Apa ADFS (Active Directory Federation Services)?

Question

Lebih

Sumber Tidak AMP-versi Sunting

Apa ADFS (Active Directory Federation Services)?

Jadi saya've telah diberitahu bahwa kami PHP aplikasi mungkin perlu untuk mendukung otentikasi menggunakan ADFS.

Untuk non-Microsoft seseorang, apa ADFS?

Bagaimana cara berbeda untuk hal-hal seperti LDAP?

Bagaimana cara kerjanya? Jenis informasi apa yang akan dimasukkan dalam khas permintaan ke server ADFS? Itu dirancang untuk wisata otentikasi dan otorisasi?

Yang ADFS server biasanya dapat diakses dari internet (padahal perusahaan IKLAN domain controller tidak akan)?

I've mencoba membaca beberapa Technet docs, tapi itu's penuh dari Microsoft-berbicara bahwa isn't sangat membantu.

Wikipedia lebih baik (lihat di bawah), tapi mungkin beberapa dari ServerFault masyarakat dapat mengisi beberapa kesenjangan.

Active Directory Federation Services (ADFS) adalah komponen perangkat lunak yang dikembangkan oleh Microsoft yang dapat diinstal pada sistem operasi Windows Server untuk menyediakan pengguna dengan single sign-on akses ke sistem dan aplikasi yang terletak di batas-batas organisasi. Menggunakan klaim-based access control otorisasi model untuk menjaga keamanan aplikasi dan melaksanakan federasi identitas.

Klaim berbasis otentikasi adalah proses otentikasi pengguna berdasarkan satu set klaim tentang identitas yang terkandung dalam sebuah terpercaya token.

Di ADFS, identitas federasi didirikan antara dua organisasi dengan membangun kepercayaan antara dua keamanan alam. Federasi server pada satu sisi (Rekening sisi) mengotentikasi pengguna melalui cara standar dalam Layanan Domain Direktori Aktif, dan kemudian masalah-masalah tanda mengandung serangkaian klaim tentang pengguna, termasuk identitasnya. Di sisi lain, sisi sumber Daya, lain federasi server memvalidasi token dan isu-isu lain token untuk server lokal untuk menerima mengklaim identitas. Hal ini memungkinkan sistem untuk menyediakan akses terkontrol ke sumber daya atau layanan untuk pengguna yang menjadi milik orang lain keamanan dunia tanpa memerlukan pengguna untuk mengotentikasi langsung ke sistem dan tanpa dua sistem berbagi database identitas pengguna atau sandi.

Dalam praktek pendekatan ini biasanya dirasakan oleh pengguna sebagai berikut:

Pengguna log ke PC lokal (seperti yang biasanya mereka lakukan ketika memulai pekerjaan di pagi hari)

Kebutuhan pengguna untuk memperoleh informasi mengenai perusahaan mitra's web extranet - misalnya untuk mendapatkan harga atau detail produk

Pengguna menavigasi ke perusahaan mitra extranet situs - misalnya: http://example.com

Partner website sekarang tidak memerlukan password diketik di - bukan, kredensial pengguna yang diteruskan ke mitra extranet situs menggunakan IKLAN FS

Para pengguna yang sekarang ini login ke situs web mitra dan dapat berinteraksi dengan website 'login'

Dari https://en.wikipedia.org/wiki/Active_Directory_Federation_Services

Simon East

Pertanyaan edit 27 Juli 2015 в 3:12

Administrasi sistem

active-directory adfs

27 Juli 2015 в 3:04

75 tayangan

Mengomentari pertanyaan (4)

Reaces · Accepted Answer · 2015-07-27T07:26:34+00:00

Untuk non-Microsoft seseorang, apa ADFS?

ADFS adalah Microsoft's solusi untuk Single Sign-On dan berbasis web otentikasi.

Hal ini digunakan terutama untuk menyediakan satu set kredensial yang dapat mengakses berbagai situs yang tidak tentu host dalam domain yang sama.

Bagaimana cara berbeda untuk hal-hal seperti LDAP?

LDAP:

Berkomunikasi menggunakan TCP/UDP pada port 389 (atau port 636 untuk LDAPS)
Berisi perintah untuk mencari/mengambil/menambahkan/menghapus/memodifikasi pengguna, profil dan direktori entri
Bisa tidak akan dilakukan langsung oleh web browser, namun otentikasi HTTP dapat diterjemahkan ke LDAP menggunakan hal-hal seperti Apache's mod_authnz_ldap.
Ketika digunakan untuk situs web pihak ketiga otentikasi, yang membutuhkan username & password yang diberikan kepada pihak ketiga, yang tidak ideal untuk keamanan.
Lebih dari standar terbuka dan memiliki banyak Linux implementasi.

ADFS:

Lebih baik dirancang untuk web seperti ini berkomunikasi melalui standar HTTPS
Mengikuti proses yang lebih aman yang sama (tapi tidak persis) untuk OAuth mana yang asli username/password yang diberikan secara langsung kepada organisasi's ADFS server (atau proxy, tetapi tidak pihak ketiga), yang jika valid, mengembalikan token unik yang dapat digunakan untuk mengakses situs web pihak ketiga.
Meskipun tidak menggunakan menggunakan beberapa standar terbuka (HTTPS, SAML dll.) itu adalah Microsoft-spesifik dan membutuhkan Layanan Informasi Internet (IIS) yang hanya berjalan pada Windows Server.

Lihat juga jawaban ini pada subjek.

Bagaimana cara kerjanya? Jenis informasi apa yang akan dimasukkan dalam khas permintaan ke server ADFS? Itu dirancang untuk wisata otentikasi dan otorisasi?

Ia bekerja dengan memiliki satu situs (situs) yang host ADFS / ADFS proxy server, yang memiliki akses ke kredensial (biasanya dengan berkomunikasi dengan Active Directory Domain Controller). Hal ini kemudian diberi kepercayaan antara lain situs (situs B & C) yang memerlukan otentikasi melalui ADFS.

Ketika pengguna mencoba untuk mengakses situs B di browser mereka, situs ini mengarahkan pengguna ke ADFS-proxy website (situs) yang meminta username & password, mengotentikasi mereka, kembali menetapkan cookie untuk mengingat mereka, dan mengarahkan mereka kembali ke situs B, bersama dengan sebuah access token.

Jika pengguna kemudian mencoba untuk mengunjungi situs C, mereka juga akan mendapatkan diarahkan ke situs ini untuk otentikasi dari ADFS-situs web proxy. Jika hak cookie yang ada, pengguna tidak akan diminta untuk memasukkan password lagi, tapi bisa langsung diarahkan kembali ke situs C dengan token.

ADFS dapat dikonfigurasi dengan klaim tertentu (atau izin) bagi pengguna, untuk keperluan otorisasi. Sehingga dapat melayani kedua peran. (Catatan perbedaan antara otentikasi dan otorisasi.)

Beberapa orang memilih untuk tidak menggunakannya untuk otorisasi tapi bukannya menjaga manajemen perizinan di situs web pihak ketiga. Yang jelas downside adalah bahwa kedua situs A & B perlu untuk melacak akun pengguna, sedangkan dalam skenario di mana ADFS menangani kedua, hanya ADFS perlu diketahui pengguna.

Adalah ADFS server biasanya dapat diakses dari internet (padahal perusahaan IKLAN domain controller tidak akan)?

Ya, hampir selalu. ADFS didasarkan pada gagasan bahwa itu akan terutama digunakan untuk web otentikasi. Dan dibangun di sekitar IIS.

ADFS-situs proxy adalah salah satu yang biasanya dapat diakses dari internet. Namun ADFS itu sendiri tidak. ADFS umumnya sebuah server terpisah dari ADFS-proxy.

ADFS Server Server yang link ke kredensial, dan memiliki klaim konfigurasi serta kepercayaan. Umumnya tidak dapat diakses publik.
ADFS Proxy Server Server yang host IIS contoh yang memiliki halaman login untuk situs-situs yang memerlukan otentikasi. Berkomunikasi kembali dengan ADFS ketika memerlukan otentikasi. Umumnya dapat diakses publik.