Что является ADFS (службами Федерации Active)?
Поэтому я've говорили, что наши PHP-приложения может понадобиться для поддержки проверки подлинности с помощью служб ADFS.
в <сильный>
-
Для стороннего человека, что является ADFS?
-
Чем она отличается, к примеру с LDAP?
-
Как это работает? Какая информация будет включена в обычный запрос на сервер ADFS? Он предназначен для аутентификации и авторизации?
-
Несколько серверов ADFS, как правило, доступны из интернета (в то время как корпоративные контроллеры домена ad не будет)?
</сильные>
Я'пробовала читать некоторые из TechNet в Docs, но это'с полной Майкрософт говорят, что это'т очень помогло.
Википедию лучше (см. ниже), но, возможно, некоторые сообщества ServerFault может заполнить некоторые пробелы.
активной службы Федерации (ADF-файл) - это программный компонент, разработанный компанией Microsoft, который можно установить на Windows Server операционной системы, чтобы предоставить пользователям единый вход в системы и приложения через организационные границы. Он использует на основе утверждений модель авторизации, управления доступом для обеспечения безопасности применения и реализации Федеративной идентификацией.
проверка подлинности на основе утверждений-это процесс проверки подлинности пользователя на основе набор утверждений о его личности, содержащиеся в надежных маркеров.
В служб ADFS Федерации личность устанавливается между двумя организациями путем установления доверия между двумя областями безопасности. Сервер Федерации по Одна сторона (счетов) выполняет проверку подлинности пользователя через стандартные средства в доменных службах Active Directory и выдает маркер, содержащий ряд утверждений о пользователе, включая его идентификационные данные. На другой стороне, стороне ресурсы, другой сервер Федерации проверяет маркер и выдает новый маркер для локального сервера, чтобы принять его личности. Это позволяет системе обеспечить контролируемый доступ к своим ресурсам или услуги для пользователя, который принадлежит к другой сфере безопасности, не требуя от пользователя для проверки подлинности непосредственно к системе и без этих двух систем обмена базы данных идентификаторов пользователей и паролей.
В практике такой подход обычно воспринимается пользователем следующим образом:
- Пользователь входит в их локальном ПК (как они обычно, когда начинается работа с утра)
- Пользователь должен получить информацию о компании-партнера'веб-сайт Экстранет ы - например, получить цены или детали продукта
- Пользователь переходит на сайт компании-партнера Экстранет - например: http://example.com
- Веб-сайт партнера, теперь не требует пароль ввести - вместо того, учетные данные пользователя передаются в экстрасети партнера сайт с помощью объявлений ФС
- Теперь пользователь вошел на сайт Партнера и может взаимодействовать с сайтом 'вошел в'
Службы ADFS является Microsoft'ы решение для единого входа и проверки подлинности веб-основе.
Он используется в основном, чтобы обеспечить единый набор учетных данных, которые могут получить доступ к различным сайтам, не обязательно размещать в пределах того же домена.
В LDAP:
ADF-файлы:
См. Также этот ответ на эту тему.
Это работает при наличии одном месте (сайте), на котором размещены службы ADFS / ADF-файлы прокси-сервера, который имеет доступ к учетным данным (обычно, общаясь с контроллером домена активных каталогов). Ему тогда дали доверие между другими сайтами (сайты Б & С), которые требуют проверки подлинности с помощью служб ADFS.
Когда пользователь пытается получить доступ к веб-узел B в своем браузере, сайт перенаправляет пользователя на библиотеку прокси-сайт (сайт) в котором просит ввести имя пользователя и усилителя; пароль, проверяет их, возвращает набор cookie-файлов с целью их запоминания, и перенаправляет их на сайте Б, вместе с маркер доступа.
Если пользователь пытается посетить сайт C, они также будут перенаправлены на сайт для проверки подлинности с помощью служб ADFS-прокси-сайт. Если существует право куки, пользователю не потребуется повторно вводить свой пароль, но вам мгновенно перенаправлены обратно на сайт C с маркером.
ADF могут быть настроены с конкретными претензиями (или разрешения) для пользователя, для авторизации. Поэтому он может служить в обеих ролях. (Примечание разницу между проверкой подлинности и авторизацией.)
Некоторые люди предпочитают не использовать его для авторизации, но вместо того, чтобы держать управление разрешениями на стороннем сайте. Очевидным недостатком является то, что оба сайта &ампер; Б нужно следить за учетными записями пользователей, а в случае, когда ADFS для обработки обоих, только ADF-файлы, чтобы быть в курсе пользователи.
Да, почти всегда. Службы ADFS основывается на том, что он в основном будет использоваться для проверки подлинности веб-сайта. И строится вокруг служб IIS.
Служб ADFS-прокси-сайт-это тот, который обычно доступен из интернета. Однако сам ADFS не. В ADFS-это вообще отдельный сервер от сервера ADFS-прокси.