ADFS与Azure AD之间的区别
我了解ADFS是一种STS(安全令牌服务),从某种意义上来说,它是向应用程序发行令牌以帮助应用程序建立用户身份的。在组织级别,我们的组织使用带有WS-Federation协议的ADFS对组织的所有内部应用程序中的用户进行身份验证,并实施SSO。
在我们的组织中,我们也有Azure AD帐户,并且我已经使用Azure AD注册了我们的自定义应用程序,并且每当未经身份验证的用户进入我们的应用程序时,此人都将重定向到Azure广告登录页面,并且必须验证自己。身份验证成功后,Azure AD还将颁发令牌(ID令牌,访问令牌,刷新令牌)
我的问题是,像ADFS一样,我是否可以将Azure AD视为一种STS(安全令牌服务),因为它会发布令牌以建立客户端身份?
答案 0 :(得分:2)
两者都是安全的令牌服务。
这当然是两种不同的服务,通常您负责ADFS基础结构,而您不负责AAD基础结构。
如果您使用Azure AD Connect启用了用户同步,Azure AD还可以将身份验证联合到ADFS。 在这种情况下,Azure AD将用户重定向到ADFS进行身份验证,并信任ADFS提供的答案。 从应用程序的角度来看,用户根据AAD进行身份验证的方式没有任何区别。
答案 1 :(得分:2)
ADFS仅处理身份验证和授权。它不处理用户配置。
从这个意义上说,ADFS不是身份提供者,它只是一个STS。
您需要ADFS(身份验证)和AD(用户)的单独实例。 AAD结合了两者。
顾名思义,ADFS是位于AD之上的联合层。
此外,ADFS是R-STS,因为它可以位于联盟的中间。它可以处理上游和下游请求。 AAD不能-它始终是端点。
ADFS具有索赔规则的权力,AAD没有这种概念。