Active Directory Federation Services (ADFS): Architektur, Einsatzszenarien und Hochverfügbarkeit

1 Was sind Active Directory Federation Services?

Active Directory Federation Services (ADFS) ist eine von Microsoft entwickelte Föderationsplattform, die Identitäten aus dem lokalen Active Directory über Sicherheitsgrenzen hinweg bereitstellt. Sie ermöglicht Single Sign On (SSO) für cloud-basierte oder externe Anwendungen über ein claims-basiertes Authentifizierungsmodell, das auf SAML, OAuth 2.0 oder OpenID Connect aufsetzt. Ein Web Application Proxy (WAP) exponiert den Dienst sicher ins Internet und ergänzt interne ADFS-Server um Reverse-Proxy-Funktionen.

2 Fünf typische Nutzungsszenarien

3 Hochverfügbarkeits­optionen

3.1 AD FS-Farm

• Mehrere AD FS-Server hinter Network Load Balancing (NLB) oder einem Hardware-/Software-Loadbalancer (z. B. Kemp LoadMaster). 
• Gemeinsame Konfigurationsdatenbank:
  • Windows Internal Database (bis ~30 000 Benutzer).
  • SQL Server Always On oder Failover-Cluster für Enterprise-Umgebungen. 

3.2 Web Application Proxy-Farm

Mehrere WAP-Server sichern externen Zugriff; sie werden ebenfalls per Loadbalancer oder Azure Application Gateway verteilt. 

3.3 Geo-Redundanz in Azure

Eine doppelte AD FS-Farm in zwei Azure-Regionen wird via Azure Traffic Manager angebunden. Fällt Region A aus, lenkt der Traffic Manager Benutzer transparent nach Region B um.

3.4 Disaster-Recovery-Checkliste

1. Skript-basierte Wiederherstellung der Service-Kommunikationszertifikate.
2. Replikation der SQL-Gruppe in zweites Rechenzentrum.
3. Automatisiertes Failover-Testing (mindestens vierteljährlich).

4 Best Practices für Konfiguration und Betrieb

1. Zertifikate sauber verwalten
   • Service-Kommunikationszertifikat (SSL) ≥ 2048 Bit, Laufzeit ≤ 398 Tage.
   • Token-Signatur- und -Verschlüsselungszertifikate turnusgemäß erneuern.
2. Sicherheits­härtung
   • WAP in DMZ platzieren, Pre-Authentication für veröffentlichte Applikationen aktivieren.
   • „Extended Protection“ und TLS 1.2 / 1.3 erzwingen. 
3. Claim-Regeln strukturieren
   • Standardisierung durch Vorlagen; Namenskonvention beispiel: c_[system]_[zweck].
   • Regeländerungen zuerst in Staging-Farm testen.
4. Monitoring & Logging
   • Windows Event IDs 1200–1203 auswerten (Token-Issuing).
   • Azure Monitor oder System Center Operations Manager zur SLA-Überwachung.
5. Lifecycle-Management
   • Regelmäßige Cumulative Updates installieren (mindestens vierteljährlich).
   • Proxy-Version synchron zum Back-End halten, beispielsweise Upgrade von WAP 2016 auf 2019.

5 Ihr Mehrwert durch einen erfahrenen Berater

Als langjähriger ADFS-Spezialist biete ich:

• Architektur-Review und Design-Workshops – maßgeschneiderte Topologien für Compliance- und Performance-Ziele.
• Implementierung & Migration – von Erstinstallation bis Hybrid-Azure-Einbindung inklusive Skripting (PowerShell) und Automatisierung.
• Hochverfügbarkeits-Konzeption – Lasttests, Failover-Szenarien, Azure-Traffic-Manager-Blueprints.
• Health-Checks & Troubleshooting – Analyse von AuthN-/-AuthZ-Problemen, Claim-Rule-Optimierung.
• Schulung & Wissenstransfer – praxisorientierte Workshops für Administratoren und Entwickler.

Fazit

Active Directory Federation Services bleibt trotz cloud-basierter Alternativen wie Azure AD eine unverzichtbare Technologie, wenn lokale Identitäten sicher und hochverfügbar im Web oder in hybriden Szenarien genutzt werden sollen. Mit durchdachter Hochverfügbarkeitsarchitektur, stringenter Sicherheits­härtung und klarem Lifecycle-Management sichert ADFS eine konsistente Benutzererfahrung sowie Compliance-Konformität. Ein erfahrener Berater stellt sicher, dass Ihr ADFS-Umfeld nicht nur funktioniert, sondern effizient, skalierbar und wartbar bleibt – und damit langfristig Ihre Investition schützt.

Weitere Beiträge zum Thema ADFS