Active Directory-Verbunddienste 2.0 öffnet Türen in die Cloud

Die neuen Microsoft Active Directory-Verbunddienste setzen neue Maßstäbe für Cloudsicherheit.

Jeffrey Schwartz

Microsoft Active Directory-Verbunddienste 2.0 (AD FS) vereinfacht die sichere Authentifizierung bei mehreren Systemen. Das gilt auch für das cloudbasierte Portfolio von Microsoft. Die erweiterte Interoperabilität von AD FS 2.0 ermöglicht zudem die Nutzung der gleichen sicheren Authentifizierung durch andere Cloudanbieter, die bereits Standardprotokolle unterstützen, wie beispielsweise Amazon.com Inc., Google Inc. und Salesforce.com Inc.

AD FS 2.0, früher „Geneva Server“ genannt, wurde im Mai veröffentlicht. Diese lang erwartete Microsoft Active Directory-Erweiterung bietet interoperable und anspruchsbasierte verbundene Identitätsverwaltung. IT-Experten können AD FS 2.0 zu einer bestehenden AD-Bereitstellung hinzufügen, damit die Benutzer sich einmal bei Active Directory anmelden und ihre Anmeldeinformationen anschließend zur Anmeldung bei beliebigen anderen Systemen oder Anwendungen, die Ansprüche unterstützen, verwenden können.

„Im Grunde rationalisieren wir die Funktionsweise für den Zugriff und beispielsweise das einmalige Anmelden vor Ort in der Cloud“, so John „J.G.“ Chirapurath, Senior Director der Microsoft Identity and Security Business Group.

Anders als in der ersten Version unterstützt AD FS 2.0 den weitverbreiteten SAML-Standard 2.0 (Security Assertion Markup Language). Viele Drittanbieter von Clouddiensten verwenden SAML 2.0-basierte Authentifizierung. Im Hinblick auf Interoperabilität mit anderen Anwendungen und Clouddiensten handelt es sich daher um eine Schlüsselkomponente.

„Wir betrachten die verbund- und anspruchsbasierte Authentifizierung und Autorisierung als kritische Komponenten für den Erfolg und die Annahme von cloudbasierten Diensten“, sagt Kevin von Keyserling, President und CEO von Certified Security Solutions Inc. (CSS), Systemintegrator und Microsoft Gold Certified Partner mit Sitz in Independence, Ohio, USA.

AD FS 2.0 beseitigt nicht unbedingt alle Sicherheitsprobleme, die die Übertragung traditioneller Systeme und Daten in die Cloud mit sich bringt, aber AD FS räumt auf jeden Fall eine wichtige Hürde aus dem Weg. Dies gilt insbesondere für Anwendungen wie SharePoint und sicherlich für das gesamte Spektrum an Anwendungen. Viele Unternehmen haben sich aufgrund von Sicherheitsbedenken und mangelnder Authentifizierungskontrolle zurückhaltend zur Verwendung von Clouddiensten wie beispielsweise Windows Azure geäußert.

„Sicherheitsaspekte, insbesondere Identitäten und die Verwaltung dieser Identitäten, bilden vielleicht das einzige große Hindernis auf dem Weg in das Paradies des Cloud Computing“, meint Chirapurath. „E-Mail führte zur explosionsartigen Verwendung von Active Directory. Die Active Directory-Verbunddienste werden dasselbe für die Cloud leisten.“

AD FS 2.0 kann leicht in Anwendungen integriert werden, die in Windows Azure ausgeführt werden. Dadurch können Unternehmen anspruchsbasierte digitale Token oder Identitätsauswahloptionen verwenden, die sowohl mit Windows Server 2008 als auch den cloudbasierten Microsoft-Diensten funktionieren und hybride Cloudnetzwerke ermöglichen. Ziel ist eine nahtlose Authentifizierung der Benutzer in Windows Server oder Windows Azure und die Weitergabe dieser Anmeldeinformationen an Anwendungen, die ein SAML 2.0-basiertes Token akzeptieren können.

Microsoft WIF (Windows Identity Foundation) ermöglicht Entwicklern die identitätsabhängige Erstellung ihrer .NET-Anwendungen.

WIF stellt das zugrunde liegende Framework des anspruchsbasierten Microsoft-Identitätsmodells bereit. Bei einer Implementierung in Microsoft .NET Framework verfügen mit WIF entwickelte Anwendungen über Authentifizierungsschemata, beispielsweise Identifikationsattribute, Rollen, Gruppen und Richtlinien, zusammen mit einer Möglichkeit zur Verwaltung dieser Ansprüche. Auch von Unternehmensentwicklern und ISVs auf Basis von WIF erstellte Anwendungen können diese Ansprüche akzeptieren.

Die Pass-Through-Verbundauthentifizierung in AD FS 2.0 wird durch das Akzeptieren von Tokens aktiviert, die auf WSFED-Standards (Web Services Federation), WS-Trust- und SAML-Standards basieren. Microsoft hatte sich bereits lange Zeit für WSFED eingesetzt, unterstützt die weiter verbreitete SAML-Spezifikation jedoch erst seit 18 Monaten.

Cloud für eine Bank

Danny Kim, CTO des Bostoner Microsoft Gold Certified Partners FullArmor Corp., hat Belastungstests von AD FS 2.0 ausgeführt. Er hat bereits wichtige Kunden, die AD FS 2.0 verwenden möchten, um Systeme in der Cloud bereitzustellen.

„AD FS 2.0 übernimmt die Verknüpfung von Identitäten zurück in unseren Serverspeicher und unsere cloudbasierten Dienste, und wir haben eine Version, die für all diese Umgebungen funktioniert“, so Kim.

Laut Kim gehört eine große New Yorker Investmentbank zu den Kunden, die einen umgehenden Rollout anstreben, damit die Benutzer sich bei Anwendungen authentifizieren können, die auf FullArmor Windows Azure-basierten Systemen gehostet werden.

„Es handelt sich hierbei um ein sicherheitsbewusstes Unternehmen, das erklärt hatte, diese Dienste erst dann in der Cloud bereitzustellen, wenn die Sicherheit gewährleistet ist“, erläutert Kim. Er fügt hinzu, dass die Bank gleichzeitig beabsichtigt, keine Server mehr zu kaufen und auszuführen, sobald der Schritt in die Cloud sicher ist. „AD FS 2.0 ordnet das Benutzertoken in AD zu. AD übernimmt die Weiterleitung an andere AD FS 2.0-fähige Systeme“, erklärt Kim.

Bei Microsoft hält man es für ebenso wichtig, dass jetzt auch Microsoft diese Ansprüche an jedes SAML-basierte System weiterleiten kann. Microsoft hat über die Liberty Alliance, eine Organisation für Standards, die Spezifikationen für Identitätsverwaltung beaufsichtigt, Interoperabilitätstests mit anderen Anbietern ausgeführt.

„Wir haben uns mit einer Gruppe von Anbietern getroffen. Sie testeten die SAML-Protokollimplementierung und stellten deren Konformität für eine ganze Reihe von Testfällen fest“, sagte Matt Steele, Senior Program Manager im Microsoft-AD FS-Team, in einem Microsoft Channel 9-Video nach der Veröffentlichung des AD FS-Release Candidate. „Wir können daher mitteilen, wie wir es immer beabsichtigt haben, dass AD FS 2.0 das SAML-Protokoll implementiert und wir für all diese Anbieter und Testfälle Interoperabilität festgestellt haben.“

Werden die Implementierungen die Tests bestätigen?

Trotzdem meinen manche, dass Microsoft möglicherweise zu viel verspricht. Beispielsweise müsse sich erst noch zeigen, wie kompatibel SAML-Token mit von anderen Anbieterplattformen bereitgestellten Token sind, meint Patrick Harding, CTO beim Unternehmen Ping Identity Corp., das einen eigenen, mehrere Plattformen unterstützenden Server für einmaliges Anmelden anbietet.

„Wir haben mit SAML ungefähr vier Jahre Erfahrung“, sagt Harding, dessen Unternehmen sowohl ein Mitbewerber als auch ein Partner von Microsoft ist. „Wir wissen sehr gut, dass SAML unter Testbedingungen und SAML in der Praxis ausgesprochen unterschiedlich sein können. Dies gilt besonders, wenn viele SaaS-Anbieter [„Software als Dienst“] ins Spiel kommen, die ihre eigenen SAML-Implementierungen schreiben, bei denen es immer kleine Unterschiede gibt.“

Harding stellt auch die Frage, wie rasch WIF von der .NET-Entwicklergemeinde angenommen wird. „WIF ist eine gute Idee. Die Entwickler müssen für WIF aber ein vollständig neues Paradigma und ein vollständig neues Entwicklungsframework von Anfang an erlernen, um ihre Anwendungen wie erforderlich in AD FS zu integrieren“, meint Harding.

Dieser Aussage widerspricht allerdings Kim. „Für Entwickler, die mit der .NET-Umgebung vertraut sind, gibt es meiner Meinung nach keine spürbar hohe Lernkurve“, kommentiert er.

Quest entwickelt bekannte Entwicklungstools, die die Lernkurve weiter reduzieren. Sotnikov hat einen weiteren Vorteil entdeckt: „Bei manchen Tools und Cloudplattformen können wir unseren vorhandenen C++- und C#-Code nicht mehr nutzen. Bei dieser Lösung ist es möglich, bis zu 50 Prozent unseres vorhandenen Codes wiederzuverwenden.“  

Abgesehen von solchen Problemen räumt Harding ein, dass die Veröffentlichung von AD FS 2.0 wahrscheinlich den Weg für neue Cloud Computing-Initiativen ebnen wird. „AD FS 2.0 ist ein wichtiger Schritt, denn es bestätigt die Wichtigkeit der verbundenen Identitätsverwaltung. ADFS 2.0 wird zur Pflichtausstattung für Cloud Computing und den Einsatz von SaaS werden“, sagt Harding. „Alle fahren im Kielwasser von Microsoft, und hierdurch werden viele die Tatsache akzeptieren, dass es den Verbund wirklich gibt.“

Ungewisse Zukunft für Informationskarten

Nur Tage vor der Veröffentlichung von AD FS 2.0 hat Microsoft die nächste Version von CardSpace, seiner Identitätsauswahl für Informationskarten, gestoppt. In der neuen Version, CardSpace 2.0, sollte eine gemeinsame Benutzeroberfläche zur Verwaltung mehrerer Anmeldungen bereitgestellt werden. CardSpace 2.0, seit letztem Jahr als Betaversion, unterstützt AD FS 2.0 und WIF. Als Brücke für die Betatester von CardSpace 2.0 hat Microsoft vor Kurzem eine CTP-Version (Community Technology Preview) eines Add-Ons für AD FS 2.0 veröffentlicht, durch das Windows Server Informationskarten ausgeben kann.

„Der Bereich Informationskartenspeicher ist in Bewegung. Das gilt insbesondere in Bezug auf Kryptografietechnologien wie die U-Prove-Technologie, die wir auf der RSA-Konferenz eingeführt haben“, sagt Joel Sider, Senior Product Manager der Forefront Security-Gruppe bei Microsoft. „Zudem gibt es neue Standards wie OpenID. Wir möchten einige dieser neuen Trends berücksichtigen.“

Hier stellt sich die Frage: Wird CardSpace 2.0 veröffentlicht werden? „Informationskarten werden sicherlich unterstützt. Unser Engagement für Informationskarten ist aktuell und intakt“, sagt Sider. Microsoft nennt keinen Zeitpunkt für die Aktualisierung seiner Pläne für CardSpace 2.0, aber einige fragen sich, ob die Technologie eine Zukunft hat.

Laut Harding ist das ungewisse Schicksal von CardSpace 2.0 „angesichts der begrenzten Akzeptanz keine Überraschung. Leider hat dies auch alle Menschen und Unternehmen sehr verärgert, die auf Drängen von Microsoft in das InfoCard-Modell investiert haben.“

Die Verschiebung des Plans wurde aber Anfang März dieses Jahres auf die eine oder andere Weise unvermeidlich, als Scott Charney, Microsoft Corporate Vice President von Trustworthy Computing, auf der jährlichen RSA-Konferenz in San Francisco die CTP-Version der U-Prove-Technologie des Unternehmens herausbrachte. Das Produkt U-Prove konzentriert sich auf die Ausstellung digitaler Token und ermöglicht hierdurch den Benutzern die Kontrolle über den Umfang der Informationen, die der Empfänger des Tokens erhält.

Wird U-Prove mit AD FS 2.0 verwendet, können die Benutzer einen Verbund von Identitäten über vertrauenswürdige Domänen hinweg herstellen. Für die U-Prove-Veröffentlichung gilt Microsofts OSP (Open Specification Promise). Microsoft hat zudem zwei Referenztoolkits zum Implementieren der Algorithmen unter der FreeBSD-Lizenz zur Verfügung gestellt. Darüber hinaus hat Microsoft unter seinem OSP eine zweite Spezifikation veröffentlicht, um U-Prove in Open-Source-Identitätsauswahloptionen zu integrieren. Die Resonanz darauf, nämlich ob die .NET- und Open-Source-Communitys U-Prove begrüßen, bleibt abzuwarten.

Übergang zur Cloud

Bei zahlreichen Windows-IT-Spezialisten und Sicherheitsexperten herrscht im Hinblick auf AD FS 2.0 optimistische Stimmung. Von Keyserling vom Unternehmen CSS gehört zu denen, die der Meinung sind, dass AD FS 2.0 eine Schlüsselrolle bei der Bereitstellung verbesserter Cloudsicherheit spielen wird.

„Wir haben mit sehr großen, globalen Unternehmen zusammengearbeitet und diese bei der Erstellung von Verbundmodellen unterstützt, die den Übergang zur Cloud-Computing-Umgebung erleichtern“, sagt von Keyserling. „Die Fähigkeit zur Unterstützung der Identitätsverwaltung über Organisationen hinweg, die separate Identitäten sind, wird erweitert.“

Von Keyserling erläutert dies anhand eines Beispiels: Wenn CSS und ein Kunde die Zusammenarbeit auf einem entweder lokal über einen gemeinsamen Serverpool oder in der Cloud gehosteten System beabsichtigten, könnten die zwei Organisationen tatsächlich ihre Dienste zu einem Verbund zusammenschließen, um für beide die Verwaltung der Identitäten der eigenen Mitarbeiter zu vereinfachen.

„Wenn die bestehende Identitätsinfrastruktur verwendet und in der Cloud angewendet wird, von Microsoft oder über SharePoint gehostet, steht aus unserer Sicht die Identität im Zentrum der Sicherheit und spielt im Hinblick auf die Gesamtsicherheit der Cloud eine äußerst wichtige Rolle“, fügt er hinzu.

Chirapurath sieht dies als Schwerpunkt bei Microsoft. „Wenn man die Identität betrachtet, ist sie wirklich der Schlüssel, da sie Personen und deren Befugnisse identifiziert“, sagt Chirapurath. „Viele der Herausforderungen an das Cloud Computing finden sich im Bereich der Identität. AD FS ermöglicht Ihnen, diese lokalen Identitäten an die Cloud weiterzugeben. Dabei kann es sich um Windows Azure oder jede andere Cloud handeln, die SAML oder [die WS-Standards] unterstützt. Sie können so die bestehenden Investitionen in das lokale Active Directory nutzen und diese Identitäten für das Cloud Computing verwenden.“

Implementierung von AD FS 2.0

Laut Microsoft kann AD FS 2.0 auf AD implementiert werden, ohne dass Schemaerweiterungen erforderlich sind. Die Installation muss auf Windows Server 2008 oder 2008 R2 durchgeführt werden.  

Microsoft hofft außerdem, dass Windows-Unternehmen die neue FIM 2010-Plattform (Forefront Identity Manager) akzeptieren werden, die im März veröffentlicht wurde. FIM ist ein Repository, das Identitäten, Zugriffsrechte und Anmeldeinformationen sowie die dazugehörigen Richtlinien verwaltet. Mit FIM können IT-Manager darüber hinaus Identitäten über eine SharePoint-basierte Verwaltungskonsole administrieren.

Viele Probleme im Bereich der Cloudsicherheit könnten maßgebliche Hindernisse für die Bereitstellung von Anwendungen in der Cloud sein. Dazu zählen unter anderem Konformität, Datenintegrität und die Auswirkungen der Mehrinstanzenfähigkeit.

In Bezug auf die Identitätsverwaltung haben Microsoft und andere allerdings wichtige Schritte zur Verbesserung der Infrastruktur für die Weiterleitung von gemeinsamen Identitäten unternommen. Dennoch verbleibt Arbeit auf der Clientseite. Mit AD FS 2.0 können Unternehmen, die die Verwendung von Clouddiensten in Betracht ziehen, trotzdem vom Hinzufügen des kostenlosen Upgrades zu Windows Server profitieren.

„Die Endbenutzer können in der Cloud genauso arbeiten, als ob sie sich im eigenen Netzwerk befinden würden. Das ist einer der Vorteile bzw. Anreize für diese großen Unternehmen, die Verbunddienste anzunehmen und zu erweitern“, sagt von Keyserling. „Sie stellen Clouddienste bereit, ohne dass Unterbrechungen zum Zurücksetzen von Kennwörtern und zum Verwalten von Anmeldeinformationen erforderlich sind. Die Unternehmen können sich dadurch auf ihre Geschäftsstrategie konzentrieren, anstatt ihre Aufmerksamkeit auf die täglichen Verarbeitungsnuancen bei Sicherheitsproblemen zu richten.“

Jeffrey Schwartz (jschwartz@1105media.com) Editor at Large für das Redmond Magazin.

Am Rande: wichtige Bezeichnungen

• Active Directory-Verbunddienste (AD FS) 2.0: Eine Active Directory-Erweiterung, die nahtlose, anspruchsbasierte verbundene Identitätsverwaltung
• für Windows Server, Windows Azure und andere Clouddienste und -anwendungen ermöglicht.
• SAML 2.0 (Security Assertion Markup Language): Der weit verbreitete XML-Standard für den Identitätsaustausch zwischen Sicherheitsdomänen ist jetzt in AD FS 2.0 integriert.
• WSFED (Web Services Federation): WS-Federation ist die Kernspezifikation, auf der AD FS ursprünglich erstellt wurde. Da SAML zum Standard wurde, hat Microsoft im neuen Release Unterstützung für diesen Standard hinzugefügt.
• WIF (Windows Identity Foundation): WIF stellt das zugrunde liegende Framework des anspruchsbasierten Microsoft-Identitätsmodells bereit. Bei einer Implementierung in Microsoft .NET Framework verfügen Anwendungen über Authentifizierungsschemata wie Identifikationsattribute, Rollen, Gruppen und Richtlinien sowie über die Möglichkeit zur Verwaltung dieser Ansprüche als Token. Von Unternehmensentwicklern und ISVs auf Basis von WIF erstellte Anwendungen können diese Ansprüche akzeptieren.
• CardSpace v1: eine Komponente im Microsoft .NET Framework, welche die in Windows 7 und Windows Vista vorhandenen Identitätsauswahloptionen bereitstellt.
• U-Prove:  Dieses Produkt konzentriert sich auf die Ausstellung digitaler Token und ermöglicht hierdurch den Benutzern die Kontrolle über den Umfang der Informationen, die der Empfänger des Tokens erhält. Wird U-Prove mit AD FS 2.0 verwendet, können die Benutzer einen Verbund von Identitäten über vertrauenswürdige Domänen hinweg herstellen. Im März wurde eine CTP-Version (Community Technology Preview) veröffentlicht.
• OpenID: der Standard zum Bereitstellen eines Bezeichners. OpenID wird von Microsoft, Google Inc., Yahoo! Inc., VeriSign Inc. und einer Reihe wichtiger Blogwebsites und Websites für soziale Netzwerke unterstützt.            

– J.S.

Verwandter Inhalt

• Verwenden von Active Directory Federation Services
• Verwalten von Active Directory-Benutzern mit ILM 2007
• PKI-Verbesserungen in Windows 7 und Windows Server 2008 R2