Active Directory Federation Services
Microsofts On-Premise-Dienst für Single Sign-On (SSO) und föderierte Authentifizierung über SAML 2.0 und WS-Federation — ein häufiges Angriffsziel in Unternehmensumgebungen.
Active Directory Federation Services (ADFS) ist ein von Microsoft entwickelter Identitätsdienst, der Single Sign-On (SSO) für Anwendungen innerhalb und außerhalb der eigenen Domäne ermöglicht. ADFS erweitert Active Directory um föderierte Authentifizierung: Benutzer melden sich einmal an ihrem AD an und erhalten über SAML 2.0 oder WS-Federation Zugriff auf Cloud-Anwendungen, Partnerportale und SaaS-Dienste — ohne separate Zugangsdaten. ADFS läuft als Rolle auf einem Windows Server und bildet damit eine kritische On-Premise-Komponente in der Authentifizierungskette.
Funktionsweise und Protokolle
ADFS arbeitet nach dem Claims-basierten Authentifizierungsmodell. Wenn ein Benutzer auf eine föderierte Anwendung zugreift, leitet diese den Benutzer an den ADFS-Server weiter. ADFS authentifiziert den Benutzer gegen das Active Directory, stellt ein signiertes SAML-Token aus und sendet es an die Anwendung zurück. Das Token enthält Claims — Aussagen über den Benutzer wie Name, Gruppenzugehörigkeit oder E-Mail-Adresse —, die die Anwendung für Autorisierungsentscheidungen nutzt.
Die beiden zentralen Protokolle sind SAML 2.0 (der branchenweite Standard für föderierte Authentifizierung) und WS-Federation (ein älteres Microsoft-Protokoll). Das Token-Signing-Zertifikat ist dabei das Herzstück der Vertrauenskette: Jede Anwendung, die dem ADFS-Server vertraut, akzeptiert Tokens, die mit diesem Zertifikat signiert sind.
Angriffsvektoren und Risiken
ADFS ist ein hochkritisches Angriffsziel, da die Kompromittierung eines einzigen ADFS-Servers den Zugriff auf sämtliche föderierten Anwendungen ermöglicht. Der gefährlichste Angriff ist Golden SAML: Ein Angreifer, der das Token-Signing-Zertifikat des ADFS-Servers extrahiert, kann beliebige SAML-Tokens fälschen und sich als jeder Benutzer ausgeben — einschließlich Global Admins in Cloud-Diensten. Dieser Angriff wurde durch CyberArk dokumentiert und erlangte durch den SolarWinds-Vorfall breite Bekanntheit.
Golden SAML ist besonders tückisch, weil gefälschte Tokens keine Spuren auf dem ADFS-Server hinterlassen und bestehende MFA-Kontrollen umgangen werden. Weitere Risiken sind der Diebstahl des DKM-Schlüssels (Distributed Key Manager) aus dem Active Directory, unzureichend geschützte ADFS-Server ohne Tier-0-Klassifizierung und veraltete, nicht rotierte Zertifikate. In der Praxis finden wir regelmäßig ADFS-Installationen, bei denen das Token-Signing-Zertifikat seit Jahren nicht rotiert wurde und der ADFS-Server zusätzliche Rollen wie Fileserver oder Print-Server hostet — eine Konfiguration, die das Risiko einer Kompromittierung erheblich erhöht.
Da ADFS den zentralen Vertrauensanker für alle föderierten Anwendungen bildet, reicht eine einzelne Schwachstelle auf dem Server aus, um die gesamte Cloud-Sicherheitsstrategie auszuhebeln. Dieser konzentrierte Risikopunkt macht ADFS zu einem der kritischsten Systeme in hybriden Microsoft-Umgebungen.
Härtung bei laufendem Betrieb
Solange ADFS noch im Einsatz ist, erfordert der Dienst konsequente Absicherung. ADFS-Server gehören in Tier 0 des Tiering-Modells und müssen wie Domain Controller behandelt werden: dedizierte Server, eingeschränkte administrative Zugänge, kein Internetzugriff und keine zusätzlichen Rollen. Das Token-Signing-Zertifikat sollte in einem Hardware Security Module (HSM) gespeichert und regelmäßig rotiert werden. MFA muss für alle externen Zugriffe erzwungen werden, und Conditional Access-Richtlinien sollten den Zugriff auf föderierte Anwendungen zusätzlich absichern.
Die Überwachung der ADFS-Eventlogs auf verdächtige Token-Anfragen ist essenziell, da Golden-SAML-Angriffe sonst unbemerkt bleiben.
Migration zu Entra ID
Microsoft empfiehlt die Migration von ADFS zu Microsoft Entra ID (ehemals Azure AD) und stellt dafür ein dediziertes ADFS-Migrationstool bereit. Entra ID bietet cloud-native Authentifizierung mit integrierten Zero-Trust-Funktionen wie Conditional Access, risikobasierter Authentifizierung und Token Protection — ohne die Angriffsfläche eines On-Premise-Servers. Die Migration reduziert die Infrastrukturkomplexität und eliminiert den ADFS-Server als Single Point of Compromise. Für Unternehmen mit hybriden Umgebungen übernimmt Entra ID die Föderationsrolle vollständig und macht ADFS überflüssig.
Relevanz für KMUs
ADFS findet sich in vielen mittelständischen Unternehmen, die Microsoft 365 oder andere Cloud-Dienste mit ihrem On-Premise-AD föderiert haben. Häufig laufen diese Server seit Jahren ohne spezifische Härtung, ohne Zertifikatsrotation und ohne dedizierte Überwachung — ein erhebliches Risiko angesichts der Angriffsszenarien. Die Migration zu Entra ID ist für die meisten KMUs der empfohlene Weg: Sie reduziert den Betriebsaufwand, eliminiert die On-Premise-Angriffsfläche und ermöglicht moderne Sicherheitsfunktionen wie Conditional Access ohne zusätzliche Infrastruktur. Ein strukturiertes Assessment identifiziert alle föderierten Anwendungen und definiert den Migrationspfad. Dabei zeigt sich häufig, dass nur eine Handvoll Anwendungen tatsächlich ADFS erfordert — der Rest lässt sich direkt über Entra ID föderieren, was den Migrationsaufwand deutlich reduziert.