4.8 נושאים מתקדמים בדומיינים הרצאה

הADFS ו-ADCS: מה הם ואיך הם יכולים לעזור לנו?¶

בארגון שבו יש צורך בניהול זהויות, הרשאות, והגנה על מערכות, שני רכיבים חשובים שיכולים לעזור מאוד הם ADFS (Active Directory Federation Services) ו-ADCS (Active Directory Certificate Services). כל אחד מהם פותר בעיות קריטיות בתחום האבטחה, ניהול הזהויות, והחיבור בין מערכות שונות, ומשתמש בטכנולוגיות חזקות ומובילות בתחום זה. בהרצאה הזו נבחן כל אחד מהם, איך הם פועלים, כיצד הם משתלבים עם Active Directory, ואילו יתרונות הם מציעים לארגונים.

מה זה ADFS (Active Directory Federation Services)?¶

הADFS הוא פתרון מבית מיקרוסופט שמאפשר שיתוף של זהויות ואימות בין דומיינים שונים או בין מערכות חיצוניות בצורה מאובטחת. בעידן המודרני שבו ארגונים עובדים עם שירותים שונים בענן (כמו Office 365, Salesforce, ועוד) ועם מערכות צד שלישי, יש צורך במערכת שתוכל לאמת משתמשים בצורה מאובטחת גם אם הם לא נמצאים תחת אותו דומיין.

הADFS מאפשר אימות אחיד (Single Sign-On - SSO), כלומר מאפשר למשתמשים להתחבר פעם אחת עם שם משתמש וסיסמה ולגשת למספר שירותים ומערכות שונות ללא צורך בהזדהות מחדש.

איך ADFS עובד?¶

הADFS מבצע את האימות וההזדהות של המשתמש באמצעות תהליך שנקרא Federation (פדרציה). מדובר על קשרי אימות הדדים בין שני דומיינים או מערכות שונות, שבו האחד מאמת את הזהות של המשתמש ומשדר את המידע לדומיין השני או לשירות חיצוני.

השלב הראשון במערכת זו הוא שהמשתמש מבצע את ההתחברות למערכת אחת (למשל לדומיין הארגוני) באמצעות אמצעי האימות של ADFS. לאחר מכן, אם הוא רוצה לגשת לשירות חיצוני כמו Office 365, לא יהיה צורך להקליד סיסמה נוספת – השירות ישתמש בכרטיס האימות שהונפק על ידי ADFS.

הADFS משתמש בסטנדרטים של תקשורת כמו:

פרוטוקול SAML (Security Assertion Markup Language) – פרוטוקול שנמצא בשימוש נרחב להעברת אישורים בין שירותים.
פרוטוקול OAuth/OIDC (OpenID Connect) – פרוטוקולים מודרניים יותר המאפשרים שיתוף זהויות בין אפליקציות ושרתים בצורה מאובטחת.
פרוטוקול WS-Federation – פרוטוקול שצפוי להתממשק עם שירותים מבית מיקרוסופט.

היתרונות של ADFS:¶

אימות אחיד (SSO): ברגע שהמשתמש נכנס למערכת אחת (למשל Outlook), הוא לא צריך להזין סיסמה שוב במערכות נוספות (כגון SharePoint, Office 365 וכו').
אבטחה גבוהה יותר: כל מערכות האימות נשלטות במקום אחד, מה שמפשט את התהליך ומפחית טעויות.
שירותים חיצוניים: ADFS מאפשר לארגונים להגדיר שיתופי פעולה עם מערכות חיצוניות בצורה מאובטחת מבלי לחשוף את פרטי ההתחברות למערכות צד שלישי.

מה זה ADCS (Active Directory Certificate Services)?¶

הADCS הוא שירות של מיקרוסופט שמספק את כל המערך של ניהול תעודות דיגיטליות (Digital Certificates) עבור הארגון. הוא חלק מהתשתית הארגונית ומספק את כל הצרכים של הצפנה, אימות, וחתימה דיגיטלית. שירותים אלו חיוניים לארגונים שבהם יש צורך להגן על תקשורת רשת (כגון VPN, Wi-Fi, דואר אלקטרוני), להשתמש בהצפנה עבור נתונים רגישים, ולהבטיח שהנתונים נשארים מאובטחים.

איך ADCS עובד?¶

הADCS מבוסס על מנגנון שנקרא PKI (Public Key Infrastructure), שבו מפתח ציבורי ומפתח פרטי משמשים להצפנת מידע. ADCS יוצר ומנפק תעודות דיגיטליות שמשמשות לאימות משתמשים, מחשבים, ושירותים.

הכרטיסים הדיגיטליים שמנפיק ADCS הם למעשה תעודות (certificates) שמאמתות את הזהות של ישות מסוימת (כגון מחשבים, משתמשים, אפליקציות). התעודות האלה מבוססות על המפתחות הציבוריים והפרטיים של ה-PKI.

כאשר אתה מתחבר לשירות מאובטח (כגון אתר HTTPS), אתה משתמש בתעודה דיגיטלית שהונפקה על ידי סוכנות מאשרת (CA). אם התעודה הזו אמינה (היא הונפקה על ידי CA מוכר), ניתן להיות בטוחים שהחיבור מוצפן.

היתרונות של ADCS:¶

הצפנה: ADCS מאפשר הצפנה של נתונים ותקשורת בצורה מאובטחת. לדוגמה, כל החיבורים באמצעות HTTPS נעשים בעזרת תעודות שיכולות להיות מנוהלות דרך ADCS.
ניהול תעודות דיגיטליות: ADCS מספק שירות של ניהול תעודות דיגיטליות, כולל יצירה, אכיפה, ושחזור של תעודות דיגיטליות.
יכולת חתימה דיגיטלית: ארגונים יכולים להשתמש ב-ADCS כדי להנפיק תעודות דיגיטליות שיאפשרו למשתמשים ולמערכות לחתום על מסמכים דיגיטליים בצורה מאובטחת.
אימות חיבור VPN ו-Wi-Fi: ADCS מספק תעודות עבור חיבורים מאובטחים כמו VPN או Wi-Fi, ונותן יכולת לאמת את מכשירי המשתמשים והשרתים בצורה אמינה.

כיצד ADFS ו-ADCS משתלבים עם Active Directory?¶

הActive Directory (AD) הוא מרכז הניהול של זהויות, מחשבים, ומשאבים בארגון. שני השירותים – ADFS ו-ADCS – משתלבים בצורה הדוקה עם AD כדי להרחיב את היכולות שלו ולהפוך את תהליך האימות וההצפנה למאובטח יותר.

הADFS משתלב עם AD כדי להחיל את אמצעי האימות המתקדמים ביותר על משתמשים במערכת. ADFS בעצם משתמש בנתונים מאחסני ה-AD (כמו שמות משתמש, סיסמאות, והרשאות) כדי להנפיק כרטיסי גישה למערכות חיצוניות (כמו אפליקציות ענן).
הADCS משתלב עם AD ומספק את הצורך בתעודות דיגיטליות, שמנפיקות את האימות עבור שירותים כמו רשתות VPN, HTTPS וWi-Fi.

דוגמה לשימוש ב-ADFS ו-ADCS¶

נניח שבארגון יש משתמש בשם jdoe, והוא רוצה להתחבר לשרת SMB (שירות רשת) במערכת חיצונית מבית מיקרוסופט, כמו Office 365 או SharePoint.

ADFS:
- המשתמש jdoe מבצע את ההזדהות דרך ADFS במערכת הארגונית שלו.
- ADFS מאמת את שם המשתמש והסיסמה של jdoe ומנפיק לו כרטיס גישה שניתן להשתמש בו להתחברות לשירותים חיצוניים (למשל, לשרת SMB).
- ADCS:
- כאשר jdoe מתחבר לשרת SMB, המחשב המקומי שלו משתמש בתעודה דיגיטלית שנוצרה על ידי ADCS כדי להצפין את התקשורת.
- השרת משתמש בתעודה כדי לוודא שהחיבור מאובטח ושאין מצבים של man-in-the-middle.

סיכום¶

הADFS ו-ADCS הם שני רכיבים קריטיים בתשתית אבטחת המידע בארגון. ADFS מספק פתרונות לאימות ושיתוף זהויות בין דומיינים ושירותים חיצוניים, ומאפשר למשתמשים להתחבר לשירותים מרוחקים בצורה מאובטחת עם אימות אחיד. ADCS מספק את כל התשתית של תעודות דיגיטליות, מה שמאפשר הצפנה של מידע ושירותים בצורה מאובטחת, כולל יכולות כמו חתימה דיגיטלית ואימות חיבורים רגישים (כמו VPN ו-HTTPS). שני השירותים משתלבים עם Active Directory ומספקים אבטחה גבוהה לארגונים.