adfs

“ADFS”是Active Directory Federation Services的縮寫，它是微軟提供的一種聯(lián)合身份驗證服務(wù)，主要用于跨組織范圍的身份驗證和訪問控制。 ADFS的核心功能是提供一種機制，可以使用戶在不同的組織之間共享身份驗證信息，從而讓用戶可以在不同的組織之間自由的訪問資源，而無需重復登錄。 ADFS的應(yīng)用主要分為兩類：一類是在組織內(nèi)部使用，即在組織內(nèi)部的多個子系統(tǒng)之間共享身份驗證信息；另一類是在組織間使用，即在不同組織之間共享身份驗證信息。 在組織內(nèi)部使用ADFS時，可以使用戶在不同的子系統(tǒng)之間共享身份驗證信息，從而提高用戶的訪問效率，減少重復登錄的工作量。 在組織間使用ADFS時，可以使用戶在不同組織之間共享身份驗證信息，從而實現(xiàn)跨組織的單點登錄，使用戶可以在不同組織之間自由的訪問資源，而無需重復登錄。 ADFS的應(yīng)用不僅限于組織內(nèi)部和組織間，它還可以應(yīng)用于跨網(wǎng)絡(luò)的身份驗證，如在企業(yè)網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間實現(xiàn)跨網(wǎng)絡(luò)的身份驗證。 總之，ADFS是一種功能強大的聯(lián)合身份驗證服務(wù)，可以應(yīng)用于組織內(nèi)部、組織間以及跨網(wǎng)絡(luò)的身份驗證，使用戶可以在不同的組織和網(wǎng)絡(luò)之間自由的訪問資源，而無需重復登錄。

---


   

   Active Directory Federation Services
活動目錄聯(lián)合服務(wù)（ADFS）


　　Microsoft&＃039;s 推出的Windows Server 2003 R2最引人注目的新特點是活動目錄聯(lián)合服務(wù) (ADFS). ADFS是一種能夠用于一次會話過程中多個Web應(yīng)用用戶認證的新技術(shù)。在這篇文章中，我會解釋ADFS的重要特點和ADFS的工作原理。

　　什么是ADFS?
　　ADFS將活動目錄拓展到Internet。要理解這一點，可以考慮一般活動目錄設(shè)施的工作原理。當用戶通過活動目錄認證時，域控制器檢查用戶的證書。證明是合法用戶后，用戶就可以隨意訪問Windows網(wǎng)絡(luò)的任何授權(quán)資源，而無需在每次訪問不同服務(wù)器時重新認證。
　　ADFS將同樣的概念應(yīng)用到Internet. 我們都知道Web應(yīng)用訪問位于SQL Server或其他類型后端資源上的后端數(shù)據(jù)。對后端資源的安全認證問題往往比較復雜�？梢杂泻芏嗖煌�的認證方法提供這樣的認證。例如，用戶可能通過RADIUS(遠程撥入用戶服務(wù)認證)服務(wù)器或者通過應(yīng)用程序代碼的一部分實現(xiàn)所有權(quán)認證機制。
　　這些認證機制都可實現(xiàn)認證功能，但是也有一些不足之處。不足之一是賬戶管理。當應(yīng)用僅被我們自己的員工訪問時，賬戶管理并不是個大問題。但是，如果您的供應(yīng)商、客戶都使用該應(yīng)用時，您會突然發(fā)現(xiàn)您需要為其他企業(yè)的員工建立新的用戶賬戶。不足之二是維護問題。當其他企業(yè)的員工離職，雇傭新員工時，您需要刪除舊的賬戶和創(chuàng)建新的賬戶。密碼也是一個問題。一旦應(yīng)用配置完成，您要不斷的為那些甚至沒有為您公司工作的人員重新修改密碼。

　　ADFS能為您做什么?
　　如果您將賬戶管理的任務(wù)轉(zhuǎn)移到您的客戶、供應(yīng)商或者其他使用您Web應(yīng)用的人會怎樣?設(shè)想一下，如果您這樣，Web應(yīng)用為其他企業(yè)提供服務(wù)，而您再也不用為那些員工創(chuàng)建用戶賬戶或者重設(shè)密碼。如果這還不夠，使用這一應(yīng)用的用戶不再需要登錄應(yīng)用。這聽起來是不是好得讓人難以置信?
　　通過技術(shù)您可以創(chuàng)建跨森林的信任和將這種信任拓展到Web應(yīng)用. 例如，假設(shè)您的供應(yīng)商需要訪問您的Web應(yīng)用。您不用為您的供應(yīng)商建立和維護一系列用戶賬戶，他們可以在自己的活動目錄下創(chuàng)建安全組。通過組維護所有需要訪問您Web應(yīng)用的用戶。然后，您可以簡單地對組授予權(quán)限。即使組存在于一個和您的Web應(yīng)用完全不同活動目錄森林也能實現(xiàn)。這樣，當供應(yīng)商網(wǎng)絡(luò)上的用戶想要訪問您的Web應(yīng)用時，他們并不需要登錄，應(yīng)用自動地通過組成員資格完成用戶認證。
　　當然，這只是您怎樣建立聯(lián)合信任的一個例子。Windows Server 2003 R2還未正式發(fā)布，目前關(guān)于ADFS配置過程的資料還不是很多 。實際的配置過程可能和上文提到的略有不同，但是基本原理是不變的。

　　ADFS需要什么?
　　當然，活動目錄聯(lián)合服務(wù)還需要其它的一些配置才能使用，您需要一些服務(wù)器執(zhí)行這些功能。最基本的是聯(lián)合服務(wù)器，聯(lián)合服務(wù)器上運行ADFS的聯(lián)合服務(wù)組件。 聯(lián)合服務(wù)器的主要作用是發(fā)送來自不同外部用戶的請求，它還負責向通過認證的用戶發(fā)放令牌。
　　另外在大多數(shù)情況下還需要聯(lián)合代理。試想一下，如果外部網(wǎng)絡(luò)要能夠和您內(nèi)部網(wǎng)絡(luò)建立聯(lián)合協(xié)議， 這就意味著您的聯(lián)合服務(wù)器要能通過Internet訪問。但是活動目錄聯(lián)合并不很依賴于活動目錄，因此直接將聯(lián)合服務(wù)器暴露在Internet上將帶來很大的風險。正因為這樣，聯(lián)合服務(wù)器不能直接和Internet相連，而是通過聯(lián)合代理訪問。聯(lián)合代理向聯(lián)合服務(wù)器中轉(zhuǎn)來自外部的聯(lián)合請求，聯(lián)合服務(wù)器就不會直接暴露給外部。
　　另一ADFS的主要組件是ADFS Web代理。Web應(yīng)用必須有對外部用戶認證的機制。這些機制就是ADFS Web代理。 ADFS Web代理管理安全令牌和向Web 服務(wù)器發(fā)放的認證cookies。
　　正如上文所說的, ADFS將極大地擴充Web應(yīng)用的能力。拭目以待R2的發(fā)布和ADFS在實際應(yīng)用中使用。


   



抱歉，此頁面的內(nèi)容受版權(quán)保護，復制需扣除次數(shù)，次數(shù)不足時需付費購買。

如需下載請點擊：點擊此處下載

關(guān)閉

掃碼付費即可復制
X

• 更多詳細解釋內(nèi)容
• 在通信搜索中檢索“adfs”

• sadfsadfsafsdfsafsdafsdfd
• 更多 adfs 相關(guān)技術(shù)資料下載

ＢＧＰ | 光纖分路器 | BD_ADDR | 進線間 | MATV | 顯示終端 | abh | ＧＳＭ系統(tǒng) | Ｅ－ＲＡＢ | PVCs | 信息插座 | ＥＳＴ |