Monitoring der Active Directory Federation Services

Fallhöhe verringern

Bei ADFS handelt es sich um einen kritischen Dienst aus der Reihe der Active-Directory-Familie. Darauf basierende Vertrauensstellungen sind eine wichtige Lebensader in Richtung Office 365 oder weiterer angebundener Partnerunternehmen. Hat der Dienst ein Problem, sind auf einen Schlag sämtliche Zugriffe im Verbund betroffen. Glück für den Administrator, dass es vielfältige Möglichkeiten der Überwachung gibt, wie unser Beitrag zeigt.
Um sich als Admin einen besseren Überblick zu verschaffen, wie es um Komponenten und Dienste in der IT-Landschaft bestellt ist, müssen passende ... (mehr)

Aufgabe der Active Directory Verbunddienste (AD Federation Services, ADFS) ist es, mittels einer Verbundvertrauensstellung Zugriff auf eine andere Umgebung herzustellen. Häufiges Szenario ist Office 365, aber auch andere Zielumgebungen oder Anwendungen sind gängig: SharePoint, Salesforce oder Google, um nur ein paar zu nennen. Wichtig dabei ist, dass beide Seiten sich kennen. Dies wird beim Einrichten der Vertrauensstellung über Zertifikate sichergestellt. Im heimischen Active Directory sorgt dann der ADFS-Server dafür, dass für den Anwender, der auf den angebundenen Dienst zugreifen möchte, ein SAML-Token bereitgestellt wird, das zum Zugriff auf der Gegenseite dient. Meist kommt noch ein WAP-Server (Web Application Proxy, deutsch: Webanwendungsproxy) in der DMZ ins Spiel, der seinen ADFS-Server im benachbarten Active Directory kennt und Zugriffe aus dem Internet regelt.

Für den Endanwender bedeutet dies, dass er sich mit seiner gewohnten Benutzerkennung beim Zugriff auf den anderen Dienst nicht erneut durch Passworteingabe anmelden muss. Der so erworbene Single Sign-on ist für den Anwender transparent und bequem. Im Hintergrund sind aber eine Menge Elemente für einen reibungslosen Ablauf verantwortlich. Dies ruft vielschichtige Fehlerquellen hervor und verlangt vom Administrator eine ausgefeilte Überwachung auf verschiedenen Ebenen. Denn stellt der ADFS-Server aus irgendeinem Grund keine Token mehr aus, ist schlagartig kein Zugriff mehr möglich. Für Office 365

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023