Active Directory Federation Services (AD FS)

فعالیت Active Directory Federation Services چیست؟

Active Directory Federation Services (AD FS)، یک ویژگی Single Sign On (SSO) است که توسط شرکت مایکروسافت، توسعه یافته است و امکان دسترسی امن و تأییدشده به هر دامنه، دستگاه، وب‌اپلیکیشن یا سیستم در اکتیو دایرکتوری (AD) سازمان و سیستم‌های تأییدشده‌ی شخص ثالث را فراهم می‌کند.

AD FS به‌صورت Federated است؛ به این معنی که هویت کاربر را متمرکز می‌کند. این امر به هر فرد اجازه می‌دهد با استفاده از اعتبارنامه‌های (Credentials) AD موجود، به برنامه‌های درون‌شبکه‌ی شرکت و منابع معتبر خارج از سازمان، مانند شبکه‌ی ابری، برنامه‌ی SaaS یا Extranet شرکت‌های دیگر دسترسی پیدا کند. همچنین، به کاربران اجازه می‌دهد در حالت ریموت‌ورک، از طریق فضای ابری به برنامه‌های AD-Integrated دسترسی پیدا کنند.

هدف AD FS، ساده‌سازی تجربه‌ی کاربر، حین حفظ سیاست‌های امنیتی قوی سازمان است. با AD FS، کاربران فقط باید اطلاعات ورود آنلاین را ایجاد کنند و به یاد بسپارند تا بتوانند به مجموعه‌ای از برنامه‌ها، سیستم‌ها و منابع دسترسی پیدا کنند.

عملکرد AD FS

کارکرد AD FS به SSO عمومی بسیار شبیه است؛ از‌این‌رو که هویت کاربر را احراز و سطح دسترسی او را تأیید می‌کند.

تأیید هویت کاربر

AD FS SSO با استفاده از اطلاعات موجود در مخزن داده‌ی شرکت، هویت کاربر را با دو یا بیشترین اطلاعات، مانند نام کامل کاربر، شماره‌ی کارمندی، شماره‌ی تلفن و شناسه یا آدرس پست الکترونیکی تأیید می‌کند.

مدیریت User Claims

AD FS از مدل احراز هویت Claims-based پیروی می‌کند؛ به این معنی که سیستم یک توکن امن تولید می‌کند که شامل حقوق دسترسی یا ادعاهای مربوط به هر کاربر است. وقتی کاربر سعی می‌کند به یک سیستم دسترسی پیدا کند، AD FS درخواست را در مقابل لیستی از سیستم‌ها و برنامه‌هایی بررسی می‌کند که کاربر، به استفاده از آن‌ها در AD یا Azure AD مجاز است. همچنین، این بررسی شامل منابع داخلی سازمان و سیستم‌های شخص ثالث می‌شود.

Federated Trust

تأیید هویت AD FS برای سیستم‌های شخص ثالث از طریق سرویس پروکسی کامل می‌شود که توسط اکتیو دایرکتوری و برنامه‌ی خارجی استفاده می‌شود و ترکیبی از بررسی هویت کاربر و قانون ادعا (Claim) است. این قابلیت، به نام Federated Trust یا Party Trust به کاربر اجازه می‌دهد که احراز هویت خود را به‌صورت مستقیم با هر برنامه‌ای انجام ندهد.

فرایند احراز هویت AD FS

فرایند احراز هویت AD FS شامل پنج مرحله‌ی اصلی است:
۱. کاربر به لینکی دسترسی پیدا می‌کند که با سرویس AD FS مرتبط است و اطلاعات کاربری خود را وارد می‌کند.
۲. سرویس AD FS هویت کاربر را تأیید می‌کند.
۳. ابزار AD FS یک درخواست احراز هویت شخصی‌سازی‌شده برای کاربر تولید می‌کند و فهرستی از منابع را نشان می‌دهد که کاربر، به استفاده از آن‌ها مجاز است.
۴. در‌صورتی‌که کاربر سعی کند به برنامه‌های دیگر دسترسی پیدا کند، سرویس AD FS این ادعا را به برنامه‌های دیگر ارسال می‌کند.
۵. دسترسی برنامه‌ی مقصد را بر‌اساس شرایط درج‌شده‌ در‌ ادعا، مجاز یا غیرمجاز می‌کند.

چرا سازمان‌ها از AD FS استفاده می‌کنند؟

کارکنان به‌طور معمول به صدها برنامه برای انجام کار خود دسترسی دارند. این موضوع، نیاز به ابزار مدیریت هویت یا احراز هویت را (برای حذف نیاز ورود به هر برنامه به‌صورت جداگانه و در راستای حفظ امنیت) تقویت می‌کند. سرویس‌های SSO، مانند AD FS به تمام کاربران و سازمان‎‌ها، مزایای بسیاری را ارائه می‌دهد.

مزایای AD FS برای کاربران

• سادگی: با AD FS، کاربر می‌تواند یک مجموعه‌ی تکی از اعتبارنامه‌های کاربری (Credentials) را در برابر تعدادی از برنامه‌ها و سیستم‌های داخلی و خارجی استفاده کند و از ایجاد کردن و به خاطر سپردن چندین اعتبارنامه‌‌ی کاربری (Credentials) جلوگیری کند.
• بهبود تجربه‌ی کاربری: پس از احراز هویت کاربر توسط AD FS، کاربر می‌تواند بی‌وقفه بین برنامه‌های داخلی و خارجی حرکت کند. این ابزار مدیریت هویت، نیاز کاربر به وارد کردن رمز عبور در هر برنامه و ایجاد وقفه‌هایی به همین دلیل را از بین می‌برد.
• بهبود بهره‌وری: AD FS برای دسترسی یکپارچه و بی‌نقص به برنامه‌ی وب، سیستم یا دستگاه ارائه می‌دهد و کاربر می‌تواند به‌‌راحتی میان برنامه‌ها حرکت و از آن‌ها برای انجام وظایف خود استفاده کند.

چرا از AD FS استفاده کنیم: مزایای AD FS برای سازمان‌ها

• کاهش پشتیبانی IT: یکی از درخواست‌های مرسوم  Help Desk، بازنشانی رمز عبور فراموش‌شده، گم‌شده یا منقضی‌شده است. با AD FS، عملکرد IT می‌تواند زمان صرف‌شده برای مسائل روتین رمز عبور را کاهش دهد و بر کارهای ارزشمندتر تمرکز کند. همچنین، IT کمترین زمان را برای تنظیم اعتبارنامه‌های کاربری جدید (Credentials) صرف خواهد کرد.
• غیرفعال‌سازی ساده‌شده: در‌صورت خروج کارمند، AD FS یک فرایند غیرفعال‌سازی ساده و کارآمد را برای تمام خدمات و منابع مرتبط فراهم می‌کند. بخش IT می‌تواند به‌جای غیرفعال کردن هر حساب به‌صورت جداگانه که زمان‌بر و خطاپذیر است، کاربر و ادعاهای مرتبط را در AD FS غیرفعال کند.
• کارآمدی سازمانی: هنگامی که کارکنان در کار خود کارآمدتر باشند، سازمان نیز کارآمدتر خواهد بود. AD FS به‌اصطلاح موانع تجربه‌ی کاربری کارمند را که به بهبود بهره‌وری منجر می‌شود، حذف می‌کند.
• بهبود امنیت: استفاده از AD FS به‌طور طبیعی، نیاز کاربران را به بازیابی رمز عبور قدیمی و استفاده از رمز عبور یکسان در برنامه‌ها کاهش می‌دهد. این قابلیت، احتمال اینکه مهاجمان با استفاده از رمز عبور Crackشده به چندین حساب مرتبط دسترسی پیدا کنند را  کاهش می‌دهد.

محدودیت‌ها و معایب AD FS

AD FS، محدودیت‌ها و معایب مهمی دارد که سازمان‌ها باید آن را به‌عنوان بخشی از استراتژی کسب‌و‌کار خود مدنظر قرار دهند.

هزینه‌های زیرساختی: AD FS، به‌عنوان ویژگی رایگان در ویندوزسرور در دسترس است؛ اما برای استفاده از تمام قابلیت‌های آن و داشتن عملکردی مناسب، به یک لایسنس ویندوزسرور و سرور اختصاصی نیاز دارد.

هزینه‌های عملیاتی و نگهداری: عملیات و نگهداری AD FS، علاوه‌بر سرمایه‌گذاری در زیرساخت‌هایی، مانند لایسنس‌ها و سرورها، هزینه‌های اضافی را به سازمان متحمل می‌شود. بیشترین هزینه مربوط به نگهداری دامنه‌های AD و برنامه‌های خارجی است که به تخصص فنی عمیق و پشتیبانی ویژه‌ی IT از سازمان نیاز دارد. این مسئله در محیط Azure ممکن است پیچیده‌تر شود. همچنین، AD FS هزینه‌های زیاد نگهداری و عملیاتی در ارتباط با به‌روزرسانی زیرساخت، مدیریت Federation و سرمایه‌گذاری‌های امنیتی، مانند هزینه‌ی لایسنس SSL را ایجاد می‌کند.

پیچیدگی: AD FS، تجربه‌ی کاربری را ساده می‌کند؛ اما به‌طور معمول بسیار پیچیده است که بتوان آن را پیکربندی کرد؛ به‌ویژه در محیط ابری یا Microsoft Azure. افزودن برنامه‌ی هدف به سرویس، مهارت‌های فنی درخور توجهی را می‌طلبد. در کل، تجربه‌ی کاربری برای AD FS، بصری نیست و باید توسط متخصص IT مدیریت شود.

سایر محدودیت‌های AD FS

• از اشتراک‌گذاری فایل بین کاربران یا گروه‌ها پشتیبانی نمی‌کند.
• از سرورهای چاپ پشتیبانی نمی‌کند.
• از اکثر ارتباطات ریموت دسکتاپ پشتیبانی نمی‌کند.
• به منابع اکتیو دایرکتوری دسترسی ندارد.

اجزا و اصول دیزاین AD FS

Active Directory (AD) یا Azure AD: مدیران شبکه با توجه به خدمات دایرکتوری مخصوص مایکروسافت می‌توانند حساب کاربری را برای تمام منابع شبکه، تعیین و مدیریت کنند.

سرور AD FS: یک سرور اختصاصی که توکن‌های امنیتی و دارایی‌های تأیید هویت دیگری را نگهداری و ذخیره می‌کند، مانند کوکی‌ها.

Azure AD Connect: ماژولی است که اتصال اکتیو دایرکتوری را با Azure AD ایجاد می‌کند و به‌طور معمول در استقرارهای هیبریدی استفاده می‌شود.

سرور Federation: ابزار SSO، که با استفاده از توکن امنیت مشترک براساس AD میزبان، خدمات تأیید هویت و دسترسی به چندین سیستم در مشاغل مختلف را فراهم می‌کند.

پروکسی سرور Federation: یک گیت بین AD و اهداف خارجی که درخواست‌های دسترسی را با سرور Federation هماهنگ می‌کند.

AD FS در مقابل هویت ابری

AD FS از ابزار SSO / Federation در بازار امروز فاصله‌ی زیادی دارد. برخی از سازمان‌ها ممکن است با استفاده از یک سرویس هویت ابری شخص ثالث یا ابزار مدیریت هویت مبتنی‌بر ابر، قابلیت‌های مشابه را با هزینه‌ی کمتری تولید کنند. احراز هویت‌های ابری اغلب به‌دلیل کاهش هزینه‌های عملیاتی مرتبط با ابر، پرهزینه‌تر هستند. همچنین، ارتباط یکپارچه و بی‎‌نقص با صدها برنامه را فراهم می‌کنند. سازمان‌ها باید با شریک امنیتی خود همکاری کنند تا ابزار تأیید هویت مناسب را برای کسب‌و‌کار خود تعیین کنند.

AD FS و امنیت سایبری

شرکت‌ها، با توجه به افزایش وابستگی به سرویس‌های ابری و انتقال به کار از راه دور، باید روش احراز هویت کاربران و ارائه‌ی دسترسی‌های مجاز را بازنگری کنند. AD FS دسترسی بی‌دردسر و کارآمدی را فراهم می‌کند؛ اما با خطرات امنیتی جدی همراه است. مهم است با شریک امنیتی خود همکاری کنید تا اطمینان حاصل شود AD FS به‌صورت مداوم، نظارت و تصحیح شود. همچنین، باید خطرات امنیتی دیگری نیز در چهارچوب استراتژی امنیت سایبری بررسی شود.

سه روش برتر کاربردی برای سازمان‌هایی که از AD FS استفاده می‌کنند، به شرح زیر است:

۱. یکپارچه‌سازی دید بر AD Forest در شبکه‌ی On-premise و در Microsoft Azure: شناسایی هر‌گونه نقص امنیتی در سیاست‌های احراز هویت، نقش کاربران، دسترسی‌های مجاز، حساب‌های انسانی و خدمات و همچنین، هر‌گونه انحراف دسترسی هر دو AD در شبکه‌ی On-premise و Microsoft Azure.

۲. تقویت امنیت Active Directory با دسترسی شرطی: از مجموعه ابزار امنیتی‌ای استفاده کنید که به‌طور مداوم خطرات را بر‌اساس رفتار کاربر مرتبط با نهادهایی، مانند نقاط پایانی (Endpoint)، سرورها، برنامه‌ها، موقعیت مکانی، نقش‌های کاربر و گروه‌ها ارزیابی می‌کنند. این ابزار همچنین، باید دسترسی مشروط را در‌صورت بروز ناهنجاری اعمال کند. این کار از دسترسی‌های پر‌خطر، جلوگیری می‌کند و موانع را برای دسترسی مطمئن، از بین می‌برد.

۳. مرکزی‌سازی بررسی و پاسخ به رخداد: اطمینان حاصل کنید که راه‌حل امنیتی، گزارش کاملی را از هر فعالیت مشکوک یا ناهنجار، مانند زمان، فعالیت، منبع و مقصد تولید می‌کند.