什麼是身份同盟(Identity Federation)

在 Windows Server中, 身份同盟(Identity Federation)是一種身份和身份驗證的解決方案, 它允許不同的組織或服務提供者在彼此之間建立信任關係, 以便共享身份和授權資訊, 這意味著當用戶在一個組織或服務中進行身份驗證後, 他們可以使用這個身份在另一個組織或服務中存取資源而不需要重新驗證, 它提供了一種強大且靈活的方式來管理和驗證用戶的身份和授權

在 ADFS中, 身份同盟通常是透過"信賴關係"(Trust Relationships)來實現的, ADFS可以作為身份提供者(Identity Provider，IdP)和服務提供者(Service Provider，SP)的角色, 當組織之間建立了信賴關係後, ADFS可以作為身份提供者發出和管理權仗(token), 並作為服務提供者驗證這些權仗w-studio.idv.tw

你也可以在單一組織內使用身分同盟, 例如組織可能會規劃部署多個需要身份驗證基於 Web的應用程式, 透過使用 ADFS組織可以為所有應用程式實施一種身份驗證解決方案, 使多個內部網域或樹系中的使用者可以輕鬆存取應用程式, 該解決方案未來可以擴展到外部合作夥伴而無需開發人員更改應用程式

身份同盟的工作原理如下:

1. 建立信任: 首先 ADFS允許組織建立信任關係, 這通常是透過安全的憑證和金鑰來實現

2. 用戶身份驗證: 當用戶在其中一個組織或服務中進行身份驗證時, 這個組織或服務會發出一個安全的憑證或權仗w-studio.idv.tw

3. 權仗的使用: 用戶可以使用這個安全的權仗在其他參與身份同盟的組織或服務中存取資源而不需要再次進行身份驗證

4. 權仗的驗證: 受信任的組織或服務使用這個權仗來驗證用戶的身份和授權, 並授予或拒絕存取資源的權限