Header-grossesschiff

Telefon  +49 6126 710 796 0

ADFS Betrieb

Mehr und mehr Web-Anwendungen halten Einzug in die Unternehmen. Implementieren Sie ADFS um externen Applikationen an das eigene AD zu koppeln. Dies ermöglicht Ihren Anwendern zudem echtes Single-Sign-on. ADFS Betrieb bedeutet Wartung und Monitoring nach der Implementierung. Mit einer Überwachung der Verbunddienste senken Sie das Ausfallrisiko. Bitte denken Sie daran, dass der Betrieb von ADFS Kenntnisse über das Zusammenspiel mit der Infrastruktur voraus. 

ADFS-Betrieb-Anwendungen-Anbindung

Active Directory Verbunddienste eignen sich sehr gut um Office365 und Spezialanwendungen aus der Cloud an Ihr AD zu koppeln.

Beachten Sie bitte, dass es mit der reinen Einrichtung der Services nicht getan ist. Monitoring und Pflege sind notwendig um Ausfälle zu verhindern.


Vorbereitung

ADFS basiert, wie auch das Active Directory, auf lang bewährten und erprobten Technologien. Damit stellt es einen sehr robusten Service mit standardisierten Schnittstellen dar.

Doch gerade wenn eine IT Komponente so zuverlässig arbeitet, wird deren Überwachung oft vernachlässigt.

Verhindern Sie, dass sich Mitarbeiter nicht mehr an Office 365 anmelden können oder die Marketingabteilung keinen Zugriff auf ein extern gehostetes Tool hat.
 

Für den Betrieb von ADFS sollten Sie Vorfeld sicherstellen:

  • Wie arbeitet ADFS und Ihre IT-Infrastruktur zusammen?
  • Haben Sie genügend Know-how zu den ADFS-Komponenten?
  • Gibt es ein Monitoring und ein Überwachungsstrategie?
  • Verfügen Sie über die personellen Ressourcen?

Bei Bedarf bieten wir Ihnen gern Unterstützung an.


Monitoring für einen sicheren Betrieb

Sie haben eine redundante ADFS Infrastruktur mit Network Load Balancer (NLB) aufgebaut. Nun fällt eine der ADFS Instanzen aus. Ihre Anwender stellen fest, dass sie sich an manchen Anwendungen anmelden können, an anderen jedoch nicht. Eine spätere Analyse zeigt, dass einer  der verbliebenen ADFS Server schon seit einiger Zeit kein Replikat der Konfigurationsdatenbank bekommen hat, und die neu eingerichteten Anwendungen dort noch nicht bekannt sind.   

Dies hätte mit einer sorgfältigen Überwachung vermieden werden können.

ADFS-Betrieb-Monitoring 

Ursachen

Oftmals ist es auch nicht der ADFS - Service selbst, sondern die Infrastruktur, die Probleme bereiten kann:

  • Fehlende oder falsche DNS - Einträge
  • Falsch konfigurierte Network Load Balancer
  • Veraltete oder falsch ausgestellte Zertifikate
  • Inkonsistente Active Directory Identitäts-Daten.
    (z.B. nicht eindeutige Anmeldenamen im AD-Forest)

Hieran erkennt man, wie wichtig ein genaues Verständnis der ADFS-Komponenten und deren Zusammenspiel mit der Infrastruktur für eine reibungslose Funktion ihrer IT-Umgebung ist. Sollten sie selbst nicht die nötigen Ressourcen in ihrem Unternehmen vorhalten können, unterstützen wir sie gern. 

 

Monitoring

Folgende Punkte sollten Sie in ihrer Überwachungsstrategie berücksichtigen:

  • Überwachung der Endpunkte alle ADFS Instanzen
  • Überwachen der Ereignis-Logs auf kritische Events
  • Prüfung der SSL / TLS Verschlüsselung
  • Korrektheit der Zertifikate
  • Funktion des Network-Load-Balancer
  • Die WAP - Proxy Instanzen
  • Netzwerk - Infrastruktur intern und extern

Sicherheitszertifikate

Auch wenn alles wie gewünscht funktioniert, müssen Sie einige Dinge beachten.

Das ADFS System Ist in weiten Teilen abhängig von Sicherheitszertifikaten, die für die Verschlüsselung und Signatur der ausgestellten Token verwendet werden.

Aus Sicherheitsgründen ist es üblich und sinnvoll, dass Zertifikate eine begrenzte Lebensdauer besitzen.   Für sie heißt das, dass sie regelmäßig die Zertifikate tauschen müssen, bzw. auf einen automatischen Tausch durch ADFS reagieren müssen.

Hier ist besonders das Token-Signing-Zertifikat zu erwähnen, dass Jährlich erneuert wird. Hierbei muss die angebundene Anwendung bzw. Service-Provider zum richtigen Zeitpunkt, also nach Generierung des neuen Zertifikats und vor dem Austausch, informiert wird.


Betriebsunterstützung für ADFS

Wir bieten Ihnen Dienstleistungen zum Betrieb Ihrer Active Directory Federation Services an. Gern unterstützen wir Sie auch bei m Aufbau des Monitorings.

Bitte kontaktieren Sie uns, wenn Sie sich für ADFS-Betriebs-Support interessieren:

Kontakt

©2016 FirstAttribute AG - Alle Rechte vorbehalten.

Realisierung Site Point GmbH

Impressum