جدول محتوا
- فعالیت Active Directory Federation Services چیست؟
- عملکرد AD FS
- تأیید هویت کاربر
- مدیریت User Claims
- Federated Trust
- فرایند احراز هویت AD FS
- چرا سازمانها از AD FS استفاده میکنند؟
- مزایای AD FS برای کاربران
- چرا از AD FS استفاده کنیم: مزایای AD FS برای سازمانها
- محدودیتها و معایب AD FS
- سایر محدودیتهای AD FS
- اجزا و اصول دیزاین AD FS
- AD FS در مقابل هویت ابری
- AD FS و امنیت سایبری
فعالیت Active Directory Federation Services چیست؟
Active Directory Federation Services (AD FS)، یک ویژگی Single Sign On (SSO) است که توسط شرکت مایکروسافت، توسعه یافته است و امکان دسترسی امن و تأییدشده به هر دامنه، دستگاه، وباپلیکیشن یا سیستم در اکتیو دایرکتوری (AD) سازمان و سیستمهای تأییدشدهی شخص ثالث را فراهم میکند.
AD FS بهصورت Federated است؛ به این معنی که هویت کاربر را متمرکز میکند. این امر به هر فرد اجازه میدهد با استفاده از اعتبارنامههای (Credentials) AD موجود، به برنامههای درونشبکهی شرکت و منابع معتبر خارج از سازمان، مانند شبکهی ابری، برنامهی SaaS یا Extranet شرکتهای دیگر دسترسی پیدا کند. همچنین، به کاربران اجازه میدهد در حالت ریموتورک، از طریق فضای ابری به برنامههای AD-Integrated دسترسی پیدا کنند.
هدف AD FS، سادهسازی تجربهی کاربر، حین حفظ سیاستهای امنیتی قوی سازمان است. با AD FS، کاربران فقط باید اطلاعات ورود آنلاین را ایجاد کنند و به یاد بسپارند تا بتوانند به مجموعهای از برنامهها، سیستمها و منابع دسترسی پیدا کنند.
عملکرد AD FS
کارکرد AD FS به SSO عمومی بسیار شبیه است؛ ازاینرو که هویت کاربر را احراز و سطح دسترسی او را تأیید میکند.
تأیید هویت کاربر
AD FS SSO با استفاده از اطلاعات موجود در مخزن دادهی شرکت، هویت کاربر را با دو یا بیشترین اطلاعات، مانند نام کامل کاربر، شمارهی کارمندی، شمارهی تلفن و شناسه یا آدرس پست الکترونیکی تأیید میکند.
مدیریت User Claims
AD FS از مدل احراز هویت Claims-based پیروی میکند؛ به این معنی که سیستم یک توکن امن تولید میکند که شامل حقوق دسترسی یا ادعاهای مربوط به هر کاربر است. وقتی کاربر سعی میکند به یک سیستم دسترسی پیدا کند، AD FS درخواست را در مقابل لیستی از سیستمها و برنامههایی بررسی میکند که کاربر، به استفاده از آنها در AD یا Azure AD مجاز است. همچنین، این بررسی شامل منابع داخلی سازمان و سیستمهای شخص ثالث میشود.
Federated Trust
تأیید هویت AD FS برای سیستمهای شخص ثالث از طریق سرویس پروکسی کامل میشود که توسط اکتیو دایرکتوری و برنامهی خارجی استفاده میشود و ترکیبی از بررسی هویت کاربر و قانون ادعا (Claim) است. این قابلیت، به نام Federated Trust یا Party Trust به کاربر اجازه میدهد که احراز هویت خود را بهصورت مستقیم با هر برنامهای انجام ندهد.
فرایند احراز هویت AD FS
فرایند احراز هویت AD FS شامل پنج مرحلهی اصلی است:
۱. کاربر به لینکی دسترسی پیدا میکند که با سرویس AD FS مرتبط است و اطلاعات کاربری خود را وارد میکند.
۲. سرویس AD FS هویت کاربر را تأیید میکند.
۳. ابزار AD FS یک درخواست احراز هویت شخصیسازیشده برای کاربر تولید میکند و فهرستی از منابع را نشان میدهد که کاربر، به استفاده از آنها مجاز است.
۴. درصورتیکه کاربر سعی کند به برنامههای دیگر دسترسی پیدا کند، سرویس AD FS این ادعا را به برنامههای دیگر ارسال میکند.
۵. دسترسی برنامهی مقصد را براساس شرایط درجشده در ادعا، مجاز یا غیرمجاز میکند.
چرا سازمانها از AD FS استفاده میکنند؟
کارکنان بهطور معمول به صدها برنامه برای انجام کار خود دسترسی دارند. این موضوع، نیاز به ابزار مدیریت هویت یا احراز هویت را (برای حذف نیاز ورود به هر برنامه بهصورت جداگانه و در راستای حفظ امنیت) تقویت میکند. سرویسهای SSO، مانند AD FS به تمام کاربران و سازمانها، مزایای بسیاری را ارائه میدهد.
مزایای AD FS برای کاربران
- سادگی: با AD FS، کاربر میتواند یک مجموعهی تکی از اعتبارنامههای کاربری (Credentials) را در برابر تعدادی از برنامهها و سیستمهای داخلی و خارجی استفاده کند و از ایجاد کردن و به خاطر سپردن چندین اعتبارنامهی کاربری (Credentials) جلوگیری کند.
- بهبود تجربهی کاربری: پس از احراز هویت کاربر توسط AD FS، کاربر میتواند بیوقفه بین برنامههای داخلی و خارجی حرکت کند. این ابزار مدیریت هویت، نیاز کاربر به وارد کردن رمز عبور در هر برنامه و ایجاد وقفههایی به همین دلیل را از بین میبرد.
- بهبود بهرهوری: AD FS برای دسترسی یکپارچه و بینقص به برنامهی وب، سیستم یا دستگاه ارائه میدهد و کاربر میتواند بهراحتی میان برنامهها حرکت و از آنها برای انجام وظایف خود استفاده کند.
چرا از AD FS استفاده کنیم: مزایای AD FS برای سازمانها
- کاهش پشتیبانی IT: یکی از درخواستهای مرسوم Help Desk، بازنشانی رمز عبور فراموششده، گمشده یا منقضیشده است. با AD FS، عملکرد IT میتواند زمان صرفشده برای مسائل روتین رمز عبور را کاهش دهد و بر کارهای ارزشمندتر تمرکز کند. همچنین، IT کمترین زمان را برای تنظیم اعتبارنامههای کاربری جدید (Credentials) صرف خواهد کرد.
- غیرفعالسازی سادهشده: درصورت خروج کارمند، AD FS یک فرایند غیرفعالسازی ساده و کارآمد را برای تمام خدمات و منابع مرتبط فراهم میکند. بخش IT میتواند بهجای غیرفعال کردن هر حساب بهصورت جداگانه که زمانبر و خطاپذیر است، کاربر و ادعاهای مرتبط را در AD FS غیرفعال کند.
- کارآمدی سازمانی: هنگامی که کارکنان در کار خود کارآمدتر باشند، سازمان نیز کارآمدتر خواهد بود. AD FS بهاصطلاح موانع تجربهی کاربری کارمند را که به بهبود بهرهوری منجر میشود، حذف میکند.
- بهبود امنیت: استفاده از AD FS بهطور طبیعی، نیاز کاربران را به بازیابی رمز عبور قدیمی و استفاده از رمز عبور یکسان در برنامهها کاهش میدهد. این قابلیت، احتمال اینکه مهاجمان با استفاده از رمز عبور Crackشده به چندین حساب مرتبط دسترسی پیدا کنند را کاهش میدهد.
محدودیتها و معایب AD FS
AD FS، محدودیتها و معایب مهمی دارد که سازمانها باید آن را بهعنوان بخشی از استراتژی کسبوکار خود مدنظر قرار دهند.
هزینههای زیرساختی: AD FS، بهعنوان ویژگی رایگان در ویندوزسرور در دسترس است؛ اما برای استفاده از تمام قابلیتهای آن و داشتن عملکردی مناسب، به یک لایسنس ویندوزسرور و سرور اختصاصی نیاز دارد.
هزینههای عملیاتی و نگهداری: عملیات و نگهداری AD FS، علاوهبر سرمایهگذاری در زیرساختهایی، مانند لایسنسها و سرورها، هزینههای اضافی را به سازمان متحمل میشود. بیشترین هزینه مربوط به نگهداری دامنههای AD و برنامههای خارجی است که به تخصص فنی عمیق و پشتیبانی ویژهی IT از سازمان نیاز دارد. این مسئله در محیط Azure ممکن است پیچیدهتر شود. همچنین، AD FS هزینههای زیاد نگهداری و عملیاتی در ارتباط با بهروزرسانی زیرساخت، مدیریت Federation و سرمایهگذاریهای امنیتی، مانند هزینهی لایسنس SSL را ایجاد میکند.
پیچیدگی: AD FS، تجربهی کاربری را ساده میکند؛ اما بهطور معمول بسیار پیچیده است که بتوان آن را پیکربندی کرد؛ بهویژه در محیط ابری یا Microsoft Azure. افزودن برنامهی هدف به سرویس، مهارتهای فنی درخور توجهی را میطلبد. در کل، تجربهی کاربری برای AD FS، بصری نیست و باید توسط متخصص IT مدیریت شود.
سایر محدودیتهای AD FS
- از اشتراکگذاری فایل بین کاربران یا گروهها پشتیبانی نمیکند.
- از سرورهای چاپ پشتیبانی نمیکند.
- از اکثر ارتباطات ریموت دسکتاپ پشتیبانی نمیکند.
- به منابع اکتیو دایرکتوری دسترسی ندارد.
اجزا و اصول دیزاین AD FS
Active Directory (AD) یا Azure AD: مدیران شبکه با توجه به خدمات دایرکتوری مخصوص مایکروسافت میتوانند حساب کاربری را برای تمام منابع شبکه، تعیین و مدیریت کنند.
سرور AD FS: یک سرور اختصاصی که توکنهای امنیتی و داراییهای تأیید هویت دیگری را نگهداری و ذخیره میکند، مانند کوکیها.
Azure AD Connect: ماژولی است که اتصال اکتیو دایرکتوری را با Azure AD ایجاد میکند و بهطور معمول در استقرارهای هیبریدی استفاده میشود.
سرور Federation: ابزار SSO، که با استفاده از توکن امنیت مشترک براساس AD میزبان، خدمات تأیید هویت و دسترسی به چندین سیستم در مشاغل مختلف را فراهم میکند.
پروکسی سرور Federation: یک گیت بین AD و اهداف خارجی که درخواستهای دسترسی را با سرور Federation هماهنگ میکند.
AD FS در مقابل هویت ابری
AD FS از ابزار SSO / Federation در بازار امروز فاصلهی زیادی دارد. برخی از سازمانها ممکن است با استفاده از یک سرویس هویت ابری شخص ثالث یا ابزار مدیریت هویت مبتنیبر ابر، قابلیتهای مشابه را با هزینهی کمتری تولید کنند. احراز هویتهای ابری اغلب بهدلیل کاهش هزینههای عملیاتی مرتبط با ابر، پرهزینهتر هستند. همچنین، ارتباط یکپارچه و بینقص با صدها برنامه را فراهم میکنند. سازمانها باید با شریک امنیتی خود همکاری کنند تا ابزار تأیید هویت مناسب را برای کسبوکار خود تعیین کنند.
AD FS و امنیت سایبری
شرکتها، با توجه به افزایش وابستگی به سرویسهای ابری و انتقال به کار از راه دور، باید روش احراز هویت کاربران و ارائهی دسترسیهای مجاز را بازنگری کنند. AD FS دسترسی بیدردسر و کارآمدی را فراهم میکند؛ اما با خطرات امنیتی جدی همراه است. مهم است با شریک امنیتی خود همکاری کنید تا اطمینان حاصل شود AD FS بهصورت مداوم، نظارت و تصحیح شود. همچنین، باید خطرات امنیتی دیگری نیز در چهارچوب استراتژی امنیت سایبری بررسی شود.
سه روش برتر کاربردی برای سازمانهایی که از AD FS استفاده میکنند، به شرح زیر است:
۱. یکپارچهسازی دید بر AD Forest در شبکهی On-premise و در Microsoft Azure: شناسایی هرگونه نقص امنیتی در سیاستهای احراز هویت، نقش کاربران، دسترسیهای مجاز، حسابهای انسانی و خدمات و همچنین، هرگونه انحراف دسترسی هر دو AD در شبکهی On-premise و Microsoft Azure.
۲. تقویت امنیت Active Directory با دسترسی شرطی: از مجموعه ابزار امنیتیای استفاده کنید که بهطور مداوم خطرات را براساس رفتار کاربر مرتبط با نهادهایی، مانند نقاط پایانی (Endpoint)، سرورها، برنامهها، موقعیت مکانی، نقشهای کاربر و گروهها ارزیابی میکنند. این ابزار همچنین، باید دسترسی مشروط را درصورت بروز ناهنجاری اعمال کند. این کار از دسترسیهای پرخطر، جلوگیری میکند و موانع را برای دسترسی مطمئن، از بین میبرد.
۳. مرکزیسازی بررسی و پاسخ به رخداد: اطمینان حاصل کنید که راهحل امنیتی، گزارش کاملی را از هر فعالیت مشکوک یا ناهنجار، مانند زمان، فعالیت، منبع و مقصد تولید میکند.