Como funcionam os Serviços de federação do Active Directory (AD FS)

O que são Serviços de federação do Active Directory (AD FS)?

Os Serviços de federação do Active Directory (AD FS) são uma funcionalidade de single sign-on (SSO) desenvolvida pela Microsoft que fornece acesso autenticado a qualquer domínio, dispositivo, aplicação web e sistema dentro do Active Directory (AD) e sistemas externos aprovados da organização.

O AD FS é federado, ou seja, ele centraliza a identidade do usuário. Assim, todas as pessoas podem utilizar as credenciais do AD para acessar aplicações em uma rede corporativa ou fornecidas por fontes confiáveis fora da organização, como uma rede de nuvem, aplicação de software como serviço (SaaS) e outras extranets da empresa. Com o AD FS, os usuários também podem acessar aplicações integradas ao AD durante o trabalho remoto pela nuvem.

O objetivo do AD FS é simplificar a experiência do usuário e permitir que a organização adote políticas robustas de segurança. Com o AD FS, os usuários só precisam criar e memorizar uma única credencial online para acessar diversas aplicações, sistemas e ativos.

Como o AD FS funciona

O AD FS funciona assim como um típico SSO, autenticando a identidade do usuário e verificando os privilégios de acesso dele.

Verificação da identidade do usuário

O SSO do AD FS utiliza as informações encontradas no repositório de dados da empresa para confirmar a identidade do usuário. Para isso, são usados dois ou mais tipos de informação, como nome completo, número de funcionário, telefone, ID e endereço de e-mail.

Gerenciamento das declarações de usuários

O AD FS segue um modelo de autenticação baseado em declarações. Isso significa que o sistema produz um token seguro que contém os direitos de acesso (ou declarações) de cada usuário. Quando o usuário tenta acessar um sistema, o AD FS verifica a solicitação a comparando com uma lista de sistemas e aplicações que a pessoa em questão está autorizada a usar no AD ou Azure AD (agora conhecido como Entra ID). Essa verificação inclui os ativos internos da organização, além de sistemas de terceiros.

Confiança federada

A autenticação do AD FS em sistemas de terceiros é feita por meio de um serviço de proxy usado pelo Active Directory e por aplicações externas, em que são combinadas a identidade do usuário e a regra de declaração. Essa capacidade é conhecida como confiança federada ou de terceira parte. Com ela, o usuário não precisa autenticar a própria identidade com cada aplicação diretamente.

Processo de autenticação do AD FS

O processo de autenticação do AD FS tem cinco etapas básicas:

1. O usuário acessa um link associado ao serviço do AD FS e insere as credenciais.
2. O serviço do AD FS autentica a identidade do usuário.
3. A ferramenta do AD FS gera uma declaração de autenticação personalizada para o usuário, incluindo uma lista dos ativos que essa pessoa tem autorização para utilizar.
4. Se o usuário tentar acessar outras aplicações, o serviço do AD FS encaminhará essa declaração a elas.
5. A aplicação em questão autoriza ou nega a ação com base nos termos descritos na declaração.

Por que as organizações usam o AD FS

No dia a dia, os funcionários acessam centenas de aplicações para trabalhar. Por isso, é imprescindível ter uma ferramenta de autenticação e gerenciamento de identidades para garantir a segurança e eliminar a necessidade de autenticar separadamente o login em cada aplicação. Serviços de SSO como o AD FS oferecem muitos benefícios tanto para o usuário final quanto para a organização.

Benefícios do AD FS para o usuário final

• Simplicidade: com o AD FS, o usuário final pode usar um único conjunto de credenciais em diversas aplicações e sistemas internos e externos. Assim, eles não precisam mais criar e memorizar várias credenciais.
• Experiência de usuário aprimorada: os usuários podem alternar entre aplicações internas e externas com facilidade depois que o AD FS autentica a identidade deles. Com essa ferramenta de gerenciamento de identidades, o usuário não precisa mais inserir senhas ou interromper o fluxo do trabalho.
• Aumento da eficiência: o AD FS fornece acesso contínuo a várias aplicações web, sistemas e dispositivos. Para o usuário final, isso significa que ele pode passar de uma tarefa para outra com facilidade.

Por que usar o AD FS: benefícios para a organização

• Diminuição no suporte da TI: uma das solicitações mais comuns que o help desk recebe é a redefinição de senhas esquecidas, perdidas ou expiradas. Com o AD FS, o departamento de TI diminui o tempo gasto em problemas cotidianos relacionados a senhas e pode se concentrar no trabalho mais relevante. A TI também gasta menos tempo configurando as credenciais de novas contas.
• Desativação simplificada: no caso da saída de um funcionário, o AD FS proporciona um processo simples e eficiente de desativação para todos os serviços e ativos relacionados. Em vez de descredenciar cada conta separadamente (um processo demorado e suscetível a erros), a TI pode usar o AD FS para desativar o usuário e as declarações associadas.
• Eficiência organizacional: quando os funcionários são mais eficientes no trabalho, isso também se reflete na organização. O AD FS elimina o atrito da experiência de usuário dos funcionários, o que aumenta a produtividade.
• Segurança reforçada: o uso do AD FS diminui naturalmente a necessidade que o usuário final tem de reciclar senhas antigas, de utilizar a mesma senha em diferentes aplicações ou de anotar essas credenciais em algum lugar. Assim, é menos provável que adversários digitais usem uma senha vazada para acessar diversas contas associadas.

Limitações e desvantagens do AD FS

O AD FS tem diversas limitações e desvantagens importantes que as organizações precisam considerar como parte da estratégia de negócios.

Custo da infraestrutura: embora o AD FS esteja disponível no Windows Server como uma funcionalidade gratuita, ele exige uma licença do Windows Server e um servidor dedicado para funcionar.

Custos operacionais e de manutenção: além dos investimentos em infraestrutura como licenças e servidores, operar e manter o AD FS gera custos extras para a organização. Em especial, manter a confiança de terceira parte entre os domínios do AD e a aplicação externa exige conhecimento técnico aprofundado e o suporte do departamento de TI. Isso pode ficar ainda mais complicado no ambiente do Azure. O AD FS também gera altos custos de manutenção e operação relacionados ao upgrade da infraestrutura, gerenciamento de federação e investimentos em segurança, como os gastos com certificados Secure Sockets Layer (SSL).

Complexidade: embora o AD FS simplifique a experiência do usuário, ele normalmente é muito complicado de configurar, implementar e operar, ainda mais quando é na nuvem ou no Microsoft Azure. Para adicionar aplicações externas ao serviço, você precisa ter habilidades técnicas significativas. A ironia é que a experiência de usuário no AD FS não é intuitiva e precisa ser gerenciada por profissionais de TI altamente treinados.

Outras limitações do AD FS

• Não oferece suporte ao compartilhamento de arquivos entre usuários e grupos.
• Não oferece suporte a servidores de impressão.
• Não oferece suporte à maioria das conexões de área de trabalho remota.
• Não pode acessar os recursos do Active Directory.

Componentes e elementos de design do AD FS

Componentes do ADFS:

Entra ID (Azure AD): serviços de diretório proprietários da Microsoft usados por administradores de rede para atribuir e gerenciar privilégios de conta a todos os recursos da rede.

Servidor do AD FS: um servidor dedicado que mantém e armazena tokens de segurança e outros ativos de autenticação, como cookies.

Azure AD Connect: o módulo que conecta o Active Directory ao Azure AD, muito usado em implementações híbridas.

Servidor de federação: uma ferramenta de SSO que fornece serviços de autenticação e acesso a vários sistemas em diferentes empresas por meio de um token de segurança comum baseado no AD do host.

Proxy do servidor de federação: um gateway entre o AD e destinos externos que coordena as solicitações de acesso com o servidor de federação.

AD FS e identidade na nuvem

O AD FS não é a única ferramenta de SSO/federação disponível no mercado atualmente. Algumas organizações podem aproveitar as mesmas funcionalidades a um custo menor usando um serviço de identidade na nuvem de terceiros ou uma ferramenta de gerenciamento de identidades baseada na nuvem.

Os autenticadores de identidade na nuvem tendem a ser mais econômicos devido aos custos operacionais menores associados à nuvem. Essas ferramentas também podem ser integradas com perfeição a centenas de aplicações.

As organizações precisam trabalhar com seus parceiros de cibersegurança para determinar qual ferramenta de autenticação é ideal para os negócios.

AD FS e cibersegurança

Por conta da transição para o trabalho remoto e a dependência cada vez maior da nuvem, as empresas devem reconsiderar a maneira como elas autenticam os usuários e fornecem privilégios de acesso. Embora o AD FS ofereça acesso contínuo e eficiente, ele traz riscos de segurança que podem ser graves.

É importante trabalhar com o parceiro de cibersegurança para sempre monitorar e corrigir o AD FS e garantir que outros riscos de segurança também sejam considerados na estratégia de defesa.

A CrowdStrike recomenda as três práticas a seguir para organizações que querem usar o AD FS com segurança:

1. Unifique a visibilidade das florestas do AD no local e no Microsoft Azure: determine as falhas de segurança nas políticas de autenticação, funções de usuário, privilégios de acesso e contas humanas e de serviço. Além disso, identifique os desvios de acesso no local e no Microsoft Entra ID.
2. Reforce a segurança do AD com o acesso condicional: adote um conjunto de ferramentas de cibersegurança que avalia os riscos de maneira contínua com base no comportamento do usuário em relação a entidades como endpoints, servidores, aplicações, localizações, funções e grupos. A solução também precisa aplicar o acesso condicional no caso de anomalias. Isso evita o acesso de alto risco e elimina o atrito em acessos confiáveis.
3. Centralize a investigação e a resposta a incidentes: use uma solução de cibersegurança que possibilite a geração de relatórios completos sobre qualquer atividade suspeita ou anômala, incluindo registro de data e hora, atividade, fonte e destino.