fbpx

Blog: De valkuilen van ADFS

Bij mijn klanten krijg ik steeds meer en meer te maken met Active Directory Federation Services, afgekort ADFS. Maar wat is ADFS? Het is geen modekreet, maar het lijkt wel een rage te worden. Iedereen wil het hebben, nu meer dan ooit. En ergens is dat ook wel logisch.

Door: João Mosso

Organisaties beginnen namelijk meer en meer gebruik te maken van Cloud oplossingen. Daar waar men tot een paar jaar geleden nog angstig was over de mysterieuze plaatsen waar data en servers zich zouden bevinden, begint het nu steeds meer een onderdeel van de toekomstvisie te worden. Men wil servers naar de Cloud, data naar de Cloud, mail naar de Cloud. Geen wonder dat het hier zo vaak regent, met zoveel cloud…

Maar in alle eerlijkheid, de verschuiving naar de Cloud is een positieve ontwikkeling. Organisaties beginnen te begrijpen dat de Cloud een prima alternatief is voor die prijzige datacentra, waar men voornamelijk betaalt voor de ‘extra’s’ die men bij een datacenter krijgt. Denk hierbij aan fysieke toegangsbeveiliging, uitgebreide 24×7 monitoring en op maat gemaakte rapportages en SLA’s. Het feit dat de hardware in het datacenter verouderd en kapot kan gaan, en u hiervoor als klant nog steeds alles zelf mag gaan regelen, is voor velen nog een tekortkoming. De Cloud wordt dan steeds aantrekkelijker als alternatief.

Een typische Cloud oplossing is Software-as-a-Service (SaaS). Hierbij geeft een organisatie de hosting en het beheer op een applicatie uit handen, waarbij de applicatie als dienst wordt aangeboden door een specialistische leverancier. Voorbeelden hiervan zijn u misschien wel bekend, zoals Exact Online en AFAS Online. En wat dacht u van Office 365, waar u met Exchange Online uw hele emailomgeving in de Cloud heeft staan.

Hoe krijgen uw medewerkers toegang tot de Cloud?

Uw medewerkers moeten zich authenticeren op al deze Cloud applicaties. En het liefst wilt u het makkelijk maken voor uw medewerkers, in plaats van dat ze allerlei verschillende gebruikersnamen en wachtwoorden moeten onthouden voor iedere applicatie. Nee, dat is vragen om papiertjes onder het toetsenbord of Excel bestandjes met wachtwoorden. En dan heeft een beheerder nog steeds onvoldoende controle over de toegang tot deze applicaties.

ADFS kan hierbij goed van pas komen. Met ADFS kunnen medewerkers namelijk gebruikmaken van hun bestaande gebruikersnaam en wachtwoord, in de meeste gevallen van het interne Active Directory domein van de organisatie. Wanneer iemand tracht in te loggen bij zo’n externe applicatie, worden zijn inloggegevens eerst in het eigen domein geverifieerd. Pas dan wordt er toegang verleend tot de externe applicatie.

blog_geloof-jij-in-de-cloud

Wat zijn dan de valkuilen, dit is toch wat eenieder wil?

De grootste valkuil begint bij de perceptie. Als er intern ADFS wordt gebruikt, wil dat niet meteen zeggen dat een veilige manier van authenticeren ook overal gelijk geregeld is. ADFS is namelijk geen eenrichtingsverkeer. De andere partij moet ook weten dat de authenticatie via ADFS plaatsvindt en moet zijn omgeving ook zo inrichten dat deze actie ook plaatsvindt. Ook kunnen er verschillen zijn in het uitrollen van ADFS in het eigen datacenter ten opzichte van ADFS in de Cloud. Een andere misvatting is dat men denkt dat ieder certificaat en iedere naam voldoet om de ADFS server bekend te kunnen maken aan de buitenwereld. Het antwoord is “NEE” op beide punten.

Er komt dus nog best wel veel kijken bij deze techniek, onder andere:

  • Wat voor machines heeft men nodig en hoeveel?
  • Hoe moet de firewall worden geconfigureerd?
  • Welke IP poorten worden er gebruikt?
  • Hoe moet het certificaat eruitzien die gebruikt wordt?
  • Wat voor type authenticatie wil men gebruiken?

Dit soort vragen leiden meestal tot een pad dat leidt naar uitstel en uiteindelijk tot het niet implementeren van ADFS. Men gaat vervolgens liever poorten openzetten naar interne Domain Controllers, of lijsten met gebruikersnamen en wachtwoorden onversleuteld in een bestandje afgeven bij de Cloud leverancier. En DAT is de valkuil die men dan zelf heeft gegraven, want zo wordt de eerste stap genomen om bedrijfsinformatie op straat te zetten.

Mijn advies: wees niet bang voor de vragen, maar zoek naar de antwoorden. Lukt het niet alleen, dan doen we het samen.

Uw Cloud Partner

ResultaatGroep heeft als Cloud Platform Partner van Microsoft uitgebreide expertise op het gebied van ADFS, Azure en koppelingen met SaaS diensten. Wilt u hier meer over weten, of persoonlijk geïnformeerd worden over de laatste ontwikkelingen, neem dan vrijblijvend contact op met één van onze Cloud consultants.