より多くのアプリケーションがクラウドやオンライン サービスに移行するにつれて、ADFS やその他のフェデレーション ID テクノロジの使用が増加することがわかります。Active Directory に投資している組織は、所有コストが低いため、このソリューションに移行する可能性があります。
これは永続的なテクノロジであり、投資する価値がありますか (特に小規模 (50 人未満) の企業にとって)?
- ホステッド サービスを他の企業に提供することを計画している場合、またはそれらを自分で利用することを計画している場合、ADFS は、現在のセキュリティ インフラストラクチャを利用するためのかなり簡単な方法を提供します。
- 適切に実装されていれば、フェデレーション製品を別の製品に簡単に置き換えることができます。
これを積極的に利用している大手企業はありますか?
- 私が関わった政府機関は 1 つしか知りませんが、他にもあると確信しています。フェデレーテッド ID の性質上、誰が誰であるかを外部から特定することは困難です。
信頼できる発行者として自社の認証を他の誰かに提供してもらいたい場合、パートナーが STS を設定する可能性はどのくらいありますか? ここで多くのプッシュバックがあるでしょうか?これは構成の悪夢になってしまうのでしょうか?
- 構成は、ADFS の最も難しい部分です。ただし、信頼関係が構築され、ポリシーが作成されると、構成は引き継がれます。
- 他の企業は、ADFS をサポートするインフラストラクチャを用意するか、用意しないかのどちらかです。.NET アプリケーションでさえ、ADFS をサポートするには構成を変更する必要があり、フェデレーション ID モデルを完全にサポートするにはコードを変更する必要があります。パートナーがこれを実施していれば、あなたの STS を喜んで信頼してくれるでしょう。
- パートナーが現在インフラストラクチャを既に持っているか、計画している可能性があります。
これを実装するかどうかを決定する際に、他に注意すべき落とし穴はありますか?
- 私が直面した最も困難な問題は、アプリケーション開発者の慣習を変えることでした。
- アプリケーションは、Federation を中心に設計するか、Federation で後付けする必要があります。
- すべての ADFS アプリケーションからログアウトしない限り、ADFS アプリケーションからログアウトすることはできません。
- フェデレーション セッションの有効期限が切れたら、ユーザーをフェデレーション サービスに戻して新しいチケットを取得する必要があります。これを適切に処理しないと、投稿データが失われる可能性があります。