Mit Azure AD Connect ist die automatisierte Konfiguration einer ADFS-Infrastruktur möglich. Claim rules werden automatisch gesetzt und auch der Proxy zum internen ADFS hingeleitet. Gerade für Proof of Concept-Szenarien ist diese schnelle und automatisierte Bereitstellung ein großer Mehrwert.
Active Directory Federation Services dienen der zentralen Authentifizierung unterschiedlicher Anwendungen gegen ein lokales Active Directory. Dadurch müssen z.B. Passwörter nicht in die Clouddienste von Office 365 gesynct werden und der Zugriff wird erst durch erfolgreiche Anmeldung am zentralen Identitätssystem gewährt. Die Dienste sind dabei nicht nur auf Microsoft Technologien beschränkt: Auch für Drittanwendungen lässt sich durch ADFS ein Single Sign On für den Nutzer bewerkstelligen.
Voraussetzungen (ADFS PoC):
- mindestens 2 Server:
- 1x für AAD-Connect & internem ADFS
- 1x als ADFS-Proxy für Authentifizierungen außerhalb des Unternehmensnetzes
- der ADFS-Proxy befindet sich in einer DMZ – z.B. durch die hier beschriebene Netztrennung
- Powershell-Remoting ist vom AAD-Connect Server zum ADFS-Proxy möglich
- Ein Zertifikat für die HTTPs-Aufrufe, z.B. von Let’s Encrypt
- Firewall-Einstellungen zur Gewährleistung des Zugriffs via HTTPs (und PS-Remoting!)
- Interner ADFS Server und Proxy werden können von der für das Zertifikat ausgestellten Domäne aufgelöst und entsprechend geroutet werden
- DNS-Einträge setzen!
ADFS-Bereitstellung mit Azure AD Connect
Nach Installation von Azure AD Connect können die benutzerkonfigurierten Einstellungen vorgenommen werden. Durch den Assistenten werden Sie bis zum Punkt der Anmeldemethode geleitet, bei der nun Federation with AD FS ausgewählt wird.
Der Haken für bzgl. Single Sign-On ist hier – etwas verwirrend – ausgegraut. Dieser steht nur bei Benutzung der Pass-through Authentication zur Verfügung. ADFS dient natürlich trotzdem dem SSO 🙂
Für die Konfiguration der ADFS-Server muss das passende SSL-Zertifikat hinterlegt werden – die Zieldomäne entspricht dabei der Adresse, unter der Ihr interner ADFS Server, sowie der Proxy von extern, aufrufbar sein muss.
Der Zielserver für die primäre ADFS-Konfiguration wird durch Eingabe des Namens aufgelöst und hinzugefügt. Für den PoC kann dies der gleiche Server sein, auf dem AAD-Connect ausgeführt wird.
Der ADFS-Proxy kann entweder durch Eingabe eines DNS-Namens (wenn der Eintrag intern gepflegt wurde) oder durch die IP-Adresse hinzugefügt werden. Dies muss sich mit den PS-Remote-Einstellungen decken!
Nach Auswahl der Server und Service-Account rödelt der Assistent eine weile…
…und zeigt nach erfolgreicher Bereitstellung die nächsten Schritte zur Nacharbeit auf.
Abschließend wird die Erreichbarkeit des internen ADFS Servers sowie des Proxys durch das internet geprüft.
Bei Eingabe der Emailadresse einer föderierten Domäne erfolgt nun die Weiterleistung an den ADFS.
Fazit
Die Bereitstellung von ADFS konnte gerne mal sehr zeitaufwändig sein – mit einer guten Vorplanung der Netzwerkkonfiguration und dem AAD-Connect Assistenten erfolgt dies nun spielend leicht. Im nächsten Artikel geht es um den Vergleich von ADFS und Pass-throug zur Authentifizierung am lokalen Active Directory. Nehmen Sie bei Fragen, Anregungen oder Ideen zum Einsatz dieser Funktionen gern Kontakt zu uns auf!