Active Directory Federation Services (ADFS)是 Windows Server中的一個角色, 它提供了一個身份驗證和授權解決方案, 允許用戶在同一時間內使用單一的身份進行身份驗證, 即所謂的單點登入(Single Sign-On, SSO), ADFS能夠建立信任關係, 並提供安全、整合的身份管理功能, 使組織能夠與其他組織或雲端服務提供者共享資源
簡單解釋, 如下圖常見的第三方網站帳號登入方式, 就是一種 ADFS的應用, 不過 ADFS提供了更多設定及控制
。基於宣告的應用程式的企業宣告提供者: 可以將 ADFS伺服器設定為宣告提供者, 這表示 ADFS伺服器可以發布有關經過驗證的使用者的宣告, 這允許組織透過使用 SSO 為其使用者提供對另一個組織中的宣告感知應用程式的存取權
。跨網域身分聯合的同盟服務提供者: 該服務提供跨網域的同盟 Web SSO, 從而增強安全性並減少 IT管理員的管理
ADFS一些主要功能:
。Web SSO: 許多組織都部署 ADDS, 透過 IWA向 ADDS進行身份驗證後使用者可以存取他們有權存取 ADDS樹系內的所有其他資源, ADFS將此功能擴展到網際網路或面向網際網路的應用程式, 使客戶、合作夥伴和供應商在存取組織的基於 Web的應用程式時能夠獲得類似、簡化的使用者體驗
。Web服務(Web Services)互通性: ADFS與 Web服務規範相容, ADFS採用 WS-* 的同盟規範稱為 WS-同盟, WS-同盟讓不使用 Windows身分基礎(WIF)身分識別模型的環境能夠與使用 Windows作業系統的環境進行同盟
。被動和智慧裝置的用戶支援: 由於 ADFS是基於 WS-* 體系結構因此它支援任何啟用 WS 的端點之間的同盟通信, 包括伺服器和被動用戶端(例如瀏覽器)之間的通訊, Windows Server 2016中的 ADFS允許存取基於 SOAP的智慧型用戶端, 例如手機、PDA和電腦應用程式, ADFS執行 WS-F PRP 和一些 WS-同盟主動請求者設定檔標準以提供用戶端支援
。可擴充的架構: ADFS提供可擴充的架構支援各種安全性權杖類型, 包括 SAML權杖和透過 Windows的 Kerberos驗證, 以及執行自訂宣告轉換的能力. 例如 ADFS可以將一種權杖類型轉換為另一種權杖類型, 或者可以將自訂商業邏輯新增為存取請求中的變數, 組織可以使用這種可擴充性來修改 ADFS使其與現有的安全基礎架構和商業策略共存
。增強安全性: ADFS也透過將帳戶管理責任委託給最接近使用者的組織來提高同盟的安全性, 同盟中的每個單獨組織繼續管理自己的身份, 並且每個組織都能夠安全增強地共享和接受來自其他成員來源的身份和憑證
沒有留言:
張貼留言