Hoje vamos falar um pouco sobre o ADFS, Active Directory Federation Services da Microsoft.
O AD FS é um serviço baseado em padrões, que permite o compartilhamento seguro de informações de identidade entre parceiros de negócios confiáveis (conhecidos como Federação) em uma extranet. Quando um usuário precisa acessar um aplicativo Web de um de seus parceiros de Federação, a própria organização do usuário é responsável por autenticá-lo e fornecer informações de identidade na forma de “Claims”, para o parceiro que hospeda o aplicativo Web. O parceiro de hospedagem usa sua diretiva de confiança para mapear as declarações de entrada para declarações que são compreendidas pelo seu aplicativo da Web, que usa as declarações para tomar decisões de autorização.
Resumindo, já pensou ter vários serviços como Office 365, Azure, AWS e Google GSuite todos utilizando o mesmo login, isso mesmo, o mesmo login da sua rede Active Directory. Tudo isso e ainda contar com duplo fator de autenticação usando Google Autenticator ou Microsoft Autenticator?
A proposta do ADFS é justamente essa, trazer cada vez mais integração ao Active Diretory com ferramentas externas e tornar o SSO (Login Único) o mais seguro possível.
O ADFS portal, é basicamente um portal para autenticação dos usuários em ferramentas de terceiros, cada aplicação tem sua forma de autenticação, se formos falar de AWS, após criar as roles necessárias, os usuários acessarão o portal ADFS e serão redirecionados para a AWS após autenticação, se formos falar de O365 e Gsuite, o usuário faz o login no portal O365/Gsuite e é redirecionado automaticamente para autenticação no ADFS Portal.
A Darede já possui a bagagem técnica necessária para implantação, customização e administração do seu ambiente ADFS, a infraestrutura inicial para até 1000 usuários é de certa forma simples. Você precisará de alguns itens básicos de infraestrutura que são eles:
• Ambiente rodando Microsoft Active Directory com pelos menos 2 domain controllers;
• Servidor dedicado com ip válido com poucos recursos executando o ADFS Proxy;
• Servidor dedicado ou domain controller executando ADFS Server;
• Certificado Wildcard Válido,
Existem alguns fatores importantes frente a segurança nesse cenário, recomenda-se subir a infraestrutura em um ambiente em nuvem (AWS/Azure), com isso garante-se disponibilidade do portal de autenticação em casos de falha na estrutura On-Premise. Outra dica valiosa, é manter o ADFS Proxy isolado ao Active Directory, ou seja, o servidor deve permanecer em WorkGroup evitando assim em uma hipótese de invasão, seu ambiente AD está seguro.
Por fim, aplicar uma solução WAF (Web Application Firewall) que garante tranquilidade e segurança para os administradores.
Agora que já falamos bastante sobre a federação, vamos a um exemplo prático de como ela acontece, no exemplo abaixo vamos realizar o login no portal AWS:
Para isso, bastará acessar o portal ADFS da sua organização:
Após escolher a aplicação AWS – Amazon Web Services, o usuário é redirecionado a tela de login, onde deve-se inserir as credenciais de domínio AD:
Como sempre usamos o MFA para esse tipo de acesso, o usuário será redirecionado para a tela de inserção de código de acesso que já foi previamente cadastrada:
Automaticamente após inserir o código MFA corretamente o usuário é direcionado ao console AWS:
Viram, o processo de autenticação ADFS é fácil e seguro. Venham executar seu projeto de Federação Conosco!
Flávio Rescia
Gerente de Operações
flavio.rescia@darede.com.br