近二十年来，微软都通过 Active Directory 联合身份验证服务（ADFS）实现企业身份在外网的扩展。2011年微软推出 Office 365，当时很多企业用户希望从 Active Directory（AD）的域内访问 Office 平台，因此 Office 365 的早期功能就包括为这类企业提供单点登录（SSO）。

要在AD中实现 SSO，就要将 Azure AD 连接到 ADFS 和本地 AD 提供的联合身份认证服务。微软一家独大时，使用 ADFS 作为 SSO 解决方案较为普遍，但在今天，AD 和单一的 Windows 环境不像过去那么常见，说明企业已经发现 ADFS 的局限性，最终会转向其他更好的身份和访问管理（IAM）解决方案。

本文将讨论 ADFS 的主要问题，即维护成本高、配置复杂、安全风险高以及不支持部分硬件和异构环境。

ADFS 有哪些局限性？

微软推出 ADFS 时表示这一产品有希望成为企业环境中构建联合身份的基石。ADFS 也的确解决了联合身份的部分问题，比如让同一企业的用户可以通过企业 AD 的标准凭证访问合作伙伴的应用系统。

ADFS 也允许用户在远程办公时通过网页界面的 AD 凭证访问兼容 AD 的资源。而另一方面，ADFS 也带来了很多限制：

1）实施和维护成本高

严格来说，ADFS 是一种免费的解决方案，已经为 Windows Server 操作系统（OS）付费的用户不用再支付许可费用，特别是使用 Windows Server 但不想购买其他联合解决方案的企业。但为了实现 SSO 在企业外网的高可用性而设置本地 SSO 服务器又可能涉及其他的零碎成本，导致总成本和费用超支。

例如，除了初始配置和设置成本外，还必须考虑服务器成本。此外，ADFS 也需要一直维护，产生基础设施维护成本、SSL 证书成本以及多个身份联合的管理成本。ADFS 相关的时间、资源和预算等额外成本更是难以量化。

2）配置复杂

ADFS 的第二个限制在于要充分满足 SSO 需求需要多个硬件组件和应用，还需要大量的配置和维护。ADFS 包含三个硬件组件：

1）ADFS 服务器

2）联合身份验证服务代理：安装在 ADFS 服务器场和外部资源之间的服务

3）ADFS 配置数据库

这些组件都需要定制开发，和外部应用的 SSO 连接也需要投入大量时间来理解、部署、配置和维护。ADFS 作为本地解决方案还需要企业内部 IT 团队处理相关任务。

另外，ADFS 用于管理身份和身份验证策略的门户也不够人性化，导致应用或系统的添加费时费力。

3）针对 ADFS 服务器的安全威胁

ADFS 的第三个限制在于其安全风险，由于 ADFS 是连接企业网络和各种云服务（如 Office 365）的关键，而越来越多的企业都转向云方案，这就导致ADFS 成为攻击者的共同目标。虽然 ADFS 理论上是安全的，但很难正确实施，稍不留意就会遭到攻击。

最近就有攻击者开始利用伪造的 SAML 令牌在本地和基于云的设置中随意访问企业资源。“Golden SAML”就是其中一种，对于以 SAML 2.0 标准为 SSO 机制的服务，攻击者利用这一攻击就可以通过身份验证。

这类攻击频发的原因在于大多数 ADFS 配置都涉及多个服务器，通常用于负载平衡和 HA 功能。服务器的多个节点一般使用复制服务来共享和同步来自主服务器的令牌配置信息和 SSL 证书。这一复制过程就可能被攻击者利用，只需通过标准 HTTP 端口访问 ADFS 服务器并用域用户凭证对令牌签名证书解码就能窃取证书，这样一来只要访问企业网络就能实施“Golden SAML”攻击。

正是考虑到 ADFS 这一主要安全问题，许多企业开始从 ADFS 和 AD 迁移到现代云方案，在单一安全平台就能实现所需的全部功能。

4）不支持打印服务器共享或打印文件

Windows Server 文件共享和 AD 是本地用户访问共享驱动器和打印服务器的主要组件。而随着企业转向基于云的远程工作环境，员工需要将其工作驱动器和打印服务器转换为在线的共享文件夹。

管理云共享文件夹的安全策略应和 AD 在本地环境中实施的安全策略相同。虽然 ADFS 将身份服务扩展到企业外网，但不允许用户共享对文件和打印服务器的访问权限。

在缺乏基于 ADFS 的文件和打印共享机制的情况下，用户可能会寻求第三方的文件共享云方案，如 Dropbox 或 Google Drive。但这种方法也会导致很多问题：

企业数据究竟存储在哪里？
哪些用户有权访问企业数据？
用户会如何处理企业数据？

如果数据没有安全存储，ADFS 的这一问题可能会使企业同时面临内外部威胁以及违规行为的风险。

5）ADFS 不支持异构 IT 环境

显然，现代设备、应用和其他 IT 资源共同改善了用户体验，提高了生产力，为企业带来了巨大好处。曾经以 Windows 系统为主导的 IT 环境已经演变成一个异构环境，现在许多 SaaS 应用还会在 Linux 和 macOS 平台上同时运行。

遗憾的是，ADFS 无法在本地部署此类资源并控制对资源的访问，极大地限制了可用的 IT 资源。这也解释了为什么许多现代企业都在从 ADFS 迁移到云方案，后者提供了完整的 IAM 功能以及几乎所有 IT 资源的 SSO 功能，非常适合当下的 IT 环境。

ADFS 问题的现代化解决方案

许多企业的 IT 环境保留了部分本地基础架构以及基于云的资源。因此需要一个灵活的 IAM 和 SSO 解决方案，在用户连接到所需的全部 IT 资源的同时实现完整的身份控制。

宁盾常被企业用作 AD 和 ADFS 的增强方案，提高 AD 在现代复杂 IT 环境下的扩展性，让 AD 更好用。

宁盾还可以帮助企业从 AD 向多云/混合云资源（如腾讯云、阿里云、华为云、AWS、Azure AD、Okta 等）迁移，不论是遗留应用还是为业务发展新增的业务，都能实现快速纳管，无需考虑 ADFS 产生的成本、运维问题。

关于ADFS的局限性，你了解多少？相关推荐

微软ADFS成本评估
云应用因其灵活性.可扩展性和低成本等优势在企业中广受欢迎.据统计,2021年企业平均使用110个软件即服务(SaaS)应用,换句话说用户必须分别登录110次. SaaS 云应用的高采用率以及对这类应用 ...
机器学习入门（01）— 感知机概念、实现、局限性以及多层感知机
1. 感知机概念下图是一个接收两个输入信号的感知机的例子. x1 . x2 是输入信号, y 是输出信号, w1 . w2 是权重( w 是 weight 的首字母).图中的 ○ 称为"神 ...
Exchange与ADFS单点登录 PART 2：部署和配置ADFS
在第一篇文章完了之后,我们就可以在我们的服务器上部署ADFS了,安装的方法很简单,直接在服务器管理器中添加功能角色即可,选择当前服务器并在服务器角色中选择ADFS. 完成之后我们需要对ADFS进行详细 ...
AI 能匹敌程序员了吗？OpenAI 新研究展示 NLP 大模型的局限性
作者:Ben Dickson 来源:数据实战派 Codex 在一篇新论文中,OpenAI 的研究人员展示了 Codex 的详细信息,它是一种生成软件源代码的深度学习模型. Codex 可以为 Open ...
什么限制了GNN的能力？首篇探究GNN普适性与局限性的论文出炉！
作者 | Andreas Loukas 译者 | 凯隐责编 | Jane 出品 | AI科技大本营(ID: rgznai100) [导读]GNN是目前机器学习领域的热门网络之一,肯多研究与技术分享相 ...
专访周志华、宋继强：高端AI人才要具备哪些素质？深度学习的局限性和未来？...
记者 | 非主流出品 | AI科技大本营 9 月 12 日,英特尔与南京大学宣布成立英特尔-南京大学人工智能联合研究中心,双方将在人工智能技术创新.人才培养以及生态建设方面进一步加强合作.英特尔中国 ...
周志华、宋继强谈如何培养高端AI人才，以及深度学习的局限性和未来
9 月 12 日,英特尔与南京大学宣布成立英特尔-南京大学人工智能联合研究中心,双方将在人工智能技术创新.人才培养以及生态建设方面进一步加强合作.英特尔中国研究院院长宋继强.南京大学人工智能学院院长周 ...
2D和3D机器视觉检测技术的优势和局限性
点击上方"小白学视觉",选择加"星标"或"置顶" 重磅干货,第一时间送达本文转自|新机器视觉机器视觉一般由工业光源,图像采集单元,图像处理 ...
计算机视觉的优点和局限性
点击上方"小白学视觉",选择加"星标"或"置顶" 重磅干货,第一时间送达计算机视觉是计算机科学的一个分支,它允许机器系统实时地查看.处理和 ...

关于ADFS的局限性，你了解多少？