联合身份管理：ADFS与OpenID

Question

我是联合身份管理的新手。我试图了解身份验证协议和概念之间的差异。

我理解OpenID和OAuth之间的区别/关系。但是，我仍然对ADFS，OpenID，IDaaS和基于声明的身份验证概念之间的差异感到困惑。

我正在寻找高级解释。

非常感谢任何帮助。

Answer 1

好吧，我试着解释一下：

• OAuth 2 - 授权授权协议;
• OpenID Connect（OIDC） - OAuth2上的协议构建，允许委派身份验证;而不是我的应用程序实现身份验证，此身份验证由第三方实现。
• Active Directory联合身份验证服务（ADFS） - 协议不是框架。是Microsoft开发的软件，允许单点登录和Federation for Windows网络。
• 基于声明是SAML和OIDC JWT令牌的基础。这些类型的令牌都有关于主题的断言（经过实体认证）并且通常是签名的。

总结：

• OIDC和OAuth 2.0是协议。它们并不表示您的联合会的工作方式或方式。 OAuth2发生在授权阶段，OpenID Connect发生在身份验证和联合阶段。任何公司都可以通过OpenID Provider公开的公钥验证ID令牌，因此成为联盟的一部分。
• ADFS是允许基于SAML协议的联盟的产品（安全但比OIDC更重）
• 基于声明在OIDC和SAML协议中都使用。令牌具有发行人声称对某个实体是正确的信息。如果您依赖第三方发出的令牌，您就成了依赖方。

Answer 2

只是为了扩展。

当你说，OpenID你的意思是，或者你的意思是OpenID Connect？它们是两种不同的协议，现在很少使用OpenID。

ADFS 4.0（Server 2016）是唯一具有完整OpenID Connect / OAuth支持的ADFS（即所有四个配置文件）。

只有ADFS 4.0可以使用LDAP v3.0及更高版本进行身份验证。在早期版本中，您必须使用AD。

SAML和WS-Fed通常也使用SAML令牌而不是JWT令牌。

需要指出的是，ADFS还支持WS-Federation。