什么是ADFS?

ADFS的全称是Active Directory Federation Services.

 

ADFS是基于Web的单点登录(Single Sign-On (SSO))的标准, 它通过实现了foreast间的claim based authentication而了开启了联合身份(federated identity).

 

Claim based authentication是一种认证用户的过程, 它的实现基于装在trusted token中的关于用户身份的一系列claims. 这样的一个token通常是由一个能够通过其他途径来认证用户的一个实体来生成并赋予的, 并且这个实体还得被实现了claim based authentication的实体所信任.

 

在ADFS中, 身份的联合(identity federation )是通过在两个组织的安全边界间建立信任关系来实现的. 在一端(account side)的federation server 负责通过在Active Directory domain services中的标准方式认证一个用户, 然后生成一个包含一系列包含有关这个用户的claims的token, 包括federation server的实体本身. 另一端(resource side), 另一个federation server会校验这个token, 然后生成另一个token供本地服务器接受claimd identify所用. 这允许系统为它的资源提对另外一个安全边界的某用户供可控制的访问权限, 而不需要让这个用户直接登录系统, 也不需要两个系统共享用户的identify和密码.

 

ADFS与Active Directory Domain Services进行了集成, 使用Domain Services作为identify provicer. ADFS可以与其他的符合WS-* 和 SAML 2.0的federation services兼容.

 

翻译自维基百科:

Active Directory Federation Services

http://en.wikipedia.org/wiki/Active_Directory_Federation_Services

posted on 2010-05-07 16:23  中道学友  阅读(11848)  评论(0编辑  收藏  举报

导航

技术追求准确,态度积极向上