Unter ADFS (Active Directory Federation Services) ist ein Softwareprodukt aus dem Hause Microsoft zu verstehen, welches organisationsübergreifende Anmeldungen an Services per Single Sign-On ermöglicht.
Durch diese ADFS-Verknüpfung mit dem Webdesk EWP ist es BenutzerInnen möglich, sich anhand der im Kunden Active Directory gespeicherten Benutzernamen und Passwörtern zu identifizieren. Dabei sind uns als HR Software Anbieter die ADFS Passwörter zu keinem Zeitpunkt bekannt. In der eigenen Benutzerverwaltung der Windows-Domäne können die Zugangsdaten verwaltet werden. Es handelt sich hierbei um ein sogenanntes „Claim-basiertes Autorisierungsmodell mittels Token-Nachrichten“.
Die Vorteile von ADFS im Überblick:
- UserInnen müssen sich in ihrem Arbeitsalltag nur einmalig authentifizieren
- Berechtigungen können jederzeit entzogen werden – damit muss zum Beispiel bei einem Mitarbeiteraustritt nicht in jeder einzelnen Applikation die Benutzerberechtigung entzogen werden, dies kann einfach über die Windows-Domäne einmalig erledigt werden
- Volle Kontrolle über alle Benutzerkonten der UserInnen
- Passwort entspricht automatisch den unternehmensinternen Passwortrichtlinien
- ADFS ermöglicht über den Standard SAML 2.0 (Secure Assertion Markup Language) die Anbindung an Drittsysteme, welche kein Windows-basiertes Identitäts- / Authentifizierungs-modell verwenden – das Active Directory des Kunden fungiert hierbei als IDP (Identity Provider)
Implementierung:
Für die ADFS Implementierung bedarf es einer Installation der Open Source Software Shibboleth. Diese ermöglicht das Binding und somit den Tokenaustausch und wird über ein Modul mit dem zusätzlich zu installierenden Apache Frontend HTTP Webserver verbunden.
Üblicherweise benötigen wir für die vollständige Einrichtung einen PT.
Hinweis: Azure AD, das Cloud Active Directory von Microsoft 365, wird ebenso unterstützt.