我不与微软合作,但我很难理解AD、ADFS和LDAP如何概念上相互配合。
假设我有一个需要身份提供者的应用程序。那么AD和LDAP将如何发挥作用?
我的搜索并没有为我提供这些概念的清晰总结,但如果有现成的资源,请指引我。
1个回答
87
AD和LDAP包含用户属性,如名字、姓氏和电话号码。
它们还包含用户登录名和密码以及角色(组),因此可用于身份验证和授权。
这种身份验证主要使用Kerberos协议。
在微软世界中,AD是主要的玩家,但如果您想要一个“简单”的AD,则可以使用ADAM / LDS,它实质上是LDAP。
ADFS(一个IDP)位于其顶部并提供联合层。
联合是一种概念,即来自A公司的用户可以使用其A公司凭据对B公司的应用程序进行身份验证。
它使用以下三种联合协议之一来实现:
- SAML 2.0
- WS-Federation
- OpenID Connect
结果是一个SAML令牌或包含AD用户属性集的JWT(OpenID Connect)。需要提供的属性列表通过声明规则在ADFS中配置,并且令牌中的属性称为声明。
- rbrayb
1
11这个回答的第一句话并不完全正确。LDAP本身是一种协议,用于目录服务器,包括AD(以及其他目录服务,如OpenLDAP)。
如果该陈述改为“LDAP服务器”,那么我会同意任何符合LDAP标准的目录服务服务器都是一种专门的数据库。我觉得有必要进行区分(除非我错了),因为问题要求解释得像一个5岁的孩子一样。 - Vivek H
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接