Что является ADFS (службами Федерации Active)?

Question

Дополнительно

Источник Неподдерживаемая версия AMP Редактировать

Что является ADFS (службами Федерации Active)?

Поэтому я've говорили, что наши PHP-приложения может понадобиться для поддержки проверки подлинности с помощью служб ADFS.

в <сильный>

Для стороннего человека, что является ADFS?
Чем она отличается, к примеру с LDAP?
Как это работает? Какая информация будет включена в обычный запрос на сервер ADFS? Он предназначен для аутентификации и авторизации?
Несколько серверов ADFS, как правило, доступны из интернета (в то время как корпоративные контроллеры домена ad не будет)?

</сильные>

Я'пробовала читать некоторые из TechNet в Docs, но это'с полной Майкрософт говорят, что это'т очень помогло.

Википедию лучше (см. ниже), но, возможно, некоторые сообщества ServerFault может заполнить некоторые пробелы.

активной службы Федерации (ADF-файл) - это программный компонент, разработанный компанией Microsoft, который можно установить на Windows Server операционной системы, чтобы предоставить пользователям единый вход в системы и приложения через организационные границы. Он использует на основе утверждений модель авторизации, управления доступом для обеспечения безопасности применения и реализации Федеративной идентификацией.

проверка подлинности на основе утверждений-это процесс проверки подлинности пользователя на основе набор утверждений о его личности, содержащиеся в надежных маркеров.

В служб ADFS Федерации личность устанавливается между двумя организациями путем установления доверия между двумя областями безопасности. Сервер Федерации по Одна сторона (счетов) выполняет проверку подлинности пользователя через стандартные средства в доменных службах Active Directory и выдает маркер, содержащий ряд утверждений о пользователе, включая его идентификационные данные. На другой стороне, стороне ресурсы, другой сервер Федерации проверяет маркер и выдает новый маркер для локального сервера, чтобы принять его личности. Это позволяет системе обеспечить контролируемый доступ к своим ресурсам или услуги для пользователя, который принадлежит к другой сфере безопасности, не требуя от пользователя для проверки подлинности непосредственно к системе и без этих двух систем обмена базы данных идентификаторов пользователей и паролей.

В практике такой подход обычно воспринимается пользователем следующим образом:

Пользователь входит в их локальном ПК (как они обычно, когда начинается работа с утра)

Пользователь должен получить информацию о компании-партнера'веб-сайт Экстранет ы - например, получить цены или детали продукта

Пользователь переходит на сайт компании-партнера Экстранет - например: http://example.com

Веб-сайт партнера, теперь не требует пароль ввести - вместо того, учетные данные пользователя передаются в экстрасети партнера сайт с помощью объявлений ФС

Теперь пользователь вошел на сайт Партнера и может взаимодействовать с сайтом 'вошел в'

от https://en.wikipedia.org/wiki/Active_Directory_Federation_Services

Simon East

Редактировал вопрос 27-го июля 2015 в 3:12

Системное администрирование

active-directory adfs

27-го июля 2015 в 3:04

20 просмотров

Комментарии к вопросу (4)

Reaces · Accepted Answer · 2015-07-27T07:26:34+00:00

для стороннего человека, что является ADFS?

Службы ADFS является Microsoft'ы решение для единого входа и проверки подлинности веб-основе.

Он используется в основном, чтобы обеспечить единый набор учетных данных, которые могут получить доступ к различным сайтам, не обязательно размещать в пределах того же домена.

чем она отличается к вещам, как к LDAP?

В LDAP:

Осуществляет связь с использованием протокола TCP/UDP на порт 389 (или порт 636 для ldaps)
Содержит команды для поиска/извлечения/добавления/удаление/изменение пользователей, профили и другие элементы каталога
Может не быть выполнены непосредственно с помощью веб-браузера, однако HTTP-аутентификации могут быть переведены в LDAP, используя вещи, как Apache'mod_authnz_ldap-ный`.
При использовании для проверки подлинности сторонних веб-сайт, требует логин и усилителя; пароль предоставляются третьей стороной, которая не является идеальным для обеспечения безопасности.
Более открытым стандартом и имеет множество реализаций под Linux.

ADF-файлы:

Лучше предназначен для веб-страницы, как он общается по стандартному протоколу HTTPS
Следует более безопасного процесса похожие (но не точно) с OAuth, где имя пользователя/пароль непосредственно в организацию'с помощью служб ADFS сервер (или прокси-сервера, но не третьей стороны), который, если действует, возвращает уникальный маркер, который может быть использован для доступа к стороннему сайту.
Хотя он использовать использовать некоторые открытые стандарты (протоколы https, SAML и т. д.) это Майкрософт-специфического и требует от информационных служб Интернета (IIS), который работает только на серверах Windows.

См. Также этот ответ на эту тему.

как это работает? Какая информация будет включена в обычный запрос на сервер ADFS? Он предназначен для аутентификации и авторизации?

Это работает при наличии одном месте (сайте), на котором размещены службы ADFS / ADF-файлы прокси-сервера, который имеет доступ к учетным данным (обычно, общаясь с контроллером домена активных каталогов). Ему тогда дали доверие между другими сайтами (сайты Б & С), которые требуют проверки подлинности с помощью служб ADFS.

Когда пользователь пытается получить доступ к веб-узел B в своем браузере, сайт перенаправляет пользователя на библиотеку прокси-сайт (сайт) в котором просит ввести имя пользователя и усилителя; пароль, проверяет их, возвращает набор cookie-файлов с целью их запоминания, и перенаправляет их на сайте Б, вместе с маркер доступа.

Если пользователь пытается посетить сайт C, они также будут перенаправлены на сайт для проверки подлинности с помощью служб ADFS-прокси-сайт. Если существует право куки, пользователю не потребуется повторно вводить свой пароль, но вам мгновенно перенаправлены обратно на сайт C с маркером.

ADF могут быть настроены с конкретными претензиями (или разрешения) для пользователя, для авторизации. Поэтому он может служить в обеих ролях. (Примечание разницу между проверкой подлинности и авторизацией.)

Некоторые люди предпочитают не использовать его для авторизации, но вместо того, чтобы держать управление разрешениями на стороннем сайте. Очевидным недостатком является то, что оба сайта &ампер; Б нужно следить за учетными записями пользователей, а в случае, когда ADFS для обработки обоих, только ADF-файлы, чтобы быть в курсе пользователи.

несколько ADF-файлы сервера, как правило, доступны из интернета (в то время как корпоративные контроллеры домена ad не будет)?

Да, почти всегда. Службы ADFS основывается на том, что он в основном будет использоваться для проверки подлинности веб-сайта. И строится вокруг служб IIS.

Служб ADFS-прокси-сайт-это тот, который обычно доступен из интернета. Однако сам ADFS не. В ADFS-это вообще отдельный сервер от сервера ADFS-прокси.

Сервер ADFS Сервер, ссылки на учетные данные, и имеет конфигурацию претензии, а также доверяет. Вообще не был общедоступным.
ADF-файлы прокси-сервера Сервер, на котором размещается экземпляр IIS со страницы входа на сайты, требующие проверки подлинности. Передает обратно на ADFS, когда требуется аутентификация. Как правило, общедоступной.