Kontrolliert in die Cloud

Anforderungen an Federation Services

Die AD Federation Services haben eine ganze Reihe von Vorteilen: Deaktiviert der Administrator einen Anwender, ist dieser automatisch auch für die Online-Services deaktiviert. Ändert ein User sein Passwort an seinem PC, gilt das neue Passwort auch für Office 365. Mit AD FS hat man also echtes Single Sing on - für größere Unternehmen ein unschätzbarer Vorteil. Die Mitarbeiter öffnen einmal ihren Webbrowser, weisen sich einmal bei einem Service aus - und jeder Folgezugriff auf Exchange, Sharepoint oder Lync erfolgt ohne weitere Authentisierung.

Allerdings ist der Betrieb von AD FS mit einem gewissen Aufwand verbunden. So muss ein AD FS Server installiert werden, der aus dem Internet erreichbar sein muss. Dieser Server ist ein Single Point of Failure: Ist er nicht verfügbar, kann sich niemand bei den Online-Services anmelden. Die IT-Abteilung sollte also entsprechende Vorkehrungen treffen, damit der Worst Case nicht eintritt. Da dies etwas aufwändiger und kostspieliger ist, ist AD FS primär für größere Unternehmen ab etwa 200-250 Mitarbeiter interessant.

Um den Dienst hochverfügbar auszulegen, können zum Beispiel mehrere AD FS Server installiert werden, die als Federation Server Farm mit Network Loadbalancing betrieben werden können. Für den Zugriff aus dem Internet auf die Federation Services bietet es sich an, einen oder mehrere AD FS Proxy Server in einer DMZ zu betreiben. Alternativ können die Federation Server auch mit dem Microsoft Threat Management Gateway (TMG) oder Unified Access Gateway (UAG) veröffentlicht werden.