BLOG

Identitätsföderation und SSO für Microsoft- und F5-Kunden

F5 Miniaturansicht
F5
Veröffentlicht am 11. Januar 2018

Aufgrund der Dynamik von Microsoft Ignite im September gibt es für diejenigen unter Ihnen, die Microsoft Active Directory Federation Services (AD FS) verwenden, Grund zur Freude. Ich spüre Unglauben, aber lesen Sie weiter, ich verspreche, dass Freude im Gange ist.   

Was ist das Besondere an AD FS? Wie Sie wahrscheinlich schon dem Titel entnehmen konnten, ist AD FS die Microsoft-Lösung zur Implementierung von Identitätsföderation und Single Sign-On (SSO) vom Unternehmensnetzwerk zu Intranet-, Extranet- und Cloud-Anwendungen. Dies bedeutet, dass Benutzer ihre Unternehmensanmeldeinformationen verwenden können, um auf Anwendungen außerhalb der Organisation zuzugreifen. AD FS ermöglicht Ihren Benutzern beispielsweise die Anmeldung aus der Microsoft-/Windows-Umgebung und nahtlosen Zugriff auf Office 365 und externe Anwendungen wie Salesforce oder Box.

Sie denken wahrscheinlich, dass Unternehmen dies schon seit Jahren tun und dass das nicht aufregend ist. Wo ist die Freude, die du versprochen hast? Wir kommen gleich dazu, bleiben Sie dran. Wer mit der Bereitstellung von AD FS vertraut ist, ist wahrscheinlich auch mit Microsoft Web Application Proxy (WAP) vertraut. WAP ist das Gateway-Produkt von Microsoft, um externen Zugriff auf interne (hinter der Firewall liegende) Anwendungen wie beispielsweise AD FS zu ermöglichen. WAP bietet spezielle Unterstützung für AD FS mithilfe von Active Directory Federation Services und Proxy Integration Protocol ( MS-ADFSPIP , das ist sicherlich das längste Akronym in diesem Blog). Dieses Protokoll ermöglicht die erforderliche gegenseitige zertifikatsbasierte Authentifizierung und den Austausch spezifischer Informationen zwischen dem AD FS-Server und dem WAP.

Externe Benutzer müssen über WAP auf AD FS zugreifen. WAP läuft auf Windows-Servern. Dieser Teil erhöht die Komplexität und die Kosten. Diese Systeme müssen in der Regel über einen Lastenausgleich verfügen und aus Sicherheitsgründen umfassend konfiguriert werden, da sie dem offenen Internet ausgesetzt sind und Sie aus Skalierbarkeitsgründen unter Umständen viele davon benötigen.

Und hier ist das Gute daran: F5 hat die F5 BIG-IP- Plattform so aktiviert, dass sie MS-ADFSPIP unterstützt. Es handelt sich dabei um das erste Nicht-Microsoft-Produkt, das diese Funktion bietet. Was bedeutet das? F5 BIG-IP mit dem Access Policy Manager (APM) kann die WAP-Server und die sie unterstützenden Load Balancer ersetzen. Sie können AD FS mit einer sicheren Lösung proxyen, die für die Nutzung im Internet konzipiert wurde. Mit F5 als AD FS-Proxy können Sie die Anzahl der Server in der DMZ reduzieren, die Bereitstellung vereinfachen, schneller skalieren und dennoch volle Unterstützung für MS-ADFSPIP erhalten.

Sie können sich hier die Microsoft Ignite-Sitzung ansehen, in der Samuel Devasahayan, Principal Group Program Manager – Identity Division von Microsoft, die spannenden Neuigkeiten bekannt gibt. Man kann die Freudentränen fast fallen hören.