Службы федерации Active Directory (AD FS), программный компонент, разработанный Microsoft , может работать в операционных системах Windows Server, чтобы предоставить пользователям доступ с единой регистрацией к системам и приложениям, расположенным за пределами организации. Он использует модель авторизации с контролем доступа на основе утверждений для обеспечения безопасности приложений и реализации федеративной идентификации . [1] Аутентификация на основе утверждений включает аутентификацию пользователя на основе набора утверждений об идентичности этого пользователя.содержится в доверенном токене. Такой токен часто выдается и подписывается объектом, который может аутентифицировать пользователя другими способами и которому доверяет объект, выполняющий аутентификацию на основе утверждений. [2] Это часть служб Active Directory .
Подробности
В AD FS федерация удостоверений [3] устанавливается между двумя организациями путем установления доверия между двумя областями безопасности. Сервер федерации на одной стороне (сторона учетных записей) аутентифицирует пользователя стандартными средствами в доменных службах Active Directory, а затем выдает токен, содержащий серию утверждений о пользователе, включая его личность. С другой стороны, на стороне ресурсов, другой сервер федерации проверяет токен и выдает другой токен для локальных серверов, чтобы они приняли заявленное удостоверение. Это позволяет системе предоставлять контролируемый доступ к своим ресурсам или службам пользователю, который принадлежит к другой области безопасности, без необходимости аутентификации пользователя непосредственно в системе и без совместного использования двумя системами базы данных идентификаторов пользователей или паролей.
На практике пользователь обычно воспринимает этот подход следующим образом:
- Пользователь входит в свой локальный компьютер (как обычно, когда он начинает работу утром).
- Пользователю необходимо получить информацию с веб-сайта экстрасети партнерской компании, например, для получения информации о ценах или продукте.
- Пользователь переходит на сайт экстрасети компании-партнера, например: http://example.com.
- Партнерский сайт теперь не требует ввода пароля; вместо этого учетные данные пользователя (в защищенном утверждении) передаются на сайт экстрасети партнера с помощью AD FS.
- Теперь пользователь вошел на партнерский веб-сайт и может взаимодействовать с веб-сайтом, как если бы он был авторизован.
AD FS интегрируется с доменными службами Active Directory , используя их в качестве поставщика удостоверений. AD FS может взаимодействовать с другими службами федерации, совместимыми с WS- * и SAML 2.0, в качестве партнеров федерации. [4]
Версии
- ADFS 1.0 - Windows Server 2003 R2 (дополнительная загрузка)
- ADFS 1.1 - Windows Server 2008 и Windows Server 2008 R2
- ADFS 2.0 - Windows Server 2008 и Windows Server 2008 R2 (скачать с Microsoft.com)
- ADFS 2.1 - Windows Server 2012
- ADFS 3.0 - Windows Server 2012 R2 [5]
- Windows Server 2016 AD FS - Windows Server 2016 [6]
- Windows Server 2019 AD FS - Windows Server 2019 [6]
Смотрите также
Рекомендации
- ^ «Знакомство с AD FS 2.0» . Microsoft TechNet. 2 мая 2010 . Проверено 2 марта 2017 года .
- ^ «Введение в претензии» . MSDN. 2016 . Проверено 26 мая 2016 года .
- ^ "Что такое Федеративное управление идентификацией?" . Технопедия. 2016 . Проверено 26 мая 2016 года .
- ^ «Глубокое погружение в ADFS» . MSDN. 2 ноября 2014 . Проверено 18 мая 2016 года .
- ^ «Конфигурация ADFS в Windows Server 2012 R2 Standard» . ТатваСофт. 2018 . Проверено 19 сентября 2018 года .
- ^ а б «Часто задаваемые вопросы по AD FS (FAQ)» . Microsoft. 17 апреля 2019 . Проверено 2 марта 2020 года .
Внешние ссылки
- Карта содержимого AD FS 2.0
- Библиотека AD FS TechNet
- Библиотека AD FS MSDN
- AD FS в Server 2016 Что нового