Apa Itu ADFS?
Halo junior, ketemu lagi sama gua. Kali ini kita bakal bahas barang yang sering bikin pusing kalau lu belum paham konsep dasarnya, tapi sangat powerful buat urusan enterprise identity. Kita bakal bedah tentang AD FS atau
Simak baik-baik penjelasan gua di bawah ini biar lu nggak kagok pas ketemu barang ini di lapangan.
Pengertian
AD FS adalah sebuah fitur atau role di Windows Server yang memungkinkan terjadinya berbagi identitas (Identity Sharing) antar organisasi atau aplikasi yang berbeda di luar jaringan lokal lu. Singkatnya, AD FS ini adalah solusi
Konsep
Konsep utama AD FS adalah Trust Relationship (Hubungan Kepercayaan). Lu punya dua pihak di sini:
Identity Provider (IdP): Ini adalah pihak yang megang data user (server AD lu).
Relying Party (RP): Ini adalah aplikasi atau layanan yang butuh otentikasi (misal: aplikasi SaaS).
AD FS bertindak sebagai jembatan yang mengeluarkan "paspor" digital berupa
Cara Kerja
Prosesnya berjalan secara otomatis di balik layar, urutannya begini:
User mencoba akses aplikasi web (Relying Party).
Aplikasi melihat kalau user belum login, lalu mengarahkan (redirect) browser user ke server AD FS milik perusahaan lu.
User login di halaman AD FS pakai username dan password kantor.
AD FS verifikasi ke
. Kalau valid, AD FS bakal buat token digital yang sudah ditandatangani secara kriptografi.Domain Controller Browser user ngirim token itu balik ke aplikasi web.
Aplikasi web cek tanda tangan tokennya. Kalau cocok sama sertifikat yang sudah dipercaya, user langsung masuk tanpa ditanya password lagi.
Tujuan
Kenapa kita butuh AD FS? Masalah klasik di IT adalah "Password Fatigue". Bayangin kalau karyawan lu harus hafal 10 password berbeda buat 10 aplikasi cloud yang berbeda. Dampaknya? Mereka bakal nulis password di post-it atau malah bikin password yang gampang ditebak.
Tujuan AD FS adalah:
Security: Kredensial (password) user nggak pernah keluar dari jaringan internal lu. Pihak ketiga cuma terima token, bukan password.
User Experience: Sekali login di komputer kantor, langsung bisa akses semua aplikasi tanpa prompt login berulang kali.
Centralized Management: Kalau karyawan resign, lu cukup nonaktifkan akun AD mereka, dan otomatis akses mereka ke semua aplikasi luar juga terputus.
Analogi
Anggaplah AD FS ini seperti Paspor Negara.
Pas lu mau masuk ke negara lain (Aplikasi), petugas imigrasi di sana nggak perlu nelpon RT/RW di kampung lu buat tanya lu itu siapa. Mereka cukup lihat Paspor lu. Kenapa mereka percaya sama Paspor itu? Karena ada tanda tangan resmi dari pemerintah negara asal lu (AD FS) yang sudah diakui secara internasional. Lu cukup punya satu Paspor buat keliling ke banyak negara yang sudah kerja sama.
Kelebihan dan Kekurangan
| Kelebihan | Kekurangan |
| Mendukung SSO untuk aplikasi di luar domain/jaringan lokal. | Konfigurasinya cukup kompleks dan butuh pemahaman sertifikat digital ( |
| Meningkatkan keamanan karena password tidak dikirim ke pihak luar. | Butuh infrastruktur tambahan (minimal dua server untuk high availability). |
| Bisa diintegrasikan dengan Multi-Factor Authentication (MFA). | Bergantung banget sama koneksi internet dan ketersediaan server AD FS. |
Tutorial & Problem Solving Lengkap
Gua bakal kasih gambaran cara instalasi dasar di Windows Server 2022.
1. Persiapan Sertifikat
AD FS wajib pakai HTTPS. Lu harus punya sertifikat SSL yang valid (bisa Self-signed buat latihan, tapi wajib CA publik buat produksi).
2. Install AD FS Role
Buka PowerShell sebagai Administrator, lalu jalankan:
# Install fitur AD FS
Install-WindowsFeature Adfs-Federation -IncludeManagementTools
3. Konfigurasi Server
Setelah terinstall, lu harus configure federation service-nya lewat Server Manager atau PowerShell.
# Contoh inisialisasi farm AD FS baru (pastikan lu sudah punya cert thumbprint)
Install-AdfsFarm -CertificateThumbprint "KODE_THUMBPRINT_SSL_LU" -FederationServiceName "sso.perusahaan.com"
4. Menambahkan Relying Party Trust
Ini bagian paling krusial. Lu harus daftarin aplikasi luar ke AD FS.
Buka AD FS Management.
Klik kanan pada Relying Party Trusts > Add Relying Party Trust.
Masukkan URL metadata dari aplikasi (misal dari Office 365 atau aplikasi custom).
Konfigurasi Issuance Transform Rules. Ini buat nentuin data apa yang mau dikirim (misal: kirim Email Address sebagai Name ID).
Problem Solving: "Sertifikat Expired"
Masalah yang paling sering gua temuin di lapangan adalah user nggak bisa login karena sertifikat token-signing-nya expired.
Solusi:
Cek status sertifikat dengan command:
# Cek sertifikat AD FS
Get-AdfsCertificate
Kalau sudah merah/expired, lu harus update dan pastikan aplikasi tujuan (Relying Party) juga sudah update metadata-nya biar sinkron lagi.
Kesimpulan
AD FS adalah solusi wajib kalau lu kerja di lingkungan enterprise yang sudah pakai banyak layanan cloud tapi tetap mau kontrol penuh atas identitas user di server lokal. Best practice dari gua: selalu gunakan AD FS Proxy (Web Application Proxy) kalau server lu mau diakses dari internet, jangan pernah buka server AD FS utama langsung ke publik. Keamanan itu nomor satu, junior.
Glosarium Engineer
Active Directory Federation Services (AD FS): Layanan dari Microsoft untuk menyediakan fitur SSO lintas batas jaringan.
Single Sign-On (SSO): Teknologi yang memungkinkan user mengakses banyak aplikasi hanya dengan satu kali login.
Identity Provider (IdP): Sistem yang menyimpan dan memverifikasi identitas user.
Relying Party (RP): Aplikasi atau layanan yang mempercayai identitas dari IdP.
SAML (Security Assertion Markup Language): Standar terbuka berbasis XML untuk pertukaran data otentikasi.
Security Token: Data digital yang berisi bukti identitas user yang sudah terverifikasi.
Domain Controller: Server yang merespons permintaan otentikasi keamanan di dalam domain Windows.
SSL/TLS: Protokol keamanan untuk mengenkripsi komunikasi antar komputer di jaringan.

Comments
Post a Comment