ADFS vs. Azure AD: Wie Microsoft hat das Authentifizierungsspiel geändert

Januar 26, 2021 admin 0 Comments

Addled von ADFS? Verwirrt durch Passwort Hash Sync? Verwirrt durch pass-through-Authentifizierung? Lassen Sie uns untersuchen, wie Azure AD die lokale Authentifizierung hinterlässt.

Als Microsoft Office 365 im Juni 2011 auf den Markt brachte, bestand eine der frühen Anforderungen darin, Unternehmensbenutzern, die über eine Anzeigendomäne auf die Plattform zugreifen, eine Form von Single Sign-On bereitzustellen.,

Hierbei wurde Azure AD mit dem über ADFS bereitgestellten Verbunddienst und der lokalen ANZEIGE verknüpft.

Seitdem hat die Cloud-Einführung einen großen Einfluss auf die Art und Weise gehabt, wie moderne Organisationen Benutzer authentifizieren. Jede Abhängigkeit von lokalen Funktionen ist eher ein Hindernis als eine Hilfe geworden.

Daher suchen immer mehr Unternehmen nach Möglichkeiten, sich von den Vorzügen der alten Technologie zu befreien und die Cloud zu nutzen, ohne unnötige Störungen zu verursachen.,

Aber das ist nicht zu sagen, bestehende Methoden haben nicht ihre Verwendung, der ultimative Vorteil der Cloud ist die Flexibilität, die Methoden zu wählen, die am besten Ihren Bedürfnissen entsprechen, so lassen Sie uns untersuchen, wie Cloud-Authentifizierungslösungen im Laufe der Jahre entwickelt haben, und die Vorteile, die sie bringen.

Von ADFS zu Azure AD Connect-und Cloud-Authentifizierung

Die erste Cloud-Authentifizierungsoption (obwohl nicht unser bevorzugter Ansatz) verwendete die Funktion „Password Hash sync“ von Azure AD Connect, mit der Benutzer sich direkt in der Cloud authentifizieren können., In diesem Fall können sich die Benutzer jedoch nicht einzeln anmelden.

Da die Benutzererfahrung wichtig ist, um sicherzustellen, dass die Dienste übernommen werden, war die Bereitstellung von Single Sign-On, basierend auf dem Passwort-Hash-Ansatz, ein großes Problem. Daher haben viele Organisationen auf der ganzen Welt ADFS bereitgestellt, um sicherzustellen, dass Benutzer so einfach wie möglich auf Office 365-Dienste zugreifen können.

Vor zwei Jahren begannen sich die Dinge zu ändern, als Microsoft begann, verschiedene Single Sign-On-Methoden zu erstellen, die neben neueren Authentifizierungsmethoden verfügbar sind.,

Pass-Through-Authentifizierung und nahtlose Single Sign-On

Eine dieser Methoden war die Pass-Through-Authentifizierung (PTA). PTA integriert eine Webanmeldung an Office 365 mit einer Authentifizierungsanforderung, die an die AD-Domänencontroller gesendet wird.

Dies bedeutet, dass der Benutzer das Anmeldeformular in Azure ausfüllt, die ID und das Kennwort jedoch weiterhin von AD validiert werden, nachdem er den Azure AD Connect-Server passiert hat. Als Microsoft dies entwickelte, entwickelten sie auch eine neue verbesserte Methode zur Bereitstellung von Single Sign-On.,

Mit diesem neuen“ seamless Single Sign-On “ konnte Azure ein Kerberos-Ticket für die Authentifizierung akzeptieren. Dieses Kerberos-Token ist mit der ursprünglichen Anzeige verknüpft, in der sich der Benutzer authentifiziert hat, und kann zur Validierung an Azure übergeben werden. Dies bedeutete, dass ein Benutzer, der sich lokal anmeldet und dann versucht, auf Office 365 zuzugreifen, einfach und sicher mit dem Kerberos-Token authentifiziert werden kann.

PTA benötigt jedoch weiterhin eine lokale Komponente., Dies wird zunächst als Agent auf dem Azure AD Connect-Server installiert, kann aber auch auf zusätzlichen Servern installiert werden, um eine höhere Verfügbarkeit zu gewährleisten – Microsoft empfiehlt mindestens drei Authentifizierungsagenten auf drei Servern für PTA.

Es ist diese lokale Anforderung, die problematisch sein könnte. Sollte die Internet-Pipe fehlschlagen, besteht kein Zugriff auf Office 365, bis entweder die Authentifizierung nur auf Cloud umgestellt oder die Internetverbindung zu den Authentifizierungsagenten wiederhergestellt ist.,

Video: Warum migrieren zu Azure-Authentifizierung?

Don“t be a slave, um lokale Authentifizierung. Sehen Sie sich dieses kurze Video jetzt an:

  • Entdecken Sie die Unterschiede in der föderierten vs. verwalteten Authentifizierungsarchitektur
  • Verstehen Sie Best – Practice-Ansätze für die Migration Ihrer Authentifizierung

Jetzt ansehen

Best of both-Eine Hybridlösung

Um diese Situation zu vermeiden, gibt es jetzt eine weitere Option., Durch die Verwendung von Password Hash Sync (PHS) kann sich ein Benutzer jederzeit direkt bei Azure AD authentifizieren.

Dies ist die beste Methode, um konsistenten Zugriff auf die Office 365-Umgebung bereitzustellen, scheint jedoch die von den Benutzern benötigte Single Sign-On-Funktion zu entfernen.

In diesem Fall kann das PHS jedoch durch die nahtlose Single Sign-On-Funktion ergänzt werden. Azure AD kann dasselbe anzeigenbasierte Kerberos-Token akzeptieren und muss vom Benutzer keine ID und kein Kennwort eingeben.,

Lokale Benutzer erhalten Zugriff durch nahtlose Einzelanmeldung, während Benutzer, die sich an anderer Stelle befinden, die richtige ID-und Kennwortkombination benötigen, um auf die Dienste zuzugreifen.

In diesem Szenario besteht keine Abhängigkeit von einer lokalen Umgebung, im Falle eines Internetfehlers können sich externe Benutzer weiterhin authentifizieren. Wenn die interne Anzeige fehlschlägt, können die Benutzer weiterhin ihre ID und ihr Kennwort für den Zugriff verwenden, obwohl das Kerberos-Token nicht verfügbar ist.

Was ist der Unterschied?,

An dieser Stelle kann es sich lohnen, die relativen Vor-und Nachteile der drei Authentifizierungsmethoden zu betrachten.

Diese Funktionen scheinen darauf hinzudeuten, dass ADFS immer noch eine gute Wahl ist, wenn die Authentifizierung nur lokal erfolgen muss (und nicht in eine Cloud-basierte Webseite eingegeben wird) oder wenn festgestellt wird, ob das Gerät eines Benutzers intern oder extern ist.

Für alle anderen Fälle wäre die Verwendung von PTA oder PHS vorzuziehen., Da PHS eine bessere Verfügbarkeit bietet und nicht auf lokale Elemente angewiesen ist, ist es im Allgemeinen die empfohlene Methode zur Authentifizierung.

Finden Sie heraus, was für Sie funktioniert

In jüngerer Zeit (Februar 2019) haben die NCSC ihre Ratschläge zur Sicherung von Office 365 zur Verwendung der „Cloud-nativen Authentifizierung“geändert. Dies bedeutet die Implementierung von PHS und nahtlose Single Sign-On. Das vollständige Dokument finden Sie hier.

Für viele Organisationen bedeutet dies, von einer ADFS-Implementierung zur Verwendung von PHS und nahtloser Single Sign-On überzugehen.,

Die Änderung sowohl bei der Synchronisierung als auch bei der Authentifizierung sollte sorgfältig angegangen werden, um sicherzustellen, dass Ausfallzeiten minimiert werden.

Dies entfernt natürlich nur die Office 365-Authentifizierungsanforderungen aus der ADFS-Umgebung und entfernt keine anderen vertrauenswürdigen Parteien, obwohl die meisten davon gegebenenfalls in Azure AD verschoben werden sollten.

Der Wechsel von ADFS zur Passwort-Hash-Synchronisierung mit nahtloser Einzelanmeldung kann etwas beängstigend erscheinen, aber ThirdSpace kann den Migrationsprozess beschleunigen.,

Es ist wichtig, fachkundige Beratung über die beste Authentifizierungsmethode für Ihre spezifische Organisation zu erhalten, da ADFS immer noch seine Verwendung hat und sich unter bestimmten Umständen als die beste Option herausstellen kann.

Schauen Sie sich unbedingt unser kurzes Video an, um mehr darüber zu erfahren, warum viele den Sprung zur Cloud-basierten Authentifizierung wagen.

Entdecken Sie außerdem die neuesten Nachrichten und Funktionen von Azure AD, Windows 10 und Office 365 mit unserer vierteljährlichen Microsoft Technology Update-Webinarreihe.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.