Monitoring der Active Directory Federation Services

Fallhöhe verringern

Bei ADFS handelt es sich um einen kritischen Dienst aus der Reihe der Active-Directory-Familie. Darauf basierende Vertrauensstellungen sind eine wichtige Lebensader in Richtung Office 365 oder weiterer angebundener Partnerunternehmen. Hat der Dienst ein Problem, sind auf einen Schlag sämtliche Zugriffe im Verbund betroffen. Glück für den Administrator, dass es vielfältige Möglichkeiten der Überwachung gibt, wie unser Beitrag zeigt.
Um sich als Admin einen besseren Überblick zu verschaffen, wie es um Komponenten und Dienste in der IT-Landschaft bestellt ist, müssen passende ... (mehr)

Aufgabe der Active Directory Verbunddienste (AD Federation Services, ADFS) ist es, mittels einer Verbundvertrauensstellung Zugriff auf eine andere Umgebung herzustellen. Häufiges Szenario ist Office 365, aber auch andere Zielumgebungen oder Anwendungen sind gängig: SharePoint, Salesforce oder Google, um nur ein paar zu nennen. Wichtig dabei ist, dass beide Seiten sich kennen. Dies wird beim Einrichten der Vertrauensstellung über Zertifikate sichergestellt. Im heimischen Active Directory sorgt dann der ADFS-Server dafür, dass für den Anwender, der auf den angebundenen Dienst zugreifen möchte, ein SAML-Token bereitgestellt wird, das zum Zugriff auf der Gegenseite dient. Meist kommt noch ein WAP-Server (Web Application Proxy, deutsch: Webanwendungsproxy) in der DMZ ins Spiel, der seinen ADFS-Server im benachbarten Active Directory kennt und Zugriffe aus dem Internet regelt.

Für den Endanwender bedeutet dies, dass er sich mit seiner gewohnten Benutzerkennung beim Zugriff auf den anderen Dienst nicht erneut durch Passworteingabe anmelden muss. Der so erworbene Single Sign-on ist für den Anwender transparent und bequem. Im Hintergrund sind aber eine Menge Elemente für einen reibungslosen Ablauf verantwortlich. Dies ruft vielschichtige Fehlerquellen hervor und verlangt vom Administrator eine ausgefeilte Überwachung auf verschiedenen Ebenen. Denn stellt der ADFS-Server aus irgendeinem Grund keine Token mehr aus, ist schlagartig kein Zugriff mehr möglich. Für Office 365 bedeutet dies beispielsweise, dass kein Benutzer mit Outlook mehr auf sein Postfach zugreifen kann. Auch fällt die Telefonie aus, wenn Sie Skype for Business aus dem Office-365-Portfolio einsetzen.

Zahlreiche Abhängigkeiten

ADFS basiert auf unterschiedlichen Abhängigkeiten. Da ist zum einen das Active Directory mit dem Dienstkonto, in dessen Kontext ADFS läuft. Zwar besitzt es keine weitreichenden Rechte, aber wenn

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019