ADFS (Active Directory Federation Services) ist eine Lösung von Microsoft für SSO-Funktionalität (Single Sign-On). Es wird von Organisationen verwendet, die ihre Benutzer auf Windows-Servern haben, um Authentifizierung und Autorisierung für webbasierte Anwendungen oder Dienste außerhalb der Organisation bereitzustellen. ADFS implementiert verbundierte Identitäts- und anspruchsbasierte Zugriffssteuerung, um Benutzer zu authentifizieren und zu autorisieren, wodurch die Sicherheit gewahrt bleibt. Die anspruchsbasierte Authentifizierung ist eine Möglichkeit, Benutzern Zugriff auf der Grundlage einer Reihe von Ansprüchen zu gewähren, die die Informationen über die in Token enthaltene Identität enthalten.
Das Innenleben von ADFS kann durch ein einfaches Beispiel verstanden werden. Angenommen, ein Unternehmen ‘A’, das ADFS auf seinen Servern hostet, hat Zugriff auf die Anmeldeinformationen eines Benutzers. Es ist so konfiguriert, dass er anderen Anwendungen “B” und “C” Vertrauen bietet, die Zugriffstoken vom ADFS für die Authentifizierung erfordern. Wenn ein Benutzer versucht, über den Browser auf die Anwendung “B” zuzugreifen, leitet er den Benutzer zu einem Proxyserver der Anwendung “A” um, auf dem der Benutzer aufgefordert wird, sich anzumelden. Nachdem der Benutzer seinen gültigen Benutzernamen/sein gültiges Kennwort eingegeben hat, wird das Zugriffstoken für diesen Benutzer generiert und zusammen mit dem Token an die Anwendung “B” umgeleitet. Derselbe Prozess tritt auf, wenn der Benutzer auf die Anwendung ‘C’ zugreifen möchte.
Warum Azure ADFS?
Active Directory (AD) verursacht Authentifizierungshärten, wenn Benutzer auf externe Anwendungen zugreifen möchten. In dieser Zeit der Online-Welt, Benutzer finden oft die Notwendigkeit, externe Anwendungen, die nicht im Besitz ihrer Organisation sind zugreifen. Hier kommt ADFS ins Spiel und überbrückt die Lücke des Zugriffs auf diese externen Anwendungen. ADFS ermöglicht benutzern innerhalb einer Organisation den Zugriff auf Anwendungen von Drittanbietern, die in ihre Organisation integriert sind, mit den gleichen Anmeldeinformationen ihrer Organisation AD. ADFS kann für Folgendes verwendet werden:
- Einmaliges Anmelden. ADFS kann verwendet werden, um Benutzern Zugriff auf die Anwendungen oder Dienste von Drittanbietern zu gewähren, indem sie sie mit den gleichen Anmeldeinformationen wie die AD ihrer Organisation protokollieren.
- Identitäts- und Zugriffsverwaltung (IAM). Es hilft mit einer Basisplattform, um Zugriffssteuerung für Anwendungen auf der Grundlage zentralisierter Richtlinien und Regeln bereitzustellen. Die Identität des Benutzers ist zentralisiert, was die Identitätsverwaltung erleichtert.
Probleme mit Anwendungen, die Azure ADFS verwenden
ADFS hinkt aufgrund einiger großer Nachteile hinterher, da es die beste Identitäts- oder Authentifizierungslösung ist. Wesentliche Nachteile von ADFS sind die versteckten Infrastruktur- und Wartungskosten, die Komplexität und die Sicherheitsrisiken. Für die Verwaltung und Wartung von ADFS entstehen enorme Betriebskosten. Auch wenn für den ADFS-Dienst keine Kosten anfallen und kostenlos sind, erfordert die Verwendung eine Microsoft Server-Lizenz und einen Server zum Hosten des Dienstes. Da ADFS ein sehr wichtiger und kritischer Dienst ist, darf er nie heruntergekommen sein und sollte hochverfügbar sein, um einen Authentifizierungsmechanismus bereitzustellen. Um dies zu erfüllen, muss die Architektur von ADFS konfiguriert werden, was die Kosten in Bezug auf die Komplexität der Architektur und die Erhöhung der Infrastruktur möglicherweise stärker als erwartet erhöht.
Warum Anwendungen überwachen, die ADFS verwenden?
ADFS stellt Authentifizierungs- und Autorisierungsdienste bereit. Es bietet auch SSO und IAM. Dies hilft, die Zugriffssteuerung für die Anwendungen auf der Grundlage zentralisierter Richtlinien und Regeln bereitzustellen. In einfachen Worten kümmert sich IAM um die Benutzerdetails, die Authentifizierung und die Zugriffsinformationen für eine Organisation. Nun, hier müssen sich die Anwendungen keine Sorgen um die Verwaltung und Authentifizierung ihrer Benutzer machen, auch wenn die Anzahl der Benutzer allmählich zunimmt oder abnimmt. Die Verantwortung von SSO und IAM schafft eine große Abhängigkeit von ADFS. Jetzt können sich Unternehmen keine Verluste leisten, wenn ihre Benutzer aufgrund eines ADFS-Fehlers nicht auf externe Anwendungen zugreifen können.
Wie können wir Anwendungen überwachen, die Azure ADFS verwenden?
ADFS besteht hauptsächlich aus Infrastruktur, Netzwerken und ADFS, die auf dem Server ausgeführt werden. Wenn also ADFS speziell überwacht werden muss, können Sie die Protokolle sehen, die in den Serverprotokollen aufgezeichnet sind, in denen das ADFS gehostet wird. Sie können sicherstellen, dass das Netzwerk, in dem es gehostet wird, nicht zu langsam ist und mit der optimalen Leistung arbeitet. Außerdem sollte überprüft werden, ob der Server ADFS über die ausreichende CPU und den ausreichenden Arbeitsspeicher verfügt, die für die Ausführung des ADFS-Dienstes erforderlich sind, sodass die Sendezeit nicht beeinträchtigt wird.
Dies ist nur auf ADFS beschränkt, was ist also mit den Anwendungen, die die ADFS-Dienste tatsächlich für IAM-Zwecke nutzen? Hier kommt die synthetische Überwachung ins Spiel.
Synthetische Überwachung
Synthetische Überwachung ist der Ansatz, mit dem Anwendungen überwacht werden können, indem Benutzer simuliert werden. Dies bietet Informationen wie Verfügbarkeits-, Verfügbarkeits- und Leistungsmetriken und kann kritische Transaktionen innerhalb der Anwendung überwachen. Synthetische Überwachung gibt es schon seit der Erstellung des Webs, aber jetzt, da es deutlich mehr Webanwendungen gibt, auf die sich große und kleine Organisationen verlassen, um Umsatz zu generieren, ist es entscheidend, diese Webanwendungen kontinuierlich auf Verfügbarkeit, Verfügbarkeit und Leistung zu überwachen. Und nicht nur das, Kunden können heute überall auf der Welt lokalisiert werden, so ist es auch unerlässlich, die Leistung von verschiedenen geografischen Standorten aus zu überwachen.
Wenn wir IAM-Systeme in Anwendungen verwenden, verwendet die Anwendung APIs, um eine Verbindung mit den Identitätsanbietern herzustellen, und kommuniziert mit ihnen über Browser. Die gesamte Interaktion zwischen Anwendung und IAM kann mit synthetischer Überwachung aufgezeichnet und analysiert werden. Die Überwachungslösung kann aus benutzerdefinierten Skripts und Serveraufrufen bestehen, die in regelmäßigen Abständen von einem einzelnen zugewiesenen Browser oder mehreren Browsern von verschiedenen geografischen Standorten aus ausgeführt werden, um ein besseres Verständnis für Leistung und Verfügbarkeit auf globaler Ebene zu erhalten.
Synthetische Überwachung von Dotcom-Monitor
Dotcom-Monitor bietet verschiedene Lösungen und Funktionen, die den Benutzer bei der Überwachung ihrer wichtigsten Websites und Anwendungen unterstützen. Funktionen wie der EveryStep Web Recorder, konfigurierbare Warnungen, Echtzeitberichte und Integrationen von Drittanbietern und vieles mehr bieten Benutzern die Tools und Informationen, die sie benötigen, um sicherzustellen, dass ihre Anwendungen reibungslos funktionieren.
- Schnelle Lösungen für Leistungsprobleme: Durch die Verwendung des EveryStep Web Recorderskönnen Probleme mit der Leistung von Webanwendungen schnell erkannt werden. Für Anwendungen, die ADFS verwenden, kann dieses Tool Skripts für Benutzerschritte aufzeichnen, wenn ein Benutzer versucht, sich mit SSO anzumelden, oder auf dem Bildschirm, auf dem das OAuth-Token von ADFS gesendet wird, und es zum Überwachen der Webanwendungen verwenden. Sobald die aufgezeichneten Skripte bereit sind und in die Plattform hochgeladen wurden, können Sie verschiedene Schwellenwerte festlegen, für die Benachrichtigungen empfangen werden sollen. Detaillierter Bericht über das Problem kann mit Screenshots und Videos des Fehlers erstellt werden, z. B. wenn der Benutzerauthentifizierungsdienst ausfällt usw., was der Organisation helfen kann, schnell zu handeln, um das Problem zu beheben, bevor andere Benutzer mit dem gleichen Problem konfrontiert werden.
- Warnungen: Sie können benutzerdefinierte Benachrichtigungsgruppen mit verschiedenen Arten von Warnmechanismen erstellen und konfigurieren. Details können überprüft und überprüft werden. Wenn etwas schief geht, kann es den Fehler identifizieren und Warnungen an die erforderlichen Personen oder Teams senden, um sie über das Problem zu informieren. Warnungen können gesendet werden, wenn die Anwendung ausfällt oder wenn Benutzer sich nicht wiederholt authentifizieren. Durch die proaktive Überwachung Ihrer Anwendungen stellen Sie sicher, dass die Auswirkungen auf die Benutzer minimal sind.
- Berichterstattung: Gewinnen von Transparenz und Wissen über Benutzeraktionen. Die Plattform kann verschiedene Arten von Berichten generieren, die eine Fülle von Leistungsdaten enthalten, z. B. Ausfall-/Betriebszeitprozentsätze,Standardabweichung der Reaktionszeit, durchschnittliche Antwortzeiten, Erfolge/Fehler und vieles mehr.
- Überprüfen von SLAs: Neben Leistungsdashboards und Warnungen kann die Plattform auch Berichte bereitstellen, um SLAs von IAM-Systemen zu validieren. Beispielsweise behaupten verschiedene IAMs, dass ihre SLAs ausstehend sind, aber wie können die Organisationen einfach darauf vertrauen, ohne dies zu überprüfen? Die einfache Antwort ist, dass Dotcom-Monitor dies für die Organisationen tun kann, indem detaillierte SLA-Berichte erstellt werden, um den genauen Verfügbarkeitsprozentsatz von IAM-Systemen anzuzeigen. Dotcom-Monitor ist so eingerichtet, dass es die Verpflichtungen, die Dienstleister in ihren SLAs eingehen, überwacht und darüber berichtet.
Fazit: Überwachen von Anwendungen, die Azure ADFS verwenden
Azure ADFS bietet eine effektive Lösung für SSO und IAM, wodurch es Benutzern einer Organisation einfach wird, problemlos auf externe nützliche Anwendungen zuzugreifen. Daher ist es auf jeden Fall notwendig, Anwendungen zu überwachen, die ADFS für Authentifizierungszwecke verwenden, um sicherzustellen, dass die Anwendung hochverfügbar bleibt und die Organisation keine Verluste aufgrund eines Fehlers dieses Dienstes erleiden muss.
Testen Sie die vollständige Dotcom-Monitor Plattform 30 Tage lang kostenlos.