Cuando hablamos de Single Sign On , lo primero que vino a la mente fue (o sigue siendo) la regla por defecto de sincronización de directorios + AD FS = SSO, la única cosa que ha cambiado es que la sincronización de directorios fue reemplazado por AD Conectar y esta combinación todavía se ve en la mayoría de los diseños de solución.
¿Pero realmente necesitamos tanto el ADFS hoy en día?
Cuando el AD Connect vino a reemplazar el DirSync, junto vinieron mejoras que sumadas a Azure AD podemos sacar bastante provecho y diseñar soluciones cada vez más "secas" y más seguras también. El discurso estándar cuando hablamos de los beneficios de la nube es que se puede dedicar su tiempo las cosas que son importantes para su negocio.
En base a este argumento, veo que ADFS se está quedando atrás cuando hablamos de escenarios donde el principal objetivo es sincronismo de usuarios y SSO, pues el AD Connect provee esa solución nativamente. Además, mantener una infraestructura de AD FS requiere una gran cantidad de gestión del personal de TI para mantener la redundancia y alta disponibilidad, ya que para un escenario simple que necesita al menos 2 AD FS + 2 Servidores WAP y / o multiplicar esta infraestructura para tener un sitio de recuperación para ese servicio, si no, si los servidores quedan indisponibles por algún motivo, nadie de la corporación tendrá acceso a los servicios de Office 365 o quedará varias horas esperando el servicio ser restablecido. Si decide cambiar el método de autenticación de federado a administrado como medida paliativa, también tendrá que esperar mucho tiempo hasta que la sincronización finalice.
Cuando el cliente opta por no sincronizar las contraseñas de los usuarios a la nube, no teníamos otra opción que ADFS. Sin embargo, actualmente AD Connect también cubre este requisito con la opción de sincronización Pass Through, de modo que las contraseñas se mantienen sólo en Active Directory local.
Hoy para un escenario donde el objetivo es tener el SSO para las aplicaciones de nube o aplicaciones locales publicadas por Azure Application Proxy ciertamente, salvo alguna excepción, yo recomendaría el AD Connect + Azure AD + Reglas Condicionales.
Un escenario optimizado, más fácil de manejar, menos costoso y mucha seguridad .
Las reglas condicionales AD Azure permiten imponer controles sobre el acceso a las aplicaciones en el entorno en base a las condiciones específicas en una ubicación central, pero eso es un tema para otro artículo.
¡Ah, yo me iba a olvidar! La funcionalidad que existía sólo a través de ADFS de bloquear usuarios basados en el horario de trabajo ya está en la vista previa en Azure AD y luego debe ser liberado al público
No hay comentarios.:
Publicar un comentario