ADFS
ADFS, of Active Directory Federation Services, is een Microsoft oplossing die een aanvulling vormt op de Active Directory (AD). Die Active Directory is een directory die standaard de authenticatie en Single Sign-On (SSO) verzorgt voor aangesloten on-premises systemen. ADFS zorgt ervoor je de Active Directory ook kunt gebruiken om cloudapplicaties te authentiseren, inclusief Single Sign-On.
Wat is ADFS?
De Active Directory is een directory waarin je gebruikers, groepen, apparaten en policies beheert. Met die gegevens verzorgt het platform de authenticatie van gebruikers met behulp van protocollen als Kerberos of NTLM. Dat doet het platform voor on-premises systemen binnen het eigen netwerkdomein, en het regelt ook de toegang tot bijvoorbeeld fileshares en printers.
De meeste organisaties werken tegenwoordig echter hybride; ze gebruiken naast on-premises systemen ook cloud toepassingen. Meestal wil men dan ook de gebruikersauthenticatie voor die cloudapplicaties zelf inrichten en beheren. De betreffende cloudapplicatie moet dus de authenticatie delegeren richting een systeem van de organisatie. Dat noemen we federatie en het vereist een zogeheten trust-relatie tussen de cloudapplicatie en het authenticatieplatform van de organisatie.
Daar is de Active Directory standaard niet op ingericht en daarom is er een aparte federatieserver ontwikkeld. Dat is ADFS. Het is een on-premises platform dat federatie- en SSO-functionaliteit biedt bovenop de Active Directory. ADFS SSO gebruikt gegevens van de Active Directory en voert daarmee de authenticatie uit met behulp van moderne standaarden zoals SAML (Security Assertion Markup Language) en OIDC (OpenID Connect).
Hoe werkt ADFS?
Laten we aan de hand van een concreet voorbeeld tonen hoe ADFS-authenticatie werkt. Stel dat je in een bedrijf werkt waarin zowel on-premises als cloudtoepassingen worden gebruikt. Dan is dit een gangbaar scenario:
Je start aan het begin van de werkdag je computer en logt in met je Active Directory-gegevens. Veelal is dat een gebruikersnaam en wachtwoord. Intern in de systemen worden je gegevens geverifieerd en je wordt aangemeld op het bedrijfsnetwerk.
Je krijgt nu automatisch ook toegang tot interne bedrijfsapplicaties waarvoor jij geautoriseerd bent. Met de IWA applicatie (Integrated Windows Authentication) wordt daarvoor automatisch je identiteit gecontroleerd. Omdat je al bent ingelogd bij de Active Directory, hoef je je gegevens niet opnieuw in te voeren.
Als je wilt inloggen op een cloudapplicatie zoals Salesforce, herkent deze applicatie dat de organisatie ADFS gebruikt. Je toegangsverzoek wordt door gerouteerd naar de ADFS-server. Die herkent – via de eerder genoemde IWA applicatie – dat je al bent ingelogd en daarom is opnieuw inloggen niet nodig.
ADFS verstuurt daarom richting de cloudapplicatie een token met de identiteitsgegevens van de gebruiker. De cloudapplicatie valideert het token en geeft de gebruiker vervolgens automatisch toegang. Dankzij deze ADFS-authenticatie ervaart de gebruiker een naadloze Single Sign-On.
Waarom zou je als organisatie gebruik moeten maken van ADFS?
Als je als organisatie zowel on-premises als cloudapplicaties gebruikt, heb je ruwweg twee methodes om de authenticatie en SSO van beide type applicaties te harmoniseren:
Als je de authenticatie volledig on-premises wilt beheren, combineer je de Active Directory en ADFS. Beide systemen zijn onderling gekoppeld en staan binnen je eigen IT-domein. Je lokale systemen loggen in via de Active Directory en voor de authenticatie op cloudsystemen gebruik je ADFS.
Het alternatief is dat je naast de lokale Active Directory ook gebruik maakt van Entra ID (voorheen Azure AD), de cloudgebaseerde Identity Provider van Microsoft. Active Directory verzorgt de authenticatie van gebruikers op systemen binnen het eigen netwerk en de authenticatie op cloudapplicaties wordt uitgevoerd met Entra ID. De authenticatiegegevens worden daarvoor gesynchroniseerd tussen de Active Directory en Entra ID.
Wat zijn de voordelen van ADFS?
Veel organisaties kiezen vandaag de dag voor die combinatie van de Active Directory en Entra ID. Toch zijn er ook voordelen aan die traditionelere aanpak met een ADFS-koppeling. Vooral als organisaties nog veel on-premises systemen hebben en ook het IT-beheer volledig zelf verzorgen, heeft dit soms de voorkeur. Zeker als je ook ruimte wilt voor eigen maatwerk, kiezen organisatie soms voor ADFS. Informatiebeveiliging kan ook een overweging zijn. Bij de samenwerking tussen de Active Directory en Entra ID moeten de inloggegevens worden gesynchroniseerd en worden bijvoorbeeld wachtwoord hashes opgeslagen in de cloud.
Wat zijn de nadelen van ADFS?
Maar ADFS heeft ook nadelen. ADFS is een on-premises oplossing en dat zorgt voor meer complexiteit, kosten en beheerlast. Je moet zelf zorgen voor servers, certificaten, load balancers en je update management. Je bent ook minder wendbaar want nieuwe innovaties zoals Passwordless login moet je zelf implementeren; je kunt niet meesurfen met bijvoorbeeld Entra ID ontwikkelingen. Ook de beschikbaarheid kan een issue zijn. Bij een ADFS-storing kunnen gebruikers niet inloggen op hun cloud-applicaties. Vanwege deze nadelen kiezen partijen steeds vaker voor een hybride oplossing met Active Directory en Entra ID.
ADFS en HelloID
Wanneer krijgt een IAM-oplossing zoals HelloID te maken met ADFS? Ruwweg kan dat in twee scenario’s:
HelloID Access Management
De HelloID Access Management module biedt een eigen ingebouwde identity provider, en kan ook worden gekoppeld aan third party directories en identity providers. Zoals bijvoorbeeld de Active Directory, Entra ID, ADFS, Google Workspace of Salesforce. Bij hybride IT-omgevingen met meerdere applicaties en datashares gebruikt een organisatie ook al snel meerdere identity providers en dan kan HelloID de onderlinge samenwerking tussen die platformen stroomlijnen. Dat wordt in deze blog verder toegelicht.
Specifiek in hybride Microsoft-omgevingen heb je bijvoorbeeld naast de Active Directory voor de lokale systemen een federatieve koppeling nodig richting cloudapplicaties. ADFS biedt zo’n aanvulling maar zoals toegelicht is dit een complexe en inmiddels gedateerde oplossing. Entra ID is een voor de hand liggend alternatief, zeker als men Microsoft 365 en andere Microsoft cloud toepassingen gebruikt. Echter, maakt een organisatie juist gebruik van andere (niet-Microsoft) cloud toepassingen, dan is HelloID vaak een prima ADFS alternatief.
HelloID Provisioning, Service Automation en Governance
Tegelijk regelen veel organisaties dit access management – dus alles wat te maken heeft met authenticatie, federatie, SSO en MFA – zelfstandig buiten de IAM-omgeving. Vaak leunen ze daarbij grotendeels op Microsoft systemen, en afhankelijk van de specifieke omstandigheden en wensen maken ze gebruik van de Active Directory, Entra ID en soms nog ADFS.
Ze gebruiken dan meestal wel een IAM-omgeving zoals HelloID voor de overall provisioning en het beheer van alle benodigde accounts en rechten. De Microsoft systemen zijn dan de doelsystemen waarin HelloID de account- en andere instellingen aanmaakt en beheert. HelloID beschikt over veel standaard connectoren naar doelsystemen en ook voor de Active Directory en Entra ID biedt HelloID zo’n standaard connector, die eenvoudig kan worden geconfigureerd. Zo kun je ongeacht het specifieke federatie-mechanisme (via AD-Entra ID of met AD-ADFS), de provisioning en het verdere beheer van je digitale identiteiten eenvoudig automatiseren met HelloID.