Quelqu'un utilise-t-il vraiment des services de fédération Active Directory? Est-ce une technologie qui vaut la peine d'investir?

Question

Plus généralement, qui utilise avec succès WIF / ADFS / SSO sur la plate-forme Windows, et vaut-il la peine d'être mis en œuvre, et quelle est la probabilité que ce soit une technologie durable?

En surface, en lisant quelques-uns Blancs (PDF), des articles et livres Sur le sujet, cela semble être la solution parfaite - en particulier pour une entreprise qui possède un site Web interne qui expose également un certain niveau de fonctionnalité aux utilisateurs externes et aux partenaires (ou à des plans à l'avenir). Mais ça sonne presque aussi parfait. Et la plupart des informations que j'ai proviennent de Microsoft elles-mêmes.

Je suppose que mes questions spécifiques sont:

• Est-ce une technologie durable et mérite d'investir (et spécifiquement pour une entreprise de plus petite taille (<50 ppl))?
• Y a-t-il des grandes entreprises qui utilisent activement cela?
• Quelle est la probabilité qu'un partenaire soit prêt à configurer un STS si nous voulions que quelqu'un d'autre fournisse l'authentification pour son entreprise en tant qu'émetteur de confiance? Va-t-il y avoir beaucoup de coup de pouce ici?
• Est-ce que cela finira par être un cauchemar de configuration?
• Y a-t-il d'autres pièges à rechercher lorsqu'ils décident de la mise en œuvre?

Answer 1

Comme plus d'applications sont déplacées vers le cloud et vers les services en ligne, vous verrez des ADF et d'autres technologies d'identité fédérées augmenter de l'utilisation. Les organisations ayant des investissements dans Active Directory passeront probablement à cette solution en raison du faible coût de possession.

Est-ce une technologie durable et mérite d'investir (et spécifiquement pour une entreprise de plus petite taille (<50 ppl))?

• Si vous prévoyez de fournir des services hébergés à d'autres sociétés ou prévoyez d'en profiter vous-même que les ADF fournissent un moyen assez indolore de profiter de votre infrastructure de sécurité actuelle.
• S'il est correctement implémenté, il doit être assez simple à remplacer sur le produit de la fédération par un autre.

Y a-t-il des grandes entreprises qui utilisent activement cela?

• Je ne connais qu'avec une organisation gouvernementale sur laquelle j'ai travaillé, mais je suis sûr qu'il y en a d'autres. La nature de l'identité fédérée rend difficile à identifier à l'extérieur qui.

Quelle est la probabilité qu'un partenaire soit prêt à configurer un STS si nous voulions que quelqu'un d'autre fournisse l'authentification pour son entreprise en tant qu'émetteur de confiance? Va-t-il y avoir beaucoup de coup de pouce ici? Est-ce que cela finira par être un cauchemar de configuration?

• La configuration est la partie la plus difficile des ADF. Cependant, une fois que les relations de confiance ont été construites et que les politiques créées par la configuration seront confesses.
• D'autres sociétés auront une infrastructure en place pour soutenir les ADF ou ne le feront pas. Même les applications .NET nécessitent des modifications de configuration pour prendre en charge les ADF et nécessiteront plus probablement des modifications de code pour prendre en charge pleinement le modèle d'identité fédéré. Si vos partenaires ont cela en place, il est probable qu'ils feront volontiers confiance à vos STS.
• Demandez à vous ce que vos partenaires ont en place, ils peuvent déjà avoir ou planifier une infrastructure aujourd'hui.

Y a-t-il d'autres pièges à rechercher lorsqu'ils décident de la mise en œuvre?

• Le problème le plus difficile que j'ai rencontré a été de modifier les pratiques des développeurs d'applications.
• Les applications doivent être conçues autour de la Fédération ou devront en être modernisées.
• Vous ne pouvez pas vous déconnecter d'une application ADFS sans vous connecter à toutes les applications ADFS.
• Lorsqu'une session fédérée expire, vous devez renvoyer un utilisateur au service de la Fédération pour un nouveau billet. Cela pourrait entraîner une perte de données de post s'il n'est pas géré correctement.

Answer 2

Selon mon expérience:

En collaboration avec WIF, ADFS offre:

• Authentification / autorisation "externalisée" standard pour les applications ASP.NET. Une fois que les demandes sont conscientes, vous pouvez apporter des modifications du côté ADFS / ACS et l'application ne change pas.

• Fournit des installations de fédération avec des solutions non .NET, par exemple OpenSO et Tivoli.

• Permet (via ACS) l'utilisation de connexions existantes, par exemple Facebook / Google.

• Offre aux applications le potentiel de migrer vers le cloud (azure).

• Fonctionnalité standard des réclamations standard pour SharePoint 2010.

Les implémentations que j'ai vues sont principalement destinées aux grandes entreprises essayant de mettre en place une sorte de I & Am en place. Il est particulièrement utile lorsque les entreprises ont en place des applications .NET et Java.

En NZ, nous avons également une connexion IGOVT qui fournit une connexion à tous les départements des gouvernements et il s'agit d'un candidat possible pour "utiliser une connexion existante" plutôt que de créer une entreprise spécifique. Igovt peut fédérer avec des ADF.

Le principal écueil dans mon expérience est que cela ne fonctionne pas pour l'ASP classique. Il doit s'agir d'Asp.net.

Pour répondre à vos autres questions:

• Les grandes entreprises qui souhaitent permettre un accès externe à leurs applications préfèrent de loin implémenter un STS plutôt que des utilisateurs externes de leur référentiel d'identité.

• La configuration n'est pas triviale mais ne devient certainement pas un cauchemar.