Podkast 22T25 ADFS – Active Directory Federation Services

WERSJA TEKSTOWA

Cześć, witam Cię w dzisiejszym odcinku mojego podkastu. Temat to Active Directory Federation Services. Co to jest? Jest to koncepcja Microsoftu na możliwość łączenia uwierzytelniania w środowiskach on-premise czyli lokalnych, gdzie mamy Active Directory. Jak również Active Directory w środowisku Azure. Czyli chcielibyśmy mieć docelowo – i to jest dobra praktyka – jeden system uwierzytelniania, w którym loguje się raz użytkownik, w sposób który jest przez nas skonfigurowany. Do wszystkich pozostałych systemów w naszym środowisku lokalnym, chmurowym, jest automatycznie logowany. Typowa koncepcja SSO – Single sign-on i uwierzytelnienie do wszystkich systemów, które nasza firma posiada, rozproszonych, centralnych, nie ma znaczenia.

Oprócz tego dobrze by było używać tych systemów do uwierzytelnienia dostępu np VPN-owego, czy dostępu NAC-a, jeżeli mamy taką instalację i taką sytuację. Ogólnie rzecz biorąc wszędzie, gdzie możemy uwierzytelnić, gdzie chcemy, uwierzytelnić użytkownika powinniśmy wg najnowszych praktyk rekomendacji uwierzytelniać praktycznie do wszystkiego. Dopiero jak uwierzytelni się odpowiednia osoba, wiemy kto to jest, wiemy jaki ma poziom uprawnień, to dajemy mu dostęp. Tak to powinno docelowo wyglądać. A na to dodatkowo chcemy nałożyć to SSO, czyli w jednym miejscu logowanie się i następnie już dostęp do wszystkich zasobów w sposób bezpieczny. Pod spodem oczywiście najczęściej w zależności od aplikacji, ale jest to wykorzystywanie logowania czy komunikacji z tym systemem ADFS przez przekazywanie tokenu. Ten token również może być zaszyfrowany, jeżeli byśmy chcieli dodatkowo zabezpieczyć tą komunikację. Czyli mamy jakąś aplikację, najczęściej webową, gdzie pokazujemy do tej aplikacji, czy wysyłamy taką informacje, że użytkownik jest uprawniony, bazując na pewnym tokenie. Nie posługujemy się w tej komunikacji użytkownikiem i hasłem chociaż widziałem różne metody dostępu do systemów i w niektórych przypadkach również niektórzy używają loginu i hasła jako tego sposobu uwierzytelnienia np do systemu czy do API. Natomiast ma to ten minus, że najczęściej to się pokazuje w url-u w związku z tym to nie jest jakaś opcja rekomendowana.

Jeśli mamy jednak token, to jest on najczęściej zmienny w czasie. Ustawiamy jak długo ma on być ważny, w zależności od aplikacji a dodatkowo możemy go jeszcze zaszyfrować. Nadal on się nam pokazuje najczęściej w url-u danej przeglądarki, ale już w postaci, która jest bezpieczna i nie umożliwia odszyfrowania tej wiadomości a przynajmniej nie w łatwy sposób. Dodatkowo jest jeszcze zmieniana w czasie więc zaleta tokenów jest bez wątpienia dużo większa niż używania loginów i haseł.

Wracając do ADFS, mamy możliwość wykorzystania tego narzędzia w zależności od tego, który system uwierzytelniania, czy to AD on-premise, czyli w takiej klasycznej formie na Windows Server jest naszym głównym źródłem uwierzytelniania, czy Azure AD jest naszym podstawowym systemem trzymania informacji o użytkownikach. W obu przypadkach możemy użyć ADFS, tylko różnie konfigurujemy, w zależności od tego do jakiego źródła się odnosimy. To jest duża zaleta tej koncepcji, tego rozwiązania, że możemy migrować z tego naszego AD lokalnego Data Center do chmurowego w jakiś etapach, chmurach, krokach. W zależności od tego jakie mamy potrzeby i jak jesteśmy na to gotowi. To nie jest krok łatwy. Wiem, że wielu klientów się nad tym zastanawia, ale migracja usługi AD, która jest bardzo kluczowa, jest sednem naszego systemu uwierzytelniania użytkowników w firmie. Przeniesienie tego komponentu do chmury nie jest trywialną decyzją, bo wiąże się z wieloma konsekwencjami a w każdej firmie mogą być to troszeczkę inne konsekwencje w zależności od tego jakie systemy są powiązane z naszym AD. Natomiast wiadomo, że jeżeli doszliśmy już do etapu w naszej firmie, że to AD, niezależnie w jakiej wersji jest naszym centralnym punktem informacji o użytkownikach to na pewno jest to centralny punkt, do którego są zintegrowane praktycznie wszystkie nasze systemy w zależności od dojrzałości organizacji.

Migracja tego komponentu jest problematyczna, a jak jest coś problematyczne i możemy to podzielić na kroki to jest nam po prostu łatwiej. W związku z tym Microsoft dostarcza taki serwis, który umożliwia migrację w zależności od naszej gotowości, możliwości i dzięki temu możemy dostarczyć nowoczesny sposób uwierzytelniania w naszej firmie zarówno pod kontem administracyjnym jak i zwykłych pracowników czy też pracowników zewnętrznych. To już kwestia naszego wyboru. Możemy oczywiście tych AD mieć więcej, jeżeli to są np firmy zewnętrzne współpracujące, możemy się odnosić również do nich. Jest tutaj duża elastyczność konfiguracji zaufania pomiędzy tymi systemami i skonfigurowania tego w taki sposób, żeby dla użytkowników końcowych niezależnie od tego jacy to użytkownicy są, cały system uwierzytelniania był przezroczysty. Na dziś to tyle i do zobaczenia, usłyszenia w przyszłym tygodniu.