Vì vậy, tôi đã được thông báo rằng ứng dụng PHP của chúng tôi có thể cần hỗ trợ xác thực bằng ADFS.
Đối với một người không phải là Microsoft, ADFS là gì?
Nó khác với những thứ như LDAP như thế nào?
Làm thế nào nó hoạt động? Loại thông tin nào sẽ được bao gồm trong yêu cầu thông thường đến máy chủ ADFS? Được thiết kế cho cả xác thực và ủy quyền?
Các máy chủ ADFS thường có thể truy cập từ internet (trong khi các bộ điều khiển miền AD của công ty sẽ không)?
Tôi đã thử đọc một số tài liệu Technet, nhưng nó chứa đầy Microsoft-speak không hữu ích lắm.
Wikipedia là tốt hơn (xem bên dưới), nhưng có lẽ một số cộng đồng ServerFault có thể điền vào một số khoảng trống.
Dịch vụ Liên kết Active Directory (ADFS) là một thành phần phần mềm do Microsoft phát triển có thể được cài đặt trên hệ điều hành Windows Server để cung cấp cho người dùng quyền truy cập đăng nhập một lần vào các hệ thống và ứng dụng nằm trong ranh giới tổ chức. Nó sử dụng mô hình ủy quyền kiểm soát truy cập dựa trên khiếu nại để duy trì bảo mật ứng dụng và triển khai danh tính liên kết.
Xác thực dựa trên yêu cầu là quá trình xác thực người dùng dựa trên tập hợp các khiếu nại về danh tính của nó có trong mã thông báo đáng tin cậy.
Trong ADFS, liên kết danh tính được thiết lập giữa hai tổ chức bằng cách thiết lập niềm tin giữa hai lĩnh vực bảo mật. Máy chủ liên kết ở một bên (phía Tài khoản) xác thực người dùng thông qua các phương tiện tiêu chuẩn trong Dịch vụ miền Active Directory và sau đó phát hành mã thông báo chứa một loạt khiếu nại về người dùng, bao gồm cả danh tính của người dùng. Mặt khác, phía Tài nguyên, một máy chủ liên kết khác xác thực mã thông báo và phát hành một mã thông báo khác cho các máy chủ cục bộ để chấp nhận danh tính được yêu cầu. Điều này cho phép hệ thống cung cấp quyền truy cập có kiểm soát vào tài nguyên hoặc dịch vụ của mình cho người dùng thuộc một lĩnh vực bảo mật khác mà không yêu cầu người dùng xác thực trực tiếp với hệ thống và không có hai hệ thống chia sẻ cơ sở dữ liệu nhận dạng hoặc mật khẩu người dùng.
Trong thực tế phương pháp này thường được người dùng cảm nhận như sau:
- Người dùng đăng nhập vào PC cục bộ của họ (như họ thường làm khi bắt đầu làm việc vào buổi sáng)
- Người dùng cần lấy thông tin trên trang web extranet của đối tác - ví dụ: để có được giá cả hoặc chi tiết sản phẩm
- Người dùng điều hướng đến trang web extranet của công ty đối tác - ví dụ: http://example.com
- Trang web đối tác hiện không yêu cầu nhập bất kỳ mật khẩu nào - thay vào đó, thông tin đăng nhập của người dùng được chuyển đến trang web extranet của đối tác bằng AD FS
- Người dùng hiện đã đăng nhập vào trang web đối tác và có thể tương tác với trang web 'đăng nhập'
Từ https://en.wikipedia.org/wiki/Active_Directory_Fedenses_Service