理解ADFS相关概念
核心概念
Claims是?Token是?Security Token是?Security Token Server (STS)是?
声明与令牌无关,但通过封装在安全令牌中来进行网络传输!
SSL证书是?
ADFS的是什么?又不是什么?(简单来说就是就是给需要身份认证的应用颁发安全令牌Security Token,是一种Security Token Server)
ADFS支持哪些协议?(WS-Federation, SAML2P, OpenID and OAuth?)
ADFS Proxy是?
参考:为安全起见,ADFS服务器部署在内网,不直接对外网提供服务,而是通过部署在外围网络(屏蔽子网)的代理服务器进行转发
信任(trust)是?信任的方向(Trust Direction)是One-way trust 或者Two-way trust?Trust Transitivity(信任的传递)是?
可传递信任?
可传递信任关系在域树形成时向上流动,在域树中的所有域之间创建可传递信任
非传递信任?
非传递信任是指仅限于建立信任关系的两个域之间,它不会流向林中的任何其他域!
Federation?
参考:允许在组织边界之外的可信合作伙伴之间共享身份信息,称为联合
联合信任(federation trust)是?
参考:两个组织之间建立的信任。
Account Store/Attribute store是?
参考:Active Directory Federation Services uses the term “attribute stores” to refer to directories or databases that an organization uses to store its user accounts and their associated attribute values
claims provider(CP) 是?
参考:声明提供方,是联合身份验证服务,负责收集和验证用户,构建声明,并将声明打包为安全令牌(Security Token),ADFS本身就是典型的CP。
claims provider trust(CPT) 是?
参考:受ADFS信赖的其他CP,根据Claims Rules向ADFS发送声明,受信任的CP用户可以访问ADFS配置(relying party trust)中的relying party。
relying party(RP)是?
参考:信赖方,即声明的消费方,需要依赖ADFS进行用户验证的应用程序,信赖方向Claim Provider请求并接收claims provider传过来的Claims(Claim需要根据Claim Rule进行转换/映射)
relying party trust 是?
参考:可以理解为ADFS的“白名单”,受信任的RP才能向接收到ADFS发送的Token/Claims。
claims rule是?
参考:声明的转换规则(通过 Claim Engine执行),规则即:如果服务器收到声明A,则颁发声明B,ADFS向外(relying party应用)发出的声明受claim rule约束,需要在claim rules事先约定(需要进行转换/映射)。
声明引擎(Claims Engine)是联合身份验证服务中的唯一实体,负责在您配置的所有联合信任关系中运行每个规则集(Claims Rule),并将输出结果移交给声明管道(Claims Pipeline)
Federated Web Single Sign-On (SSO) / Federated Web SSO with Forest Trust /Web SSO 三种场景分别是?
Partner organization(多个组织)中的Account Partner Organization/Resource Partner Organization分别是?
参考:Account Partner contains the users produces claims,Resource partner consume claims
SAML是(Assertions / Protocol / Binding )? identity provider (IdP) /service provider(SP)分别是?
声明的映射?
Claim mapping is the act of mapping, removing or filtering, or passing incoming claims into outgoing claims.
声明映射是“映射,删除或过滤或将传入的声明传递到传出的声明中”的动作。
AD FS联合身份验证服务在许多不同的实体之间建立信任。它旨在允许对包含任意值的声明进行可信交换。然后,接收方(例如,资源伙伴)使用这些声明来做出授权决策
联合身份验证服务可以在声明到达联合伙伴或从联合伙伴进入时对其进行映射。
下图显示了声明的映射过程
其他涉及的概念:
Light Directory Access Portocol(LDAP)是?
参考:ADFS使用LDAP协议与域控制器进行通信
这里写的比较好 https://www.cnblogs.com/wilburxu/p/9174353.html
Active Directory Services Interface (ADSI)是?
Active Directory Lightweight Directory Services (AD LDS)是?
Federated Identity Management (FIM)是?
Windows Internal Database (WID)?
Fully Qualified Domain Name(FQDN)?
Subject or Subject Alternative Name (SAN)?
User Principal Name (UPN)?
perimeter network是?