BLOG

Federação de identidade e SSO para clientes Microsoft e F5

Miniatura F5
F5
Publicado em 11 de janeiro de 2018

Dando continuidade ao impulso obtido com o Microsoft Ignite em setembro, há motivos para alegria para aqueles que usam o Microsoft Active Directory Federation Services (AD FS). Estou sentindo descrença, mas continue lendo, prometo que há alegria a caminho.   

Qual é o problema com o AD FS? Como você provavelmente percebeu pelo título, o AD FS é a solução da Microsoft para implementar federação de identidades e logon único (SSO) da rede corporativa para aplicativos de intranet, extranet e nuvem. Isso significa que os usuários podem usar suas informações de login corporativo para acessar aplicativos fora da organização. Por exemplo, o AD FS permite que seus usuários façam login no ambiente Microsoft/Windows e tenham acesso direto ao Office 365 e a aplicativos externos como Salesforce ou Box.

Você provavelmente está pensando que as empresas já fazem isso há anos, o que não é nada empolgante. Onde está a alegria que você prometeu? Estamos chegando lá, aguente firme. Aqueles familiarizados com a implantação do AD FS provavelmente também estão familiarizados com o Microsoft Web Application Proxy (WAP). WAP é um produto de gateway da Microsoft que permite acesso externo a aplicativos internos (atrás do firewall), como o AD FS, por exemplo. O WAP tem suporte específico para o AD FS usando o Active Directory Federation Services e o Proxy Integration Protocol ( MS-ADFSPIP , no que certamente será a maior sigla que aparece neste blog). Este protocolo permite a autenticação mútua necessária baseada em certificado e a troca de informações específicas entre o servidor AD FS e o WAP.

Usuários externos devem passar pelo WAP para acessar o AD FS. O WAP é executado em servidores Windows. Esta é a parte que acrescenta complexidade e custo. Esses sistemas normalmente precisam ter balanceamento de carga e ser altamente configurados para segurança porque são expostos à internet aberta, e você pode precisar de muitos deles para escala.

Aqui está a parte boa: A F5 habilitou a plataforma F5 BIG-IP para suportar MS-ADFSPIP, e é o primeiro produto não Microsoft a fazer isso. O que isto significa? O F5 BIG-IP com o Access Policy Manager (APM) pode substituir os servidores WAP e os balanceadores de carga que os suportam. Você pode usar o proxy do AD FS com uma solução segura que foi projetada para ser exposta à Internet. Com o F5 como proxy do AD FS, você pode reduzir o número de servidores na DMZ, simplificar a implantação, dimensionar mais rapidamente e ainda ter suporte total para MS-ADFSPIP.

Você pode conferir a sessão do Microsoft Ignite, onde Samuel Devasahayan, gerente principal do programa de grupo da Microsoft - Divisão de Identidade, revela as novidades interessantes aqui . Quase dá para ouvir as lágrimas de alegria caindo.