Active Directory Federation Services: Authentifizierung in der Cloud
Die Microsoft Cloud dreht sich um Identitäten. Alle Abos werden Identitäten zugewiesen, alle Dienste benötigen eine entsprechende Anmeldung. Zur Authentifizierung von Domänenbenutzern in der Cloud können Sie Active Directory Federation Services (ADFS) einsetzen, mit denen die Anmeldeinformationen unter der Kontrolle Ihres Unternehmens bleiben. Lesen Sie, wie die Authentifizierung mit ADFS ausfallsicher aufgebaut werden kann.
Damit Unternehmen beim Sprung in die Cloud nicht alle Identitäten neu anlegen müssen, hat Microsoft das Werkzeug Azure Active Dircetory (AD) Connect entwickelt, welches On-Premise Active Directory mit dem Azure Active Directory synchronisiert. Wahlweise können Sie hier einen Passwort-Hash mit in die Cloud synchronisieren und die Anmeldung komplett über das Azure AD durchführen. Alternativ können Sie die Active Directory Federation Services nutzen, um die Authentifizierung gegen das eigene Active Directory durchzuführen und den Nutzern im Unternehmensnetzwerk Single Sign-on an den Cloud-Diensten zu ermöglichen.
Daher sind die Active Directory Federation Services aus der Authentifizierungsinfrastruktur von Unternehmen nicht mehr wegzudenken. Denn der aktuell größte Anwendungsfall für ADFS ist die Authentifizierung von Domänenbenutzern in der Cloud. Auf diese Weise lassen sich Cloud-Systeme wie Dynamics 365 oder Office 365, aber auch andere Dienste außerhalb von Microsoft, wie zum Beispiel Salesforce, anbinden.
Oftmals kann das ADFS aber nicht georedundant aufgebaut werden, da beispielsweise die Internetanbindung nicht vollständig redundant vorliegt. Das Problem: Fällt der Zugriff auf das ADFS aus, ist keine Authentifizierung mehr möglich. Die Nutzung der Cloud-Systeme, beispielsweise für E-Mail ist nicht mehr möglich. Für viele Unternehmen ein Schreckensszenario.
Fallbeispiel: Ein Metallverarbeitungsunternehmen setzt Microsoft Office 365 für die E-Mail-Kommunikation und SharePoint Online für die Collaboration ein. Angebote werden von den weltweit agierenden Vertriebskollegen direkt auf SharePoint erstellt und Kundendaten in Dynamics 365 abgelegt. Der lokale Netzbetreiber stellt lediglich eine einzelne Leitung zur Verfügung, der Ausbau einer zweiten, redundanten Leitung ist äußerst kostenintensiv. Das Unternehmen befürchtet, dass der Vertrieb zum Erliegen kommt, wenn die Internetverbindung ausfällt und so lukrative Aufträge verloren gehen.
Ausfallsicherheit mit ADFS – So geht´s:
Eine Möglichkeit dieses Szenario zu vermeiden, ist die kostengünstige Nutzung von Diensten aus Microsoft Azure. In einem ersten Schritt wird das lokale Rechenzentrum über eine VPN-Verbindung mit Azure gekoppelt, um die grundsätzliche Konnektivität zwischen lokalen Systemen und Cloud zu ermöglichen. Über Azure Virtual Machines wird eine parallele Authentifizierungsinfrastruktur bestehend aus Active Directory und Active Directory Federation Services implementiert. Auf diese Weise erhält man eine vollständig autarke ADFS-Infrastruktur in der Cloud.
Über Loadbalancing-Systeme aus Azure, wie zum Beispiel KEMP Virtual LoadMaster for Azure oder den Azure TrafficManager, werden sowohl der lokale als auch der Azure-Endpunkt überwacht und die Anfragen der Clients dynamisch verteilt. Der Vorteil: Fällt eine Seite aus, so werden die Anfragen an das verbleibende funktionierende System geleitet. Auf diese Weise ist die Authentifizierung sichergestellt und der Nutzung der Cloud-Systeme steht nichts im Wege.
War dieser Artikel hilfreich für Sie? Wir freuen uns über Ihr Feedback über die Kommentarfunktion und stehen bei Fragen gerne zur Verfügung.
Über den Autor
Niclas Pfeifer arbeitet als Consultant und Projektleiter im Team IT Infrastructure Solutions bei CONET.