关于ADFS的局限性,你了解多少?
作者: 日期:2022年03月08日 阅:3,100

近二十年来,微软都通过 Active Directory 联合身份验证服务(ADFS)实现企业身份在外网的扩展。2011年微软推出 Office 365,当时很多企业用户希望从 Active Directory(AD)的域内访问 Office 平台,因此 Office 365 的早期功能就包括为这类企业提供单点登录(SSO)。

要在AD中实现 SSO,就要将 Azure AD 连接到 ADFS 和本地 AD 提供的联合身份认证服务。微软一家独大时,使用 ADFS 作为 SSO 解决方案较为普遍,但在今天,AD 和单一的 Windows 环境不像过去那么常见,说明企业已经发现 ADFS 的局限性,最终会转向其他更好的身份和访问管理(IAM)解决方案。

本文将讨论 ADFS 的主要问题,即维护成本高配置复杂安全风险高以及不支持部分硬件和异构环境

1、ADFS 有哪些局限性?

微软推出 ADFS 时表示这一产品有希望成为企业环境中构建联合身份的基石。ADFS 也的确解决了联合身份的部分问题,比如让同一企业的用户可以通过企业 AD 的标准凭证访问合作伙伴的应用系统。

ADFS 也允许用户在远程办公时通过网页界面的 AD 凭证访问兼容 AD 的资源。而另一方面,ADFS 也带来了很多限制:

1)实施和维护成本高

严格来说,ADFS 是一种免费的解决方案,已经为 Windows Server 操作系统(OS)付费的用户不用再支付许可费用,特别是使用 Windows Server 但不想购买其他联合解决方案的企业。但为了实现 SSO 在企业外网的高可用性而设置本地 SSO 服务器又可能涉及其他的零碎成本,导致总成本和费用超支。

例如,除了初始配置和设置成本外,还必须考虑服务器成本。此外,ADFS 也需要一直维护,产生基础设施维护成本、SSL 证书成本以及多个身份联合的管理成本。ADFS 相关的时间、资源和预算等额外成本更是难以量化。

2)配置复杂

ADFS 的第二个限制在于要充分满足 SSO 需求需要多个硬件组件和应用,还需要大量的配置和维护。ADFS 包含三个硬件组件:

1)ADFS 服务器

2)联合身份验证服务代理:安装在 ADFS 服务器场和外部资源之间的服务

3)ADFS 配置数据库  

这些组件都需要定制开发,和外部应用的 SSO 连接也需要投入大量时间来理解、部署、配置和维护。ADFS 作为本地解决方案还需要企业内部 IT 团队处理相关任务。 

另外,ADFS 用于管理身份和身份验证策略的门户也不够人性化,导致应用或系统的添加费时费力。

3)针对 ADFS 服务器的安全威胁

ADFS 的第三个限制在于其安全风险,由于 ADFS 是连接企业网络和各种云服务(如 Office 365)的关键,而越来越多的企业都转向云方案,这就导致ADFS 成为攻击者的共同目标。虽然 ADFS 理论上是安全的,但很难正确实施,稍不留意就会遭到攻击。 

最近就有攻击者开始利用伪造的 SAML 令牌在本地和基于云的设置中随意访问企业资源。“Golden SAML”就是其中一种,对于以 SAML 2.0 标准为 SSO 机制的服务,攻击者利用这一攻击就可以通过身份验证。

这类攻击频发的原因在于大多数 ADFS 配置都涉及多个服务器,通常用于负载平衡和 HA 功能。服务器的多个节点一般使用复制服务来共享和同步来自主服务器的令牌配置信息和 SSL 证书。这一复制过程就可能被攻击者利用,只需通过标准 HTTP 端口访问 ADFS 服务器并用域用户凭证对令牌签名证书解码就能窃取证书,这样一来只要访问企业网络就能实施“Golden SAML”攻击。

正是考虑到 ADFS 这一主要安全问题,许多企业开始从 ADFS 和 AD 迁移到现代云方案,在单一安全平台就能实现所需的全部功能。 

4)不支持打印服务器共享或打印文件

Windows Server 文件共享和 AD 是本地用户访问共享驱动器和打印服务器的主要组件。而随着企业转向基于云的远程工作环境,员工需要将其工作驱动器和打印服务器转换为在线的共享文件夹。

管理云共享文件夹的安全策略应和 AD 在本地环境中实施的安全策略相同。虽然 ADFS 将身份服务扩展到企业外网,但不允许用户共享对文件和打印服务器的访问权限。

在缺乏基于 ADFS 的文件和打印共享机制的情况下,用户可能会寻求第三方的文件共享云方案,如 Dropbox 或 Google Drive。但这种方法也会导致很多问题:

  • 企业数据究竟存储在哪里?
  • 哪些用户有权访问企业数据?
  • 用户会如何处理企业数据?

如果数据没有安全存储,ADFS 的这一问题可能会使企业同时面临内外部威胁以及违规行为的风险。

5)ADFS 不支持异构 IT 环境

显然,现代设备、应用和其他 IT 资源共同改善了用户体验,提高了生产力,为企业带来了巨大好处。曾经以 Windows 系统为主导的 IT 环境已经演变成一个异构环境,现在许多 SaaS 应用还会在 Linux 和 macOS 平台上同时运行。

遗憾的是,ADFS 无法在本地部署此类资源并控制对资源的访问,极大地限制了可用的 IT 资源。这也解释了为什么许多现代企业都在从 ADFS 迁移到云方案,后者提供了完整的 IAM 功能以及几乎所有 IT 资源的 SSO 功能,非常适合当下的 IT 环境。

2、ADFS 问题的现代化解决方案 

许多企业的 IT 环境保留了部分本地基础架构以及基于云的资源。因此需要一个灵活的 IAM 和 SSO 解决方案,在用户连接到所需的全部 IT 资源的同时实现完整的身份控制。

宁盾常被企业用作 AD 和 ADFS 的增强方案,提高 AD 在现代复杂 IT 环境下的扩展性,让 AD 更好用。

宁盾还可以帮助企业从 AD 向多云/混合云资源(如腾讯云、阿里云、华为云、AWS、Azure AD、Okta 等)迁移,不论是遗留应用还是为业务发展新增的业务,都能实现快速纳管,无需考虑 ADFS 产生的成本、运维问题。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章