我听说我们的PHP应用程序可能需要支持使用ADFS进行身份验证。
2. 它与LDAP等东西有何不同?
3. 它是如何工作的?典型的向ADFS服务器发送请求中会包含哪些信息?它旨在进行身份验证和授权吗?
4. ADFS服务器通常可以从互联网访问(而企业的AD域控制器则不能)吗? 我尝试阅读了一些Technet文档,但它充斥着对微软的说法,对我来说并没有太大帮助。
维基百科更好一些(见下文),但或许ServerFault社区的一些成员可以填补一些空白。
Active Directory Federation Services (ADFS) 是由微软开发的一款软件组件,可安装在 Windows Server 操作系统上,为用户提供跨组织边界访问系统和应用程序的单点登录功能。它使用基于声明的访问控制授权模型来维护应用程序安全性并实现联合身份验证。
基于声明的身份验证是根据包含在受信任令牌中的有关用户身份的一组声明对用户进行身份验证的过程。
在 ADFS 中,通过在两个安全领域之间建立信任来建立两个组织之间的身份联合。一个联合服务器(帐户方)通过 Active Directory 域服务中的标准方式对用户进行身份验证,然后发放一个包含有关用户的一系列声明(包括其身份)的令牌。在资源方(Resources side),另一个联合服务器验证令牌并为本地服务器发放另一个令牌以接受所声明的身份。这使得系统能够向属于另一个安全领域的用户提供对其资源或服务的受控访问,而无需用户直接对系统进行身份验证,也无需两个系统共享用户身份或密码数据库。
在实际操作中,用户通常会这样感知该方法:
1. 用户登录他们的本地计算机(通常是早上开始工作时)。 2. 用户需要获取合作伙伴公司的外联网站上的信息,例如获取定价或产品详情。 3. 用户导航到合作伙伴公司的外联网站,例如:http://example.com。 4. 现在合作伙伴网站不再需要输入任何密码,而是使用 AD FS 将用户凭据传递给合作伙伴外联网站。 5. 用户现在已登录合作伙伴网站,并可以与该网站进行交互。
来源:https://en.wikipedia.org/wiki/Active_Directory_Federation_Services
1. 对于非微软人员来说,ADFS是什么?
2. 它与LDAP等东西有何不同?
3. 它是如何工作的?典型的向ADFS服务器发送请求中会包含哪些信息?它旨在进行身份验证和授权吗?
4. ADFS服务器通常可以从互联网访问(而企业的AD域控制器则不能)吗? 我尝试阅读了一些Technet文档,但它充斥着对微软的说法,对我来说并没有太大帮助。
维基百科更好一些(见下文),但或许ServerFault社区的一些成员可以填补一些空白。
Active Directory Federation Services (ADFS) 是由微软开发的一款软件组件,可安装在 Windows Server 操作系统上,为用户提供跨组织边界访问系统和应用程序的单点登录功能。它使用基于声明的访问控制授权模型来维护应用程序安全性并实现联合身份验证。
基于声明的身份验证是根据包含在受信任令牌中的有关用户身份的一组声明对用户进行身份验证的过程。
在 ADFS 中,通过在两个安全领域之间建立信任来建立两个组织之间的身份联合。一个联合服务器(帐户方)通过 Active Directory 域服务中的标准方式对用户进行身份验证,然后发放一个包含有关用户的一系列声明(包括其身份)的令牌。在资源方(Resources side),另一个联合服务器验证令牌并为本地服务器发放另一个令牌以接受所声明的身份。这使得系统能够向属于另一个安全领域的用户提供对其资源或服务的受控访问,而无需用户直接对系统进行身份验证,也无需两个系统共享用户身份或密码数据库。
在实际操作中,用户通常会这样感知该方法:
1. 用户登录他们的本地计算机(通常是早上开始工作时)。 2. 用户需要获取合作伙伴公司的外联网站上的信息,例如获取定价或产品详情。 3. 用户导航到合作伙伴公司的外联网站,例如:http://example.com。 4. 现在合作伙伴网站不再需要输入任何密码,而是使用 AD FS 将用户凭据传递给合作伙伴外联网站。 5. 用户现在已登录合作伙伴网站,并可以与该网站进行交互。
来源:https://en.wikipedia.org/wiki/Active_Directory_Federation_Services