Mehr Komfort durch Single Sign-on!
Die steigende Menge unterschiedlicher Cloud-Applikationen und Web-Apps und der dadurch verbundene Passwort-Wildwuchs bewirken einen verstärkten Trend zur Single-Sign-On-Identitätsüberprüfung. Microsoft bietet mit Active Directory Federation Services eine Single-Sign-on-Lösung an, die es Unternehmen ermöglicht, für alle Zugriffspunkte sowie Anwendungen im Betrieb eine einmalige und zentrale Anmeldung zu bieten – sowohl von innerbetrieblich als auch von extern. Wie dies gelingt und welche Vor- oder Nachteile der Einsatz mit sich bringt, erfährst du in dem folgenden Blogartikel.
Firmen setzen heute eine wachsende Zahl verschiedener Systeme, Endgeräte, Geschäftsanwendungen, Web-Apps sowie Cloud-Lösungen ein, um die betrieblichen Geschäftsverfahren ausführen zu können. Infolgedessen müssen die Angestellten sich keineswegs nur eine Fülle komplexer Login-IDs und Passwörter merken, die den Anforderungen an die Passwortsicherheit reichen, sondern diese bei der Nutzung oder beim Wechseln zwischen den Applikationen, auch jedes Mal neu eingeben. Derartige Routine ist aber nicht nur zeitintensiv und benutzerunfreundlich, sondern auch anfällig für IT-Sicherheitsgefahren.
Somit ist es keineswegs überraschend, dass viele Beschäftigte mit dem Einprägen von Account-Informationen und Login-Daten überlastet sind, wie mehrere Gutachten bestätigen, zum Beispiel die Studie „Psychologie der Passwörter 2021“ von LastPass. Obendrein demonstriert die Auswertung von Yubico, dass 54 % aller Mitarbeiter*innen die identischen Passwörter für mehrere dienstliche Konten nutzen. 22 Prozent der Umfrageteilnehmer schreiben Passwörter nach wie vor auf, um den Durchblick zu behalten – darunter 41 Prozent der Firmeninhaber und 32 % der C-Level-Führungskräfte.
Den elegantesten sowie sichersten Weg aus diesem Dilemma liefern sogenannte Single Sign-on-Lösungen, wie die Active Directory Federation Services von Microsoft.
Was versteht man unter Active Directory Federation Services?
Bei Microsoft Active Directory Federation Services, knapp ADFS oder ebenfalls Active Directory-Verbunddienste bezeichnet, dreht es sich um eine Lösung von Microsoft für die organisationsübergreifende Anmeldung an unterschiedlichen Systemen von Drittanbietern, Web-Apps sowie Cloud-Anwendungen, etwa Microsoft 365, Office 365, SharePoint oder OneDrive per Single Sign-On.
Für eine Ausweisung sowie Identitätsüberprüfung der Anwender verwenden die Active Directory Federation Dienste von Microsoft die Benutzerverwaltung des Active Directories. Das ermöglicht der Single-Sign-Lösung, dass die Mitarbeiter*innen gegenüber außenstehenden Anwendungen anhand der Benutzernamen sowie Passwörter authentifiziert werden, welche im Verzeichnisdienst Active Directory gesichert sind. So kann die Varianz rund um die Verwaltung von Zugangskennungen reduziert und sämtliche für die tagtägliche Arbeit erforderlichen Zugangskennungen an zentraler Stelle verwaltet werden.
Ferner nutzen die Active Directory Federation Services das auf Ansprüchen basierendes Autorisierungsmodell und Anmelde-Token für die Zugangskontrolle. Dabei geschieht eine strikte Separation zwischen den Zielanwendungen und einer Verwaltung der Anmeldedaten. Dank der Benutzung der Tokens müssen die Active Directory Federation Services die Zugangskennungen keinesfalls mit den Drittsystemen teilen.
Parallel dienen die Microsoft Active Directory Federation Services ebenfalls als Verbindung, um unterschiedliche Frameworks zu integrieren wie die Security Assertion Markup Language, knapp SAML. Die ermöglicht den Zugang auf cloudbasierte sowie webbasierte Applikationen, welche nicht in der Lage sind, die integrierte Windows-Authentifizierung, kurz IWA, über Active Directory zu gebrauchen.
Mit Active Directory in Office365 anmelden!
Es gibt verschiedene Einsatzszenarien für MS Active Directory Federation Services. Eine der meist genutzten Szenarien ist die Verbindung von Web-Anwendungen und Cloud-Anwendungen wie Microsoft 365, Office 365, SharePoint oder OneDrive mit Active Directory Federation Services. Ein beispielhafter Single Sign-on mit Active Directory Federation Services kann dabei folgendermaßen aussehen:
Zu Arbeitsbeginn melden sich die Arbeitnehmerinnen mit dem Benutzernamen und Kennwort in der individuellen Windows Domäne an. Sobald du Zugriff auf etwa Office365 brauchen, musst du den Internetbrowser starten und die Titelseite für den Webservice aufrufen. Über die Active Directory Federation Services erhält der externe Anbieter die Identität der Angestellten und deiner Benutzerrolle oder andersartig erforderliche Daten per Tokens und Claims mitgeteilt. Darauffolgend meldet der externe Provider die Arbeitnehmerinnen für die Anwendung an, ohne dass diese eigenhändig den Benutzernamen oder das Passwort eintragen müssen. Die Mitarbeiter*innen können nun Office365 gemäß deren Berechtigungen nutzen.
Active Directory Federation Services: Die Vorteile und Nachteile!
Die Vorteile von Active Directory Federation Services befinden sich klar auf der Hand.
• Die Mitarbeiter*innen eines Unternehmens brauchen bloß noch eine einzige Zugangskennung, um sich für sämtliche benötigten Programme und Dienste im Geschäftsalltag einzuloggen.
• Microsofts Active Directory Federation Services sind mit allen externen Bereichen kombinierbar, die kein Windows-basiertes Identitätsmodell verwenden. In Kombination mit einem persönlichen Active Directory ergibt sich eine gigantische Vielfalt an Anwendungsmöglichkeiten.
• Durch das zentrale Organisieren in der Active Directory-Benutzerverwaltung reduziert sich die Unübersichtlichkeit rund um die Verwaltung von Benutzerkennungen sowie Passwörter.
• Durch die Benutzung der Anmelde-Token bekommen die externen Dienstleister von Cloud-Diensten und Web-Apps zu keiner Zeit Kenntnisstand über die tatsächlichen Benutzernamen oder Passwörter. Wird die Zusammenarbeit mit dem Anbieter beendet, genügt es, die generelle Berechtigung zu löschen. Passwörter oder Benutzernamen müssen keineswegs abgeändert oder gelöscht werden.
Doch auch bei der Anwendung von den Active Directory Federation Services ist keinesfalls absolut alles Gold, was glänzt. Zu den relevanten Minuspunkten zählen:
• Neben den direkten Kosten für die Inbetriebsetzung von Microsoft Active Directory Federation Services, müssen Unternehmen laufende Betriebskosten für die Administration und Wartung einberechnen. Je nachdem, wie es konfiguriert ist, können die Active Directory Verbunddienste mehr kosten als angenommen.
• Gesamtkomplexität: Die Inbetriebnahme, Konfiguration und Wartung der Active Directory Verbunddienste ist zeitaufwändig und umfassend. Insbesondere dann, wenn eine Benutzung zu den Active Directory Verbunddiensten dazugefügt wird.
Fazit: Mehr Zugriffssicherheit, geringere Kosten, mehr Compliance!
Kaum etwas demotiviert Mitarbeiterinnen so extrem wie das Einprägen einer wachsenden Masse verschachtelter Login-IDs plus Passwörter sowie deren permanente Eingabe, um Anwendungen sowie Dienste nutzen zu können. Durch Microsofts Active Directory Federation Services brauchen sich Arbeitnehmerinnen nur noch einen einzigen Satz von Anmeldedaten einprägen, um den Zugang für sämtliche Geschäftsanwendungen, Cloud-Lösungen sowie Web-Apps zu erhalten, die sie für ihren Geschäftsalltag benötigen. Da beim Single Sign-On die Zugangskennungen nur ein einziges Mal übertragen werden, steigert sich die IT-Sicherheit des Netzwerkzugangs. Liegt der Verdacht eines Identitätsdiebstahls vor, können alle Benutzerkonten von einer Stelle gesperrt oder überarbeitet werden. Zur selben Zeit ist das Single Sign-out mit Active Directory Federation Services ebenso unkompliziert wie das Single Sign-On. Durch die einmalige Abmeldung über den Single Sign-out werden automatisch sämtliche Sitzungen beendet und die jeweiligen Verbindungen getrennt.
Willst du auch mit Active Directory Federation Services von MS das Benutzererlebnis, die Effizienz und die IT-Sicherheit in deinem Betrieb steigern? Dann komm gerne direkt auf uns zu. Du erreichst unsere Spezialisten telefonisch unter: +49 221 7880 59-200 oder per Mail unter beratung@coretress.de