Quando falávamos em Single Sign On a primeira coisa que vinha a cabeça era (ou ainda é) a regra padrão DirSync + ADFS = SSO, a única coisa que mudou é que o Dirsync foi substituído pelo AD Connect e essa combinação ainda é muito vista na maioria dos desenhos de solução.

Mas será que realmente precisamos tanto assim do ADFS hoje em dia?

Quando o AD Connect veio para substituir o Dirsync, junto vieram melhorias que somados ao Azure AD podemos tirar bastante proveito e desenhar soluções cada vez mais “enxutas” e mais seguras também. O discurso padrão quando falamos dos benefícios da nuvem é você poder dedicar seu tempo as coisas que são importantes para o seu negócio.

Baseado nesse argumento, eu vejo que o ADFS está ficando para trás quando falamos de cenários onde o principal objetivo é sincronismo de usuários e SSO, pois o AD Connect provê essa solução nativamente. Além disso, manter uma infraestrutura de ADFS exige bastante gerenciamento da equipe de TI para manter redundância e alta disponibilidade, pois para um cenário simples precisamos de pelo menos 2 servidores ADFS + 2 servidores WAP, e/ou multiplicar essa infraestrutura para ter um site recovery para esse serviço, senão, caso os servidores fiquem indisponíveis por algum motivo, ninguém da corporação terá acesso aos serviços do Office 365 ou ficar várias horas aguardando o serviço ser restabelecido. Caso você decida mudar o método de autenticação de Federado para Gerenciado como medida paliativa você também terá que aguardar bastante tempo até que o sincronismo finalize.

Quando o cliente optava por não sincronizar as senhas de usuários para a nuvem, não tínhamos outra escolha a não ser pelo ADFS. Porém atualmente o AD Connect também cobre essa exigência com a opção de sincronismo Pass Through, dessa forma as senhas são mantidas apenas no Active Directory local.

Hoje para um cenário onde o objetivo é ter o SSO para as aplicações de nuvem ou aplicações locais publicadas pelo Azure Application Proxy certamente, salvo alguma exceção, eu recomendaria o AD Connect + Azure AD + Regras Condicionais.

Um cenário otimizado, mais fácil de gerenciar, menos custoso e com muita segurança.

As regras condicionais do Azure AD permitem impor controles sobre o acesso a aplicativos no ambiente com base em condições específicas em um local central, mas isso é um assunto para um próximo artigo.

Ah eu já ia me esquecendo!! A funcionalidade que existia apenas via ADFS de bloquear usuários com base no horário de trabalho já está em preview no Azure AD e logo deve estar liberado para o público.