ADAM,Active Directory,LDAP,ADFS,身份

时间:2011-01-06 21:12:38

标签: active-directory ldap adam windows-identity adfs

ADAM,Active Directory,LDAP,ADFS,Windows Identity,卡片空间和哪个服务器(Windows 2003,Windows 2008)使用什么之间有什么区别/关系?

2 个答案:

答案 0 :(得分:30)

Active Directory 是一个服务器组件,用于管理Windows域并存储相关信息,例如有关用户的详细信息。它提供了网络协议LDAP,DNS,CIFS和Kerberos的实现。它是Windows Server 2003以及Windows Server 2008的一部分,在后一种情况下进行了一些修改。

ADAM 有点像Active Directory的小兄弟。它只包含LDAP的实现。在Windows Server 2008中,它已重命名为 LDS ,轻量级目录服务。 ADAM / LDS也可以安装在非服务器版本的Windows上。

LDAP 是用于管理目录服务数据的协议。目录服务中的数据以分层方式存储,即树。该树中的条目可以包含一组属性,每个属性都有一个名称和一个值。它们主要用于存储用户相关信息,如用户名,密码,电子邮件地址等,因为有用于此目的的标准化模式,并且它得到了应用程序的广泛支持。

ADFS 是一种为Identity Federation中的Web应用程序用户启用单点登录的技术。以非常简短的形式:想象两个组织将其用户数据存储在活动目录中。现在,每个组织都希望为其他组织的用户提供对其Web应用程序的访问权限,但受限于用户数据本身既不应被复制,也不应被其他组织完全访问。这是ADFS可以解决的问题。可能需要一个小时的阅读时间。在充分理解之前进行研究。

答案 1 :(得分:16)

填补上述空白:

ADFS 是STS(安全令牌服务)的示例。可以将STS配置为彼此具有信任关系。想象一下,您的公司只有内部用户,他们希望扩展到外部用户。这意味着所有外部用户都必须注册,获取用户名,密码等。也许公司不想存储所有这些东西。他们意识到他们的大多数外部用户已经拥有OpenId帐户。因此,他们将ADFS与接受OpenId凭证的STS联合(信任)。

当外部用户想要访问公司网站时,会通过下拉菜单询问他们的用户类型。他们选择OpenID。然后将它们带到OpenId站点进行身份验证。然后,用户通过签名令牌重定向回公司ADFS,该令牌表明OpenId已对用户进行了身份验证。由于存在信任关系,因此ADFS接受身份验证并允许用户访问该网站。

公司没有存储任何OpenId凭据。

实际上,您已经外包了身份验证。

ADFS目前在Windows Server 2008 R2上运行。

对于 Windows Identity (在ADFS的上下文中),我假设您询问的是Windows Identity Foundation(WIF)。这本质上是一组使用VS添加到项目中的.NET类,使应用程序“声明感知”。有一个名为FedUtil的VS工具将应用程序映射到STS,并描述将要提供的声明。 (声明是属性,例如名称,DOB等)当用户访问应用程序时,WIF将用户重定向到用户登录的映射STS.WIF然后向应用程序提供一组声明。基于这些,应用程序可以根据用户声明更改流程。例如。只有声明类型为Role且值为Editor的用户才能更改页面。

WIF也可以充当访问管理器。只有编辑可以访问此页面。其他用户只是收到错误。

在WIF中,应用程序被称为“依赖方”(RP)。

VS内部的WIF需要Vista或Windows 7。

由于STS可以相互联合,因此每个STS可以提供​​一组声明。

E.g。在上面的示例中,OpenId STS可以提供​​用户的名称,而公司ADFS可以提供​​与OpenId无关的信息,例如公司中的角色。

Cardspace 是一种通过数字身份进行身份验证的机制,例如启用的应用程序可以通过选择您的某个“卡”来要求您登录,其中一个可能是例如您的个人X509证书。然后,应用程序将根据其存储的凭据对此进行检查。

2011年2月,微软宣布他们将不再开发Windows CardSpace产品。