ADFS，LDAP使用Active Directory

Question

我对了解Active Directory使用情况几乎没有具体的问题：

1. ADFS是使用单个URL为存储在Active Directory中的用户启用SSO登录应用程序的服务/软件。正确？
2. LDAP是一种协议，它公开存储在Active Directory中的其他功能，如获取用户，删除用户，通过绑定方法等的身份验证用户。正确？
3. 那么LDAP和ADFS是否可以在同一个Active目录下工作？这个链接： LDAP support in ADFS让我感到困惑的是它将LD和AD称为单独的实体。

我不能在同一个AD上应用这两种机制吗？我只了解LDAP。试图学习ADFS。

Answer 1

ADFS为SaaS服务和现代LOB应用程序提供SSO功能。传统上，它使用存储在Active Directory域服务中的身份来验证用户的凭据。 2016年，我们还增加了对包含存储在任何第三方LDAP目录中的身份的支持。

无论身份存储在何处，ADFS都会在信任它的应用程序之间提供SSO。

希望这澄清一下。

谢谢// Sam（推特：@MrADFS）

Answer 2

AD存储用户，组和凭据。

要访问AD中的属性，请使用LDAP协议，例如： C＃目录服务API。

ADFS处理针对AD的身份验证，并在AD之上添加联合层。

通过ADFS访问AD属性的正确方法是使用基于声明的身份验证，您可以配置ADFS以将属性（作为声明）置备到令牌中，然后在客户端提取它们。