.png)
Gestern wurde bei mir die Frage gestellt, ob es möglich ist mit ADFS eine Cross Domain Authentifizierung aufzubauen.
Szenario:
- Zwei verschiedene Windows-Domänen (A und B) ohne Vertrauenskonfiguration
- Der Netzwerkzugriff zwischen Domänen wird mit IPSec Site2Site hergestellt (alle Ports müssen separat geöffnet werden)
- Ein bestimmter Windows-Dienst auf einem Server in Domäne A muss zur Anmeldung ein AD-Konto aus Domäne B verwenden (Windows-Dienst -> Anmeldung -> Dieses Konto -> Konto aus Domäne B).
Unser Partner möchte aus Sicherheitsgründen kein Domänen-Trust aufbauen und fragt daher, ob wir diesen Authentifizierungsprozess über ADFS realisieren können?
ADFS ist ziemlich neu für mich und ich bin nicht sicher, ob dieses Szenario mit ADFS überhaupt möglich ist?
Antwort1
Dies ist ohne eine Domänenvertrauensstellung nicht möglich.
Mit ADFS können sich Anwendungen gegenüber AD (oder einem anderen Identitätsanbieter) authentifizieren, ohne direkt darauf zugreifen zu müssen. Die Anwendungen müssen diese Authentifizierungsmethode jedoch ausdrücklich unterstützen.
Die Windows-Anmeldung tut dies nicht.
Um sich bei einem Windows-System anzumelden, müssen Sie entweder:
- Melden Sie sich mit einem lokalen Benutzerkonto an
- Melden Sie sich mit einem Benutzerkonto in der Domäne an, der das System angehört.
- Melden Sie sich mit einem Benutzerkonto in einer vertrauenswürdigen Domäne an
Antwort2
Um die Antwort von @Massimo zu ergänzen: Wenn Sie den Windows-Dienst so ändern könnten, dass er OpenID Connect mit dem Client-Anmeldeinformationsfluss verwendet (also einen Dienst, keinen Benutzer, also keine explizite Anmeldung), würde dies funktionieren.
Die andere Möglichkeit besteht darin, dass der Dienst das altmodische WS-Trust, also WCF, verwendet.
Beide werden von ADFS unterstützt.