ADFS vs. Azure AD: hoe Microsoft het authenticatiespel
gewijzigd heeft door ADFS? Verbaasd door wachtwoord hash sync? Perplexed by pass through authenticatie? Laten we eens kijken hoe Azure AD verificatie op locatie achterlaat.
toen Microsoft Office 365 in juni 2011 lanceerde, was een van de eerste vereisten om een vorm van single sign-on te bieden voor zakelijke gebruikers die toegang hadden tot het platform vanuit een AD-domein.,
dit betrof het koppelen van Azure AD aan de federation-service die via ADFS wordt geleverd en de on-premises-advertentie.
sindsdien heeft cloud-adoptie een enorme invloed gehad op de manier waarop moderne organisaties gebruikers authenticeren. Elke afhankelijkheid van on-premises functionaliteit is een belemmering geworden, in plaats van een hulp.
als zodanig zijn meer en meer organisaties op zoek naar manieren om zichzelf te bevrijden van de attributen van legacy tech en te profiteren van de Cloud zonder onnodige verstoring te veroorzaken.,
maar dat wil niet zeggen dat bestaande methoden hun gebruik niet hebben, het ultieme voordeel van de Cloud is het hebben van de flexibiliteit om de methoden die het beste voldoen aan uw behoeften te selecteren, dus laten we eens kijken hoe cloud authenticatie oplossingen zijn geëvolueerd door de jaren heen, en de voordelen die ze brengen.
van ADFS naar Azure AD Connect-en cloudverificatie
de eerste optie voor cloudverificatie (hoewel niet onze voorkeur) was het gebruik van de “password hash sync” – functie van Azure AD Connect, waardoor gebruikers zich rechtstreeks in de Cloud konden aanmelden., Echter, als dit gebeurde de gebruikers zouden niet in staat zijn om single sign-on hebben.
omdat de gebruikerservaring belangrijk is om ervoor te zorgen dat de services worden overgenomen, was het aanbieden van eenmalige aanmelding, gebaseerd op de wachtwoordhash-benadering, een groot probleem. Daarom hebben veel organisaties over de hele wereld ADFS ingezet om ervoor te zorgen dat gebruikers zo gemakkelijk mogelijk toegang hebben tot Office 365-services.
twee jaar geleden begonnen dingen te veranderen toen Microsoft begon met het maken van verschillende methoden van single sign-on beschikbaar naast nieuwere methoden van authenticatie.,
Pass-through Authentication en naadloze single sign-on
een van deze methoden was Pass-through Authentication (PTA). PTA integreert een weblog bij Office 365 met een verificatieverzoek dat naar de AD-domeincontrollers wordt verzonden.
Dit betekent dat de gebruiker het aanmeldformulier in Azure voltooit, maar de ID en het wachtwoord worden nog steeds gevalideerd door AD na het passeren van de Azure AD Connect server. Toen Microsoft dit ontwikkelde, kwamen ze ook met een nieuwe verbeterde methode voor het verstrekken van single sign-on.,
Met deze nieuwe” seamless single sign-on ” kon Azure een Kerberos-ticket accepteren voor de authenticatie. Dit Kerberos token is gekoppeld aan de originele advertentie waar de gebruiker geauthenticeerd en kan worden doorgegeven aan Azure voor validatie. Dit betekende dat een gebruiker die zich aanmeldt in on-premises en vervolgens probeert toegang te krijgen tot Office 365 kan worden geverifieerd met de Kerberos token, eenvoudig en veilig.
PTA vereist echter nog steeds een on-premises component., Dit wordt aanvankelijk geïnstalleerd als agent op de Azure AD Connect – server, maar kan ook worden geïnstalleerd op extra servers om meer beschikbaarheid te bieden-Microsoft adviseert ten minste drie verificatieagenten op drie servers voor PTA.
Het is deze On-Premise eis die problematisch kan zijn. Mocht de internet pipe falen, dan is er geen toegang tot Office 365 totdat de authenticatie is overgeschakeld naar de cloud, of de internetverbinding met de authenticatieagenten is hersteld.,
Video: waarom migreren naar Azure-authenticatie?
wees geen slaaf van authenticatieprocessen op locatie. Bekijk deze korte video nu om:
- ontdek de verschillen in federatieve vs. beheerde authenticatiearchitectuur
- begrijp beste praktijken voor het migreren van uw authenticatie
Bekijk nu
Beste van beide – een hybride oplossing
om deze situatie te voorkomen, is er nu een andere optie., Het gebruik van password hash sync (PHS) betekent dat een gebruiker altijd direct kan authenticeren tegen de Azure advertentie.
Dit is de beste methode om consistente toegang tot de Office 365-omgeving te bieden, maar lijkt de single sign-on-faciliteit die de gebruikers nodig hebben te verwijderen.
in dit geval kan de PHS echter worden aangevuld met de naadloze single sign-on-faciliteit. Azure AD kan dezelfde op advertenties gebaseerde Kerberos token accepteren en vereist niet dat de gebruiker zijn ID en wachtwoord invoert.,
On-premises gebruikers krijgen toegang via naadloze eenmalige aanmelding, terwijl gebruikers die elders zijn de juiste ID-en wachtwoordcombinatie nodig hebben om toegang te krijgen tot de diensten.
in dit scenario is er geen vertrouwen op een on-premises omgeving, in het geval van een internetfout, zullen externe gebruikers nog steeds in staat zijn om te authenticeren. Als de interne advertentie mislukt, kunnen de gebruikers nog steeds hun ID en wachtwoord gebruiken om toegang te krijgen, ook al is het Kerberos-token niet beschikbaar.
Wat is het verschil?,
Op dit punt kan het de moeite waard zijn om te kijken naar de relatieve voor-en nadelen van de drie authenticatiemethoden.
deze functies lijken aan te geven dat ADFS nog steeds een goede keuze is wanneer authenticatie alleen on-premises moet zijn (en niet op een cloudgebaseerde webpagina moet worden ingevoerd), of wanneer wordt bepaald of het apparaat van een gebruiker intern of extern is.
in alle andere gevallen verdient het gebruik van PTA of PHS de voorkeur., Aangezien PHS een betere beschikbaarheid biedt en niet afhankelijk is van on-premise elementen, is het over het algemeen de aanbevolen methode voor authenticatie.
Find what works for you
meer recent (februari 2019) hebben de NCSC hun advies over het beveiligen van Office 365 gewijzigd om “cloud-native authentication”te gebruiken. Dit betekent het implementeren van PHS en naadloze single sign-on. Het volledige document vindt u hier.
voor veel organisaties betekent dit de overstap van een ADFS-implementatie naar het gebruik van PHS en naadloze single sign-on.,
de verandering in zowel synchronisatie als authenticatie moet met de nodige zorgvuldigheid worden benaderd om ervoor te zorgen dat downtime tot een minimum wordt beperkt.
Dit verwijdert natuurlijk alleen de Office 365 authenticatie vereisten uit de ADFS omgeving en verwijdert geen andere reliant partijen, hoewel de meeste van deze moeten kunnen worden verplaatst naar Azure AD indien van toepassing.
het verplaatsen van ADFS naar wachtwoordhashsynchronisatie met naadloze single sign-on kan een beetje beangstigend lijken, maar ThirdSpace kan het migratieproces helpen versnellen.,
deskundig advies krijgen over de beste methode van authenticatie voor uw specifieke organisatie is belangrijk, aangezien ADFS nog steeds zijn toepassingen heeft en in sommige omstandigheden de beste optie kan blijken te zijn.
Bekijk onze korte video om meer details te krijgen over waarom velen de sprong maken naar cloud-gebaseerde authenticatie.
ontdek ook al het laatste nieuws en functies die naar Azure AD, Windows 10 en Office 365 komen met onze driemaandelijkse Microsoft Technology Update webinar series.