Mit Azure AD Connect ist die automatisierte Konfiguration einer ADFS-Infrastruktur möglich. Claim rules werden automatisch gesetzt und auch der Proxy zum internen ADFS hingeleitet. Gerade für Proof of Concept-Szenarien ist diese schnelle und automatisierte Bereitstellung ein großer Mehrwert.

Active Directory Federation Services dienen der zentralen Authentifizierung unterschiedlicher Anwendungen gegen ein lokales Active Directory. Dadurch müssen z.B. Passwörter nicht in die Clouddienste von Office 365 gesynct werden und der Zugriff wird erst durch erfolgreiche Anmeldung am zentralen Identitätssystem gewährt. Die Dienste sind dabei nicht nur auf Microsoft Technologien beschränkt: Auch für Drittanwendungen lässt sich durch ADFS ein Single Sign On für den Nutzer bewerkstelligen.

Voraussetzungen (ADFS PoC):

 

ADFS-Bereitstellung mit Azure AD Connect

Nach Installation von Azure AD Connect können die benutzerkonfigurierten Einstellungen vorgenommen werden. Durch den Assistenten werden Sie bis zum Punkt der Anmeldemethode geleitet, bei der nun Federation with AD FS ausgewählt wird.

image

 

Der Haken für bzgl. Single Sign-On ist hier – etwas verwirrend – ausgegraut. Dieser steht nur bei Benutzung der Pass-through Authentication zur Verfügung. ADFS dient natürlich trotzdem dem SSO 🙂

Für die Konfiguration der ADFS-Server muss das passende SSL-Zertifikat hinterlegt werden – die Zieldomäne entspricht dabei der Adresse, unter der Ihr interner ADFS Server, sowie der Proxy von extern, aufrufbar sein muss.

image

Der Zielserver für die primäre ADFS-Konfiguration wird durch Eingabe des Namens aufgelöst und hinzugefügt. Für den PoC kann dies der gleiche Server sein, auf dem AAD-Connect ausgeführt wird.

 

image

Der ADFS-Proxy kann entweder durch Eingabe eines DNS-Namens (wenn der Eintrag intern gepflegt wurde) oder durch die IP-Adresse hinzugefügt werden. Dies muss sich mit den PS-Remote-Einstellungen decken!

 

image

 

Nach Auswahl der Server und Service-Account rödelt der Assistent eine weile…

 

image

…und zeigt nach erfolgreicher Bereitstellung die nächsten Schritte zur Nacharbeit auf.

 

image

Abschließend wird die Erreichbarkeit des internen ADFS Servers sowie des Proxys durch das internet geprüft.

 

 

image

Bei Eingabe der Emailadresse einer föderierten Domäne erfolgt nun die Weiterleistung an den ADFS.

 

image

 

Fazit

Die Bereitstellung von ADFS konnte gerne mal sehr zeitaufwändig sein – mit einer guten Vorplanung der Netzwerkkonfiguration und dem AAD-Connect Assistenten erfolgt dies nun spielend leicht. Im nächsten Artikel geht es um den Vergleich von ADFS und Pass-throug zur Authentifizierung am lokalen Active Directory. Nehmen Sie bei Fragen, Anregungen oder Ideen zum Einsatz dieser Funktionen gern Kontakt zu uns auf!