet der externe Dienst die Arbeitnehmer*innen für die Benutzung an, ohne dass diese selbst den Benutzernamen und das Passwort eingeben müssen. Die Arbeitnehmer*innen können dann Office365 gemäß ihrer Berechtigungen nutzen.

Active Directory Federation Services: Die Chancen und Risiken!

Die Vorteile von Active Directory Federation Services liegen klar auf der Hand:

• Die Mitarbeiter*innen eines Unternehmens brauchen nur noch eine alleinige Zugangskennung, um sich für alle erforderlichen Programme und Dienste im Geschäftsalltag einzuloggen.
• Microsofts Active Directory Federation Services sind mit allen externen Umgebungen kompatibel, die kein Windows-basiertes Identitätsmodell benutzen. In Verbindung mit einem persönlichen Active Directory entsteht eine riesige Vielzahl an Anwendungsmöglichkeiten.
• Durch das zentrale Organisieren in der Active Directory-Benutzerverwaltung komprimiert sich die Komplexität rund um die Verwaltung von Benutzerkennungen und Passwörter.
• Durch die Benutzung der Anmelde-Token erhalten die externen Dienstleister von Cloud-Diensten und Web-Apps zu keiner Zeit Kenntnis über die wirklichen Benutzernamen und Passwörter. Wird die Zusammenarbeit mit dem Dienstleister beendet, genügt es, die allgemeine Berechtigung zu entziehen. Passwörter oder Benutzernamen müssen keineswegs abgeändert oder gelöscht werden.

Doch auch bei der Nutzung von den Active Directory Federation Services ist nicht alles Gold, was glänzt. Zu den relevanten Nachteilen gehören:

• Außer den direkten Gebühren für die Inbetriebnahme von Microsoft Active Directory Federation Services, müssen Unternehmen monatliche Betriebskosten für die Verwaltung sowie Wartung einberechnen. Je nachdem, wie es konfiguriert ist, können die Active Directory Verbunddienste weitaus mehr kosten als angenommen.

• Gesamtkomplexität: Die Inbetriebsetzung, Konfiguration und Wartung der Active Directory Verbunddienste ist zeitintensiv und komplex. Insbesondere dann, wenn eine Benutzung zu den Active Directory Verbunddiensten dazugefügt wird.

Fazit: Mehr IT-Sicherheit dank Active Directory Federation Services!

Fast nichts demotiviert Arbeitnehmer*innen so extrem wie das Merken einer wachsenden Masse komplexer Login-IDs plus Passwörter ebenso wie ihre ständige Eingabe, um Anwendungen sowie Dienste nutzen zu können. Dank Microsofts Active Directory Federation Services brauchen sich Arbeitnehmer*innen nur noch einen einzigen Satz von Anmeldedaten merken, um den Zugriff für sämtliche Geschäftsanwendungen, Cloud-Lösungen und Web-Apps zu bekommen, welche sie für ihren Geschäftsalltag brauchen. Da beim Single Sign-On die Zugangskennungen bloß ein einziges Mal übertragen werden, erhöht sich die IT-Sicherheit des Netzwerkzugangs. Liegt ein Verdacht eines Identitätsdiebstahls vor, könnten jegliche Benutzerkonten von zentraler Stelle gesperrt oder bearbeitet werden. Zur selben Zeit ist das Single Sign-Out mit Active Directory Federation Services ebenso unkompliziert wie das Single Sign-On. Über die einmalige Abmeldung über den Single Sign-Out werden selbstständig alle Sitzungen geschlossen und die entsprechenden Verbindungen getrennt.

Wollen auch Sie mit Active Directory Federation Services von MS das Benutzererlebnis, die Produktivität und die IT-Sicherheit in Ihrem Betrieb steigern? Oder haben Sie noch Anliegen zum Thema? Kontaktieren Sie uns.