企业要使用微软ADFS时必须考虑这些成本

原创

nington 2022-09-01 16:48:54 博主文章分类：企业身份管理 ©著作权

©著作权归作者所有：来自51CTO博客作者nington的原创作品，请联系作者获取转载授权，否则将追究法律责任

云应用因其灵活性、可扩展性和低成本等优势在企业中广受欢迎。据统计，2021年企业平均使用110个软件即服务（SaaS）应用，换句话说用户必须分别登录110次。

SaaS 云应用的高采用率以及对这类应用访问简化的需求推动了企业的两项改革：

1、从头创建身份和访问管理（IAM）策略，允许用户安全有效地连接到域外的 Web 应用。

2、重新评估现有 IAM 策略的缺点，如不支持非 Windows 系统和非域绑定的 IT 资源。

针对上述两方面，企业可以采用 Web 应用单点登录（SSO）工具，帮助用户轻松访问 SaaS 应用，通过存储在企业本地目录的身份凭证集成，使 IAM 系统实施更简单。而在当时，SSO 工具必须和微软 Active Directory（AD）这种基于 Windows 的传统本地目录集成，且SSO 工具必须依靠 AD 作为身份源，在登录过程中将 AD 中的身份数据推送到 Web 应用。

在同一时期，各种 SSO 厂商都相继推出了各自的 Web 应用 SSO 工具，其中就包括微软的Active Directory 活动目录联合服务（ADFS）。

即便到现在，很多企业依然认为 ADFS 是将外部应用和 AD 集成的最佳方式之一，原因可能是因为两种工具都基于微软生态。但是，并非所有 AD 集成都能取得同样的效果。要确定 ADFS 是否适合自己的企业，可以先了解 ADFS 的局限性，然后评估其定价再确定微软ADFS 是否符合企业的身份和访问管理（IAM）愿景。

本文将介绍评估微软ADFS 定价时需要考虑的所有成本，以及另一种更能满足企业单点登录、身份和访问管理（IAM）需求的高性价比替代方案。

一、评估微软 ADFS 定价时要考虑的成本

尽管微软一直将 ADFS 宣传为“免费”解决方案，实际上 ADFS 并不是完全免费，评估时需要考虑以下三方面的成本。

1. 硬件成本

企业需要设置以下服务器后才能使用 ADFS：

（1）ADFS 服务器：对用户进行身份认证和发送声明的主服务器。ADFS 服务器必须连接域控制器（DC）才能对来自不同域的用户进行认证。

（2）ADFS 代理服务器：ADFS 代理服务器位于企业的网络边界或隔离区（DMZ），主要负责接收请求并将请求转发到本地的 ADFS 服务器。

（3）ADFS 配置数据库：ADFS 配置数据库负责存储服务器的信任、证书、服务配置、声明提供者信任和声明描述等数据。该数据库可存储在 SQL 数据库或 Windows 内部数据库（WID）中。

（4）网络负载均衡服务器：为了可扩展性和高可用性，需要在部署 ADFS 服务器或 ADFS 代理之前先部署网络负载均衡服务器。

可以看到企业至少需要四台服务器来启动运行 ADFS 。如果要从 ADFS 连接到Microsoft 365 等服务，还需要再安装AD Connect服务器，再加上核心域控制器等基础结构。此外在计算总体硬件成本时还要考虑托管、安全、监控和水电费等。

2. 软件许可成本

如果企业已经设置好 AD 和 Windows 服务器，设置 ADFS时就不需要许可证，但还需要一个 ADFS 配置数据库来存储建立身份统一管理的所有参数，为此就需要微软SQL Server 数据库或 Windows Server 2008 或更高版本的 WID。

SQL 服务器要求企业必须获得相关许可证才能使用 ADFS。微软提供两种许可类型：基于内核的许可和 Windows Server + 客户端访问许可（CAL）。内核许可要求处理器中的每个内核都有一个内核许可证。Windows Server + CAL 则要求运行 SQL Server 的操作系统环境（OSE）必须有许可证。

由于 SQL 服务器许可范围很广，成本计算涉及的具体内容就非常复杂。数以千计的许可和订阅服务最终会在 ADFS 设置中产生大量隐形成本。

3. 维护成本

调试、配置和维护 ADFS 服务器也需要投入大量时间和精力。除了硬件成本和软件许可成本外，企业在评估微软 ADFS 定价时还必须考虑维护费用，其中包括：

（1）IT 管理：由于 ADFS 是本地部署服务，因此需要聘请专门的 IT 管理员负责运维，而这对于预算有限的企业而言可能很难落实。此外，如果存在远程或混合办公场景，本地部署也没有多大意义。

（2）软件支持：软件升级或续订的许可费。

（3）硬件升级：提升 CPU 速度、RAM 和硬盘扩容等。

（4）可扩展性：通过 ADFS 添加的新应用和原始应用的安装、配置和维护要求相同。在采用更多云应用的情况下，这种扩展性成本也会相应增加。

二、ADFS 高性价比替代方案

虽然 ADFS 最初解决了一个问题，并帮助用户连接到非域绑定应用，但在现代 IT 环境中，需要管理的 IT 资源数量倍增，这对使用 ADFS 或其他 Web 应用 SSO 工具的企业都构成了重大挑战。除了功能上的局限性之外，实施维护 AD、ADFS 以及所有相关部署也会增加 ADFS 的定价。

那么，是否有更好的解决方案呢？NingDS 身份目录云提供基于云的 IAM 和 SSO 解决方案，包括各种安全和生产力功能，与 AD 和 ADFS 相比性价比更高。

ADFS 要求安装至少四台服务器（不包括核心域控制器），而 NingDS 则提供了两种轻量级替代方案：

1、用NingDS云目录服务及其内置的单点登录（SSO）功能取代AD和ADFS，以节省时间和成本，灵活性更高，也无需本地部署，开箱即用。

2、保留本地AD目录服务，NingDS将AD目录身份扩展至云上，同时NingDS提供云SSO等功能，企业只需管理核心数据中心即可，其余工作则由NingDS来进行，甚至还可以借助NingDS管理AD的功能，从而减轻 IT 管理负担。

NingDS 非常适合不希望产生 ADFS 额外成本的云优先企业或那些进行云迁移且已经部署 AD/ADFS 的企业，无需专用服务器或复杂的本地设置，按需订阅，企业可以随着业务发展添加或删除功能，满足业务扩展需求。此外，NingDS 作为统一身份和访问管理平台提供一站式的安全管理服务，免去了企业购买和管理不同工具的烦恼。

（本文来源于宁盾，仅供学习和参考，未经授权禁止转载和复制。如欲了解更多内容，可前往宁盾官网博客解锁更多干货）