我对AD FS有更多的理论问题。如果我使用它作为STS(安全令牌服务)从私人公司网络外部(通过互联网)访问某些内部公司信息,使用基于声明的身份验证,我可以准确地确定将使用哪些凭据进行身份验证,还是预先 - 由Active Directory策略设置?为了更准确,我可以从未在AD中注册的设备进行身份验证吗?
答案 0 :(得分:1)
如果要从公司域外部对ADFS进行身份验证,则应在DMZ中安装ADFS proxy。
ADFS可用于根据安装的Active Directory域对用户进行身份验证,或者信任来自联合STS的令牌。
因此,如果您有一个信任ADFS发出的令牌的Web应用程序,您可以使用WS-Federation,WS-Trust或OAuth 2.0(在ADFS 3.0中)等安全协议来获取令牌来自ADFS并使用它来对您的Web应用程序进行身份验证。
使用这些协议不需要设备注册。
HTH。