Active Directory Federation Services: Die Szenarien

Mit den Active Directory Federation Services (ADFS) hat Microsoft beim Windows Server 2003 R2 eine gleichermaßen wichtige wie komplexe Erweiterung realisiert. Die einzelnen Komponenten der ADFS wurden im Sonderheft 13/2005 besprochen. Im Folgenden geht es nun um die verschiedenen, allesamt recht komplexen Szenarien, in denen die ADFS genutzt werden können.

Nachdem nun das Final Release des Windows Server 2003 R2 verfügbar ist, steht die Fortführung des Themas ADFS an. Die Komponenten und die wichtigsten vorbereitenden Schritte für eine Federation-Umgebung wurden in der Ausgabe 13/2005 bereits erläutert.

Die Komplexität des Gesamtthemas Federation legt eine separate Betrachtung der verschiedenen Szenarien nahe, die auf Basis der ADFS realisiert werden können. Wir werden inloser Folge in den folgenden Ausgaben das Thema fortführen. Da in jedem Szenario mehrere Server und Clients erforderlich sind, ist der Aufbau von Federation-Infrastrukturen relativ komplex.

So werden beispielsweise für ein Minimalszenario zwei Verzeichnisdienste, zwei Federation- Server, ein Anwendungsserver und ein Client benötigt. Damit können die Authentifizierung des Benutzers an einem Verzeichnisdienst, die Erstellung und Weiterleitung eines Tokens und die Authentifizierung am Anwendungsserver nachvollzogen werden. In komplexeren Umgebungen sind teilweise deutlich mehr Server erforderlich.

Identity Provider und Service Provider

Für die Federation spielen der Identity Provider und der Service Provider eine wichtige Rolle. Der Identity Provider übernimmt die Authentifizierung, beim Service Provider erfolgt die Autorisierung. Auf dieser Basis lassen sich drei unterschiedliche Lösungsansätze definieren:

  • Im einfachsten und heute in der Praxis häufigsten Fall gibt es genau einen Identity Provider und einen Service Provider.

  • Die Verwendung eines Identity Provider-Hubs ergibt ein System, das die Authentifizierung für viele Service Provider übernimmt. Das wäre beispielsweise für ein Telekommunikationsunternehmen und seine Partner interessant.

  • Auf der anderen Seite gibt es den Service Provider- Hub, bei dem ein Anbieter Services für viele Identity Provider anbietet. Dieses Szenario ist entlang der Supply Chain typisch, wenn viele Lieferanten auf ein zentrales System eines Suppliers zugreifen.

Die Szenarien

In den folgenden Ausgaben von Expert’s inside Windows NT/2000werden folgende Szenarien betrachtet:

  • WebSSO. Dieses Szenario richtet sich vor allem an den B2C-Einsatzbereich, also die einheitliche Authentifizierung beim Zugriff auf verschiedene Websites. Es handelt sich im engeren Sinne noch nicht um ein Federation-Szenario, wird aber von den gleichen Komponenten des Windows Server 2003 R2 unterstützt.

  • Federated Web SSO in einem Service Provider Hub-Szenario. In diesem Szenario wird von einem Dienstanbieter und mehreren Nutzern ausgegangen, die jeweils selbst als Identity Provider fungieren.

  • Federated Web SSO in einem Identity Provider Hub-Szenario. Dabei gibt es einen Identity Provider, aber mehrere Nutzer der Identitätsinformationen, also Bereitsteller von Anwendungen.

  • Federated Web SSO mit Forest Trust: Dieses Szenario zielt auf den unternehmensinternen Einsatz und die Verknüpfung von Federation mit den Vertrauensstellungen des Active Directory ab.

  • Federated Web SSO in einem Service Provider- Szenario mit Proxy-Diensten: In diesem Szenario werden zusätzlich noch Proxy-Dienste für die sichere Kommunikation beispielsweise über Firewalls und DMZs (Demilitarized Zones) hinweg eingebunden.

Die Darstellung des ersten Szenarios wird mehr Raum in Anspruch nehmen, während die weiteren Szenarien etwas einfacher darzustellen sind, da einige Teile des Aufbaus einer Federation-Infrastruktur immer gleich sind. Auf der anderen Seite steigt die Komplexität der Szenarien jeweils an.