ADFS in der Praxis: Das Buch im Detail
Acht Teile, 42 Kapitel, rund 1.060 Seiten — Standardwerk zu Architektur, Betrieb, Sicherheit und MigrationDas Buch, das ich seit Jahren auf dem Schreibtisch haben wollte und nie gefunden habe — also schreibe ich es jetzt selbst. ADFS in der Praxis: Architektur, Betrieb, Absicherung, Migration nach Entra ID. Rund 1.060 Seiten, 42 Kapitel, acht Teile. Was drinsteht, für wen es geschrieben ist und warum gerade dieses Format — diese Seite gibt den Überblick im Detail.
Was das Buch ist
Es gibt eine Reihe englischsprachiger Bücher zu ADFS, die meisten davon veraltet, oberflächlich oder reine Microsoft-Doku-Übersetzungen. Im deutschsprachigen Raum gibt es schlicht nichts Vergleichbares zu dem Thema. Diese Lücke füllt das Buch — nicht als wissenschaftliche Abhandlung, sondern als Praxiswerkzeug für Identity-Architekten, Security-Engineers, Admins und Consultants, die ADFS heute betreiben oder ablösen müssen.
Drei Dinge zeichnen das Buch aus, die im Markt fehlen: Aktualität bis Windows Server 2022 mit dem aktuellen Stand der Hybrid-Integration, deutschsprachige Praxis statt Microsoft-Learn-Copypaste, und durchgehende Migrations-Perspektive — nicht ein Anhang am Ende, sondern als eigener Teil VII mit eigener Tiefe.
Acht Teile, 42 Kapitel — die Buchstruktur
Die acht Teile folgen dem Lebenszyklus, in dem du ADFS heute typischerweise begegnest: Vom Verstehen der Grundlagen über Aufbau und Betrieb, durch Sicherheit und Hybrid-Integration, bis zur kompletten Migrations-Strecke und einem Cookbook-Teil zum Nachschlagen.
Abb.: Die acht Teile mit Kapitelzahl, Seiten und Wörtern. Foundation (I-IV) für wer ADFS verstehen muss, Migration & Reference (V-VIII) für wer ablösen oder nachschlagen will.
Teil I — Grundlagen und Architektur
125 Seiten, fünf Kapitel. Der Einstieg für alle, die ADFS noch nicht im Detail kennen — oder die das Wissen auffrischen wollen, weil sie es Jahre nicht angefasst haben. Behandelt: State of the Federation, Claims-basierte Authentifizierung verstehen, der Protokoll-Zoo (SAML 2.0, WS-Federation, OAuth 2.0, OIDC), die ADFS-Architektur und die Komponenten von innen, sowie Tokens, Zertifikate und Signaturen als Vertrauensmodell.
Teil II — Planung, Installation, Betriebsmodell
133 Seiten, sechs Kapitel. Wie man eine ADFS-Farm sauber baut und betreibt. Farm-Planung und Sizing, Installation auf Windows Server 2019 und 2022, die Entscheidung zwischen WID und SQL Server als Konfigurations-Store, Hochverfügbarkeit und Load Balancing, Web Application Proxy in der DMZ, sowie Zertifikatsmanagement über den gesamten Lebenszyklus.
Teil III — Trusts, Claim Rules und Integrationen
139 Seiten, fünf Kapitel — mit dem dicksten Einzelkapitel des Buchs: 45 Seiten Claim Rule Language. Dazu: Relying Party Trusts richtig bauen, Claims Provider Trusts, Attribute Stores (AD, LDAP, SQL, Custom) und typische Integrationen mit SharePoint, M365 und SaaS-Apps.
Teil IV — Sicherheit und Identität
160 Seiten, fünf Kapitel — der umfangreichste Teil des Buchs. Authentifizierungsmethoden Primary und Additional, MFA-Integration mit Azure MFA und Drittanbieter-Lösungen, Tier-0-Härtung und HSM-Anbindung, Token-Signing-Schutz, Audit-Logging und SIEM-Anbindung, Golden-SAML-Schutz im Detail. Wer ein NIS2- oder BSI-Audit vor sich hat, findet hier alles, was er braucht.
Teil V — Hybrid mit Entra ID
84 Seiten, drei Kapitel. Die Brücke zwischen On-Prem und Cloud. Federation Trust mit Entra ID, Hybrid-Szenarien wie sie heute in deutschen Unternehmen wirklich aussehen, und Conditional Access als verbindendes Element zwischen ADFS-Welt und Cloud-Welt.
Teil VI — Monitoring, Troubleshooting, Betrieb
139 Seiten, fünf Kapitel. Wenn ADFS einmal läuft, kommt der Alltag. Eventlogs richtig lesen, SAML-Tokens zerlegen, Performance-Analyse und Sizing-Korrekturen, Backup und Recovery, plus den ADFS-Diagnostiker im Einsatz. Reichhaltig mit konkreten Fehlerbildern aus der Praxis.
Teil VII — Migration zu Entra ID
115 Seiten, vier Kapitel. Für viele Leser das wichtigste Kapitel des ganzen Buchs. Inventarisierung und Migrations-Readiness, Migration mit Entra Connect Health und PowerShell, Migrations-Runbooks und Muster-Szenarien, Parallelbetrieb und sauberer Cutover. Mit dem Begleitskript Get-ADFSMigrationReadiness.ps1, das die Bestandsaufnahme automatisiert.
Teil VIII — Referenz und Cookbooks
138 Seiten, vier Kapitel plus drei Anhänge. Der Nachschlage-Teil für den Alltag. Zehn typische Integrationen Step-by-Step, das Troubleshooting-Rezeptbuch, eine PowerShell-Referenz speziell für ADFS, und ein vollständiges Claim Rule Cookbook mit über 80 fertigen Regeln. Plus Glossar, Versionshistorie und kuratierter Tool-Sammlung im Anhang.
|
Info: Warum gerade diese acht Teile Die Struktur ist in über 20 Jahren Federation-Praxis entstanden. Die ersten vier Teile bauen das Fundament auf — wer hier nicht weiß, was er tut, kann auch keine Migration sauber durchziehen. Die Teile V bis VII bilden die Migrations-Klammer, die als Brücke zum bereits geplanten Entra-ID-Buch dient. Teil VIII ist das, was du nachschlägst, wenn das Wissen schon sitzt und du nur einen konkreten Befehl oder eine Claim Rule brauchst. |
|---|
Wer das Buch lesen sollte — und welche Teile primär
Das Buch ist nicht dafür gemacht, von vorne nach hinten gelesen zu werden. Wer es so liest, hat 1.060 Seiten ADFS-Stoff vor sich, und das ist nur etwas für Hardcore-Federation-Fans. Sinnvoller ist der gezielte Einstieg, abhängig davon, in welcher Situation du gerade steckst.
Abb.: Fünf typische Lese-Profile mit Schwerpunkten in den jeweiligen Buchteilen. Du musst nicht alles lesen — du musst nur wissen, wo dein Thema steht.
Identity-Architekten und Projektleiter mit Migrations-Auftrag
Primärer Schwerpunkt: Teil VII (Migration). Sehr relevant: Teil V (Hybrid), Teil VIII (Reference). Ergänzend zur Auffrischung: Teil I und Teil III. Wer den Migrationspfad strategisch plant, findet im Teil VII die Wellenmodelle, Cutover-Strategien und PowerShell-gestützten Inventar-Werkzeuge, die er braucht.
Security-Engineers, CISOs und Auditoren
Primärer Schwerpunkt: Teil IV (Sicherheit und Identität). Relevant: Teil VI (Monitoring) und Teil III (Trusts). Wer Token-Signing-Schutz, Tier-0-Trennung, Audit-Logging und Golden-SAML im Detail durchdringen muss — sei es für interne Sicherheits-Reviews oder externe Audits — findet im Teil IV das, was sonst über Dutzende Microsoft-Doku-Seiten verstreut ist.
ADFS-Admins und Operations-Teams
Primärer Schwerpunkt: Teil VI (Monitoring und Troubleshooting). Relevant: Teil II (Betrieb) und Teil VIII (Reference). Für alle, die eine produktive Farm betreiben und sie sauber durch die nächsten Jahre bringen müssen — mit fundiertem Troubleshooting-Wissen und einem PowerShell-Werkzeugkasten, der den Alltag erleichtert.
Identity-Architekten und Lead-Engineers
Primärer Schwerpunkt: Teil II (Architektur). Relevant: Teil I (Grundlagen) und Teil III (Trusts). Wer eine ADFS-Architektur neu entwirft oder eine bestehende refactored — Topologie, HV, WAP, Sizing, DR — findet hier die Entscheidungsgrundlagen mit konkreten Empfehlungen für unterschiedliche Größenklassen.
Consultants und Microsoft-Partner
Schwerpunkt: Teil VIII (Reference) als tägliches Nachschlagewerk. Daneben gleichmäßige Relevanz aller anderen Teile, weil das Beratungsfeld breit ist. Das Buch ist explizit auch dafür gemacht, an Kunden weitergegeben zu werden — viele Berater nutzen es als Begleitmaterial zu eigenen Projekten.
|
Praxis-Tipp: So liest du das Buch effektiv Wer eine Migration plant, fängt mit Teil VII Kapitel 35 an (Inventarisierung) und arbeitet sich rückwärts in die Teile, die er für die Bewertung der eigenen Umgebung braucht. Wer eine ADFS-Farm neu betreibt, fängt mit Teil II an und konsultiert Teil III nach Bedarf. Wer akut ein Problem hat, geht direkt ins Cookbook in Teil VIII. Das Buch ist so konstruiert, dass jeder Teil für sich stehen kann — du musst nicht von vorne anfangen. |
|---|
Wie ein typisches Kapitel aufgebaut ist
Jedes der 42 Kapitel folgt derselben Struktur. Das mag pedantisch klingen, hat aber einen handfesten Grund: Wer ein Kapitel kennt, kennt sie alle vom Aufbau her. Du musst dich nicht jedes Mal neu orientieren — egal ob du Kapitel 4 zum ersten Mal liest oder Kapitel 38 zum dritten Mal als Nachschlagewerk konsultierst.
Abb.: Sieben wiederkehrende Bausteine pro Kapitel und sechs Boxtypen für unterschiedliche Hinweise. Form folgt Funktion — jede Box trägt eine klare Bedeutung.
Die sieben Bausteine sind: ein Lead-In, der das Kapitel mit einer Pointe einleitet; ein strukturierter Hauptteil mit nummerierten Abschnitten, die durchsuchbar bleiben; echte SVG-Diagramme statt ASCII-Skizzen; lauffähige Code-Beispiele aus den Companion-Skripten; Praxis-Boxen mit Beispielfirmen-Szenarien; und ein „Was du mitnimmst“-Block am Ende mit drei bis fünf Bullet-Points, die die Quintessenz auf einen Blick liefern.
Die sechs Boxtypen tragen jeder eine klare Funktion: Info-Box für Hintergrund, Warnung-Box für Risiken, Praxis-Tipp-Box für konkrete Empfehlungen, Sarkasmus-Box für das, was Microsoft nicht sagt, Code-Box für PowerShell und Claim Rules, und Praxis-Beispiel-Box für die Szenarien aus den drei Beispielfirmen.
Drei Beispielfirmen, die durchgängig auftauchen
Statt abstrakter Beispiele „Ein Unternehmen mit 300 Usern“ arbeitet das Buch mit drei konkreten fiktiven Firmen, die in jedem Kapitel wieder auftauchen können: Musterwerk GmbH als mittelständischer Maschinenbauer mit gewachsener ADFS-Farm und 350 Usern, Sparfuchs & Partner als Steuerberatungs-Kanzlei mit 120 Usern und knappem Budget, und Trendforge Digital als SaaS-Anbieter mit 800 Usern und durchgängiger Cloud-Strategie. Du lernst die drei kennen — und plötzlich machen die Beispiele Sinn, weil du den Kontext kennst.
Was zum Buch dazugehört — Companion-Material
Das Buch allein wäre nur die halbe Miete. Identity-Themen entwickeln sich, Microsoft veröffentlicht Updates, und Best Practices wandern — was heute richtig ist, kann nächstes Jahr Geschichte sein. Deshalb steht hinter dem Buch ein wachsender Werkzeugkasten an Companion-Material.
Abb.: Buch, PowerShell-Skripte, Claim-Rule-Bibliothek und Online-Updates ergänzen sich gegenseitig. Das Buch ist die Wissensbasis, die anderen Bausteine halten sie aktuell.
PowerShell-Skripte
Zwei Hauptskripte werden als freie Downloads über GitHub bereitgestellt. Assess-ADFSFarm.ps1 macht einen vollständigen Health-Check der ganzen Farm und produziert einen HTML-Report mit Cross-References ins Buch — wenn das Skript ein Problem findet, weiß es genau, in welchem Kapitel die Erklärung steht. Get-ADFSMigrationReadiness.ps1 macht das gleiche für die Migrations-Bewertung pro Relying Party. Beide Skripte folgen dem Muster, das schon beim Angriffsbuch funktioniert hat: nicht versteckte kommerzielle Werkzeuge, sondern offene PowerShell-Module mit klar nachvollziehbarem Code.
Claim-Rule-Bibliothek
Über 80 fertige Claim Rules für typische Szenarien — Microsoft 365 Standard-Konfiguration, SharePoint 2019 und SharePoint Server Edition, SaaS-Anbindungen wie Salesforce, MFA-Erzwingung nach Bedingungen wie Netzwerk oder Gruppenmitgliedschaft. Alle copy-paste-fähig, alle kommentiert, alle aus echten Praxisfällen entstanden.
Online-Updates und Errata
Auf boddenberg.de wird eine laufende Errata-Liste geführt, neue Diagnose-Werkzeuge werden ergänzt, Microsoft-Updates mit Auswirkungen auf ADFS getrackt, und gelegentliche Migrations-Erfahrungsberichte aus der Praxis veröffentlicht. Wer das Buch gekauft hat, bekommt die Information über den Newsletter — und kann selbst eigene Erfahrungen einreichen, die dann in spätere Auflagen oder Online-Artikel einfließen können.
Stand der Produktion und Erscheinen
Das Buch befindet sich derzeit in der aktiven Produktion. Die Gliederung steht, die ersten Teile sind in Arbeit, die Companion-Skripte werden parallel entwickelt und getestet. Geplantes Erscheinen: 2026, über Ulrich Boddenberg Publishing, mit eigener ISBN und vollständig farbig gedruckt.
|
Hinweis: Was du jetzt schon erwarten darfst — und was nicht Das Buch ist noch nicht erschienen. Was du bekommen kannst: Information über Vorab-Kapitel, Leseprobe und Veröffentlichungstermin per Newsletter. Was du noch nicht bekommen kannst: das fertige Buch oder finale Kapitel im Detail. |
|---|
Position im Identity-Lehrwerk
Das ADFS-Buch ist als Schwesterband zum bereits in Arbeit befindlichen „Entra ID in der Praxis“ konzipiert. Beide Bücher decken zwei Welten ab, die sich in der Realität deutscher Unternehmen heute überlappen: ADFS als das, was tatsächlich noch läuft, und Entra ID als das, wohin es geht. Teil VII des ADFS-Buchs (Migration) und der entsprechende Hybrid-Teil im Entra-ID-Buch sind explizit als Brücke konstruiert — wer beide Bücher hat, hat den Identity-Stoff für Microsoft-Umgebungen vollständig durchdrungen.
Wer nur eines der beiden Bücher braucht, weil er entweder bereits cloud-only unterwegs ist oder definitiv on-prem bleibt, ist mit dem entsprechenden Einzelband ebenso gut bedient. Beide Bücher stehen für sich.
Vorab-Information per Newsletter
Wer informiert werden möchte, sobald Vorab-Kapitel oder eine Leseprobe verfügbar sind, kann sich in den Newsletter eintragen. Du bekommst:
- Ankündigung, sobald die Leseprobe (typischerweise erstes Kapitel jedes Teils) verfügbar ist
- Information zum Erscheinungstermin und zur Vorbestellung
- Frühzeitig Zugriff auf die Companion-Skripte, sobald sie veröffentlicht werden
- Gelegentliche Inhalte, die im Buch keinen Platz mehr fanden — Hintergrundgeschichten, ergänzende Tools, Update-Informationen
Kein Spam, keine Verkaufs-Mails, keine Drittnutzung der Adresse. Abmelden geht jederzeit mit einem Klick. Newsletter-Anmeldung über das Formular auf der Website oder direkt per E-Mail info@boddenberg.de .