Terug naar het overzicht

13 februari 2023

Azure AD versus ADFS

Microsoft is al tientallen jaren sterk vertegenwoordigd in de IT-identiteitsbeheerruimte dankzij Active Directory (AD). Het breidde AD uit met lokale en hybride cloudoplossingen als reactie op de groeiende populariteit van web-apps en werken op afstand. Deze oplossingen kruisen elkaar echter en voldoen aan verschillende vereisten. Hieronder vergelijken we Azure® Active Directory® (AD) met Active Directory Federation Services (AD FS) om te zien hoe deze Microsoft-aanbiedingen elkaar overlappen en waar ze verschillen.

Wat is Azure AD?

Azure is het cloud computing-aanbod van Microsoft, vergelijkbaar met AWS® of GCP™. Azure AD is de oplossing voor identiteitsbeheer in de cloud voor het beheren van gebruikers in de Azure Cloud. IT-beheerders gebruiken Azure AD (AAD) om toegang tot Azure, Microsoft 365™ (M365) en een selecte groep andere cloudtoepassingen te verifiëren via eenmalige aanmelding (SSO).IT-beheerders gebruiken Azure AD (AAD) Op het meest elementaire niveau is Azure AD gratis, inbegrepen bij een abonnement op M365. IT-beheerders moeten echter “Premium” hogere niveaus van het product kopen (evenals extra add-ons) om de mogelijkheden volledig te benutten.

Add-on services kunnen het volgende omvatten:

  • Intune voor het beheren van Android-, Apple-, Linux- en Windows-apparaten
  • Entra voor het gebruiken, verifiëren en beheren van externe (niet-Microsoft) identiteiten

AAD is voornamelijk een hulpprogramma voor gebruikersbeheer voor Azure en M365 en beheert geen on-prem IT-infrastructuur zoals Windows-pc’s, netwerken, bestandsservers en andere bronnen. Microsoft Intune dient die functie gedeeltelijk voor cloud-first organisaties; anders is AD meestal nodig om de oplossing te voltooien. Dat gebeurt via middleware genaamd Azure AD Connect. Standalone AAD is geen cloudgebaseerde vervanging voor AD en bedient uitsluitend Microsoft-systemen. Implementaties kunnen complex zijn en vereisen vaak het reserveren van een budget voor consultants.

Microsoft-centrische organisaties vertrouwen op AAD in combinatie met on-prem AD om hun omgeving te beheren. Het biedt Active Directory Federation Services (AD FS) als een alternatieve aanpak die niet cloud-native is; IT-organisaties moeten in staat zijn om een serverfarm op te zetten en te beheren voor een succesvolle implementatie. Dit verhoogt de beheeroverhead, het potentiële aanvalsoppervlak en kan uw licentiekosten verhogen naarmate de grootte- en specificatievereisten toenemen.

Wat is AD FS?

IT-organisaties die gebruikmaken van Active Directory hebben vaak een tool nodig die hun on-prem identiteiten bundelt met cloudtoepassingen. Hoewel er een aantal speciale SSO-oplossingen van derden bestaan om deze leegte op te vullen, biedt Microsoft ook hun eigen tool: AD FS. AD FS is een toeslag voor Windows Server-aankopen en is afhankelijk van meerdere zelfstandige Windows-serverfuncties.

AD FS is een hulpprogramma voor Active Directory waarmee on-prem-identiteiten worden uitgebreid naar cloudtoepassingen. Het is vergelijkbaar met een SSO-tool voor webapplicaties, maar het wordt on-prem gebruikt in plaats van in de cloud. AD FS maakt gebruik van SAML XML-certificaten zoals web-app-SSO-services, maar kan ook worden geverifieerd met behulp van cookies of andere beveiligingstokens. Het ondersteunt ook OpenID Connect/OAuth-stromen en toepassingsscenario’s voor interne toepassingen die niet bedoeld zijn voor cloudhosting.

Uiteindelijk betekent dit dat AD FS is gericht op webtoepassingen en dat organisaties die identiteitsbeheer nodig hebben voor niet-Windows-systemen, netwerken en domeingebonden toepassingen elders, zich moeten wenden tot Active Directory of andere opties. Als u dat weet, laten we Azure AD vergelijken met AD FS en kijken welke het beste past bij de unieke vereisten van uw organisatie.

Azure AD versus AD FS

Azure AD en AD FS delen vergelijkbare rollen in een IT-omgeving. Beide Microsoft-hulpprogramma’s delen SSO-achtige eigenschappen en ze moeten elk samenwerken met on-prem Active Directory (hoewel Azure AD mogelijk zonder kan worden gebruikt). Het belangrijkste verschil is dat AAD een IAM-oplossing (Identity and Access Management) is, terwijl AD FS een security token service (STS) is.

Als zodanig hebben ze elk hun eigen onderscheidingen. Azure AD heeft bredere controle over gebruikersidentiteiten buiten toepassingen dan AD FS, waardoor het een veelgebruikte oplossing is voor IT-organisaties. Het heeft ook geavanceerde mogelijkheden voor toegangscontrole en identiteitsbeheer.

Bijvoorbeeld:

  • AAD biedt multi-factor authenticatie (MFA) op al zijn lagen, van AAD’s Beveiligingsstandaarden tot meer gedetailleerde opties voorwaardelijke toegangsregels voor geprivilegieerde gebruikers.
  • AAD heeft opties om verouderde verificatiemethoden te beperken en kan wachtwoordstatus en -kwaliteit afdwingen.
  • De Premium-lagen van AAD bieden ook een reeks op risico gebaseerde regels / voorwaarden en gedragsmonitoring om identiteiten te beschermen. Het is afhankelijk van welke laag u gebruikt.
  • De Premium-lagen van AAD omvatten selfservice voor het opnieuw instellen van wachtwoorden en meer.
  • De Premium-lagen van AAD omvatten Azure Active Directory (Azure AD) Connect Health om de on-premises identiteitsinfrastructuur te bewaken.
  • AAD heeft op rollen gebaseerde toegangscontroles, maar dynamische groepen die wijzigingen in de levenscyclus van gebruikers aanbrengen en voorstellen via kenmerken zijn beschikbaar tegen een meerprijs.
  • AAD integreert met Intune voor apparaatbeheer en toepassingsbeveiligingsregels.
  • AAD kan uitschalen en geo-redundantie bieden.

AD FS is beter geschikt om de toegang tot interne toepassingen te beheren of om AD uit te breiden naar uw toepassingen van derden. Het biedt bijvoorbeeld robuustere ondersteuning voor saml’s op claims gebaseerde verificatieworkflow (tokenclaims) dan AAD. Het heeft ook de capaciteit om eeuwige identiteiten te consumeren en kan federatief werken met SAML- of WS-Fed-identiteitsproviders met behulp van interne IT-infrastructuur. AAD vereist dat Entra vergelijkbare functionaliteit bereikt. De bepaling komt neer op uw niveau van interne resources, cloudadoptie, nalevingsbehoeften en budgettering.

Zoals hierboven vermeld, zijn geen echte directoryservices of zelfstandige services. Dat betekent dat IT-organisaties die Azure AD of AD FS gebruiken, meestal een directoryservice zoals Active Directory nodig hebben, evenals alle andere add-onoplossingen die AD vereist. NPS (Network Policy Server) is bijvoorbeeld nodig voor RADIUS-verificatie in netwerkbronnen. Intune en Entra zijn noodzakelijk voor interoperabiliteit buiten het Microsoft-ecosysteem om uw volledige IT-infrastructuur te beheren.

IT-organisaties die het aanpassingsvermogen nodig hebben om alle bronnen te ondersteunen die hun eindgebruikers nodig hebben, ongeacht hun protocol, platform, provider of locatie, kunnen baat hebben bij het evalueren van niet-Microsoft-alternatieven voordat ze zich vestigen op een van de SSO-oplossingen van Microsoft. Kosten en complexiteit kunnen ook overwegingen zijn: Microsoft is gericht op het leveren van oplossingen die voldoen aan de vereisten van grote ondernemingen, niet van kleine tot middelgrote ondernemingen (kmo’s).

Holistisch identiteitsbeheer vanuit de cloud

JumpCloud is een open directoryplatform dat mogelijkheden voor identiteits-, toegangs- en apparaatbeheer verenigt, ongeacht de onderliggende verificatiemethode of het ecosysteem van het apparaat. Het kan zowel AD als de vrije laag van AAD uitbreiden om meer te bereiken, met een lagere TCO. JumpCloud verifieert gebruikers of ze biometrie, digitale certificaten, wachtwoorden of SSH-sleutels gebruiken. JumpCloud zorgt ervoor dat elke bron een “beste methode” heeft om er verbinding mee te maken. Bijvoorbeeld LDAP, OIDC, RADIUS of SAML. Het resultaat is dat gebruikers één set referenties kunnen gebruiken om toegang te krijgen tot systemen, toepassingen, netwerken, infrastructuur, bestandsservers en meer.

De toegang wordt beveiligd door MFA voor het hele hele land met optionele voorwaardelijke regels voor gebruikers met bevoegdheden. Er is een wachtwoordbeheerder beschikbaar om niet-SSO-toepassingen te ondersteunen. Uw gebruikers krijgen veilige, probleemloze toegang vanaf beheerde (of vertrouwde) apparaten met elk platform. JumpCloud behandelt identiteiten als de nieuwe perimeter. Dit wordt mogelijk gemaakt door elk apparaat te positioneren als een toegangspoort tot uw bronnen via identiteiten. Er zijn geen add-ons voor apparaatbeheer of het consumeren van externe identiteiten: JumpCloud produceert value lock-in versus vendor lock-in.

Cloudlevering verlaagt de infrastructuurkosten, vereenvoudigt de implementatie en maximaliseert wat u al hebt. Bovendien kunnen op kenmerken gebaseerde toegangscontrole en HR-systeemintegraties geavanceerde scenario’s voor gebruikerslevenscyclusbeheer mogelijk maken om de algehele beheeroverhead te verlagen. Deze mogelijkheden worden aangedreven door uw workflows in plaats van te worden verkaveld als premiumfuncties.

Bron: jumpcloud

Meer weten?

Neem contact op

Tech Updates: Microsoft 365, Azure, Cybersecurity & AI – Wekelijks in je Mailbox.