ADFS vs. Password Synch (part 4 – Final)

13 Aug

[su_note note_color=”#66ecff”]Στην σειρά των άρθρων ADFS vs. Password Sync θα παρουσιάσουμε αναλυτικά τις εναλλακτικές λύσεις με τις οποίες μπορεί να γίνει εφικτή η σύνδεση με μία ταυτότητα χρήστη (Single Sign On), στις υπηρεσίες που παρέχει η επιχείρηση είτε αυτές βρίσκονται στο εσωτερικό της δίκτυο (on premises) είτε φιλοξενούνται στο Cloud[/su_note]

ADFS vs. Password Synch

Περιγράψαμε αναλυτικά τις δύο εναλλακτικές λύσεις με τις οποίες γίνεται εφικτή η πρόσβαση τόσο στις υπηρεσίες που φιλοξενούνται στο εσωτερικό δίκτυο της επιχείρησης (On-Premises) όσο και σε εκείνες που παρέχονται από το υπολογιστικό νέφος (Cloud) με μία ταυτότητα χρήστη, η οποία είναι στις περισσότερες περιπτώσεις ένας συνδυασμός ονόματος χρήστη (username) και κωδικού πρόσβασης (password).

Οι δύο αυτές εναλλακτικές λύσεις ενώ παρέχουν την ίδια λειτουργικότητα, έχουν σημαντικές διαφορές τις οποίες θα εξετάσουμε στις παραγράφους που ακολουθούν

Πλεονεκτήματα ADFS

Single Sign On. Το σημαντικότερο ίσως πλεονέκτημα που έχει η υλοποίησης μιάς υποδομής Active Directory Federation Services, είναι ότι προσφέρει πραγματικά την δυνατότητα Single Sign On. Ο κάθε χειριστής συνδέεται στο υπολογιστή του χρησιμοποιώντας την ταυτότητα χρήστη που διαθέτει και στον υπολογιστή αποθηκεύεται ένα SSO token, δηλαδή ένα αποδεικτικό που πιστοποιεί την επιτυχή ταυτοποίηση. Αυτό το αποδεικτικό θα το «δείξει» ο υπολογιστής του χειριστή σε κάθε υπηρεσία στην οποία αυτός θα έχει πρόσβαση είτε αυτή βρίσκεται στο εσωτερικό δίκτυο είτε στο Cloud. Οπότε ο χειριστής θα βάλει μόνο μία φορά τα στοιχεία του.

Μεγαλύτερος έλεγχος στην πρόσβαση. Η ταυτοποίηση των χειριστών γίνεται στους Servers της επιχείρησης που υλοποιούν τις υπηρεσίες ADFS. Αυτό επιτρέπει στους διαχειριστές της υποδομής, μεγαλύτερο έλεγχο της πρόσβασης αφού μπορούν να απενεργοποιήσουν ταυτότητες χρήστη, μπορούν να περιορίσουν διευθύνσεις IPs από τις οποίες δέχονται αιτήματα πρόσβασης κ.λ.π.

Μειονεκτήματα ADFS

Προσθήκη εκτεταμένης υποδομής. Για την απρόσκοπτη λειτουργία των υπηρεσιών Active Directory Federation Services, απαραίτητη είναι η προσθήκη κατάλληλου αριθμού από Servers και συνδέσεων με το Internet έτσι ώστε η υποδομή να είναι συνεχούς λειτουργίας και υψηλής διαθεσιμότητας. Η προσθήκη αυτής της εκτεταμένης υποδομής στην υπάρχουσα υποδομή μιας επιχείρησης αποτελεί το μεγαλύτερο μειονέκτημα της ADFS υλοποίησης.

Προμήθεια SSL Certificates. Για την λειτουργία των ADFS υπηρεσιών απαραίτητη είναι η προμήθεια SSL πιστοποιητικών από δημόσιες αρχές έκδοσης πιστοποιητικών όπως είναι GeoTrust, η VeriSign κ.λ.π. δεν μπορούν δηλαδή να χρησιμοποιηθούν Self-Signed πιστοποιητικά. Απαραίτητη είναι και η τακτική ανανέωση αυτών των πιστοποιητικών ώστε να είναι πάντοτε εν ισχύ.

Διαχείριση και συντήρηση. Η εκτεταμένη υποδομή που προστίθεται αυξάνει το κόστος διαχείρισης και συντήρησης.

Πλεονεκτήματα Password Synch

Χρήση ενός μόνο Server. Για την λειτουργία του Windows Azure Active Directory tool με ενεργοποιημένη την υποστήριξη Password Synchronization χρειάζεται ένας μόνο Server, που θα λειτουργεί με την φιλοσοφία της ολοκληρωμένης συσκευής (appliance).

Μειονεκτήματα Password Synch

Simplified Sign On. O συγχρονισμός των κωδικών πρόσβασης προσφέρει την δυνατότητα σύνδεσης στις υπηρεσίες του Cloud με την ίδια ταυτότητα χρήστη, όμως η ταυτοποίηση θα γίνει από το Windows Azure Active Directory και θα απαιτήσει από τον χρήστη να ξαναδώσει τα στοιχεία του.

Επίλογος

Στην σειρά των άρθρων ADFS vs. Password Synch παρουσιάστηκαν αναλυτικά οι δύο εναλλακτικές λύσεις με τις οποίες μπορεί να γίνει εφικτή η σύνδεση με μία ταυτότητα χρήστη, στις υπηρεσίες που παρέχει η επιχείρηση είτε αυτές βρίσκονται στο εσωτερικό της δίκτυο είτε φιλοξενούνται στο Cloud και αναπτύχθηκαν τα πλεονεκτήματα και τα μειονεκτήματα της κάθε μιας.

Η κάθε επιχείρηση ανάλογα με τις ανάγκες και τις απαιτήσεις της μπορεί να χρησιμοποιήσει την μία ή την άλλη προσέγγιση και να έχει το επιθυμητό αποτέλεσμα.

Σε κάθε περίπτωση υλοποίησης πρέπει να προηγείται αναλυτικός και λεπτομερής σχεδιασμός.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.