Neuerungen in ADFS 3.0 (Active Directory Federation Services)

ADFS 3.0 ist Bestandteil von Windows Server 2012 R2.

Die aktuelle Version bietet einige sehr interessante Neuerungen.
In diesem Artikel möchte ich einen kurzen Überblick zu den wichtigsten Features von ADFS 3.0 geben.

Grundlagen & Einsatzmöglichkeiten >> Active Directory Federation Services (ADFS)

Workplace Join

In Zeiten des „Bring in your own device“ bietet jetzt auch Microsoft die Möglichkeit, mobile Geräte sicher zu registrieren und zu verknüpfen. So kann zum Beispiel ein Benutzer von seinem verknüpften Tablet aus eine geschützte Firmenressource oder Anwendung nutzen, die für alle fremden Geräte nicht zugänglich ist.

Hierbei ist auch „Single-Sign-On“ möglich. SSO Nutzerdaten bleiben dabei standardmäßig für 7 Tage gültig. Zurzeit werden jedoch nur iOS und Windows 8.1 Geräte unterstützt.

Für die Registrierung ist der Device Registration Service (DRS) zuständig. Er ist Bestandteil der ADFS Rolle von Server 2012R2.
Die Registrierung erfolgt über den Aufruf einer bestimmten Url oder über das entsprechende Menü in Windows 8.1.
Dabei wird ein eindeutiges Zertifikat für das aufzunehmende Gerät erstellt und dort installiert.
Zusätzlich wird im Active Directory ein Objekt für das Device erstellt.

Dieses AD-Objekt bedarf einer Schemaerweiterung die mit Hilfe des Powershell Kommandos Enable-AdfsDeviceRegistration –PrepareActiveDirectory durchgeführt werden kann.

Enable-AdfsDeviceRegistration

ADFS 3.0 kommt auch mit einer neuen Version von ADFS Proxy.
Diese unterstützt natürlich auch die Registrierung von außerhalb des Firmennetzwerks.
Bei der Installation der ADFS-Rolle ist besonderen Wert auf das Dienst-Zertifikat zu legen.
Alle Geräte müssen diesem Zertifikat vertrauen und es müssen folgende Informationen enthalten:

* Subject Name (CN): adfs1.mydomain.com
* Subject Alternative Name (DNS): adfs1. mydomain.com
* Subject Alternative Name (DNS): enterpriseregistration. mydomain.com

Weiterhin müssen die verwendeten Namen korrekt im DNS registriert werden.

Group Managed Service Accounts (GMSA) Unterstützung

Mit Version 3.0 unterstützt Microsoft nun auch die Nutzung von GSMA als Dienst-Identitäten im ADFS.
Group Managed Service Accounts sind Konten, deren Kennwort automatisch vom Active Directory generiert und erneuert werden, ohne dass der Administrator eingreifen muss.
Dies erhöht die Sicherheit, da die Kennworte sehr lang sind und regelmäßig geändert werden.

Beispiel zur Erstellung eines Kontos

Weiterführende Informationen zu GMSA: Technet-Artikel

OAUTH2 Token Support in ADFS 3.0

ADFS 3.0 ist nun in der Lage auch Access-Tokens nach dem OAUTH2 Standard zu generieren. Diese JSON Format encodierten Tokens (JWT JSON Web Token) sind besonders kompakt und einfach aufgebaut. Sie lassen sich sehr gut in modernen Web-Applikationen verwenden.

ADFS Proxy

In früheren Versionen des ADFS gab es eine ADFS-Proxy Rolle.

Diese Rolle wurde vornehmlich auf Servern in der DMZ installiert und leitete Anfragen aus dem Internet an den internen ADFS weiter.

Diese Funktionalität ist nun Bestandteil einer neuen Rolle, dem „Web Application Proxy“. Diese Rolle kann nur zusammen mit ADFS verwendet werden und ermöglicht das sichere Freigeben von (Web-) Anwendungen im Internet. Hiermit ist es auch möglich, „Non claims aware Applications“ also Anwendungen, die Token-Claims (z.B. Benutzereigenschaften / Rollen) nicht selbst auswerten können, zu schützen. Die Auswertung der Claims Der Zugriff auf die Applikation wird Anhand der Client- und Benutzerregeln ermittelt.

Beispiel:

Der Benutzer ist Mitglied einer bestimmten Gruppe und es gibt einen registrierten Client.
Benutzer und Client sind verknüpft.
Natürlich hat Web-Application-Proxy noch einige weitere Features, die den Rahmen dieses Artikels allerdings sprengen würden.
Für weitere Informationen empfehle ich diesen Technet-Artikel (EN)

Vereinfachte Anpassung der Logon-Webseite

Die Log-on-Webseite kann jetzt noch einfacher und umfassender an die Kundenwünsche angepasst werden. So stehen einfache Powershell Kommandos zum Setzen von Logos, Firmenname und Help-Links zur Verfügung.

Weiteres: SAML und ADFS

Szenarien, Einführung, Funktionsweisen und Implementierung zum Thema SAML und Active Directory Federation Services finden Sie in folgendem Artikel: SAML und ADFS 2.0

Für generellen Fragen zum Einsatz von ADFS und Möglichkeiten in Ihrem Unternehmen, können Sie gern Kontakt mit uns aufnehmen.