ADAM, Active Directory, LDAP, ADFS, Identity

Ответ 1

Active Directory - это серверный компонент для администрирования доменов Windows и хранения связанной информации, такой как информация о пользователях. Он обеспечивает реализацию сетевых протоколов LDAP, DNS, CIFS и Kerberos. Это часть Windows Server 2003, а также Windows Server 2008 с некоторыми изменениями в последнем случае.

ADAM был похож на младшего брата Active Directory. Он содержал только реализацию LDAP. С Windows Server 2008 он был переименован в LDS, облегченные службы каталогов. ADAM/LDS также можно установить на несерверных версиях Windows.

LDAP - это протокол для администрирования данных службы каталогов. Данные в службах каталога хранятся иерархически, дерево. Записи внутри этого дерева могут содержать набор атрибутов, каждый из которых имеет имя и значение. Они в основном используются для хранения информации, связанной с пользователем, например, имена пользователей, пароли, адреса электронной почты и т.д., Поскольку для этой цели существуют стандартизованные схемы и широко поддерживаются приложениями.

ADFS - это технология, которая позволяет использовать Single Sign-On для пользователей веб-приложений в федерации удостоверений. В очень короткой форме: представьте две организации, которые имеют свои пользовательские данные, хранящиеся в активном каталоге. Теперь каждая организация хочет предоставить пользователям другой организации доступ к своим веб-приложениям, но с ограничением того, что сами пользовательские данные не должны копироваться и не быть полностью доступными для другой организации. Это проблема, которую может решить ADFS. Может потребоваться час чтения и исследования до полного понимания.

Ответ 2

Чтобы заполнить пробелы выше:

ADFS - пример службы STS (Security Token Service). STS может быть настроен так, чтобы иметь доверительные отношения друг с другом. Представьте, что у вас есть компания, у которой есть только внутренние пользователи, и они хотят расширить доступ к внешним пользователям. Это означает, что все внешние пользователи должны зарегистрироваться, получить имя пользователя, пароль и т.д. Возможно, компания не хочет хранить все это. Они понимают, что у большинства своих внешних пользователей уже есть учетная запись OpenId. Таким образом, они объединяют (доверяют) свою ADFS с STS, которая принимает учетные данные OpenId.

Когда внешний пользователь хочет получить доступ к веб-сайту компании, им задают вопрос, какой пользователь они выгружают. Они выбирают OpenID. Затем они отправляются на сайт OpenId, где они аутентифицируются. Затем пользователь перенаправляется обратно в ADFS компании с подписанным токеном, который указывает, что OpenId аутентифицировал пользователя. Поскольку существует доверительное отношение, ADFS принимает аутентификацию и позволяет пользователю получить доступ к веб-сайту.

Ни один из учетных данных OpenId не хранится компанией.

Эффективно, вы используете аутсорсинг аутентификации.

В настоящее время ADFS работает на Windows Server 2008 R2.

Для Идентификации Windows (в контексте ADFS) я предполагаю, что вы спрашиваете о Windows Identity Foundation (WIF). Это, по сути, набор классов .NET, которые добавляются в проект с использованием VS, что делает приложение "подтверждением требований". Существует VS-инструмент под названием FedUtil, который отображает приложение в STS и описывает заявки, которые будут предоставлены. (Требование - это атрибут, например, имя, DOB и т.д.). Когда пользователь обращается к приложению, WIF перенаправляет пользователя на отображаемую STS, где пользователь входит в систему. WIF затем предоставляет приложение набор требований. Исходя из этого, приложение может изменять потоки на основе требований пользователя. Например. только пользователи с типом претензий Роль со значением Редактора могут изменять страницы.

WIF также может выступать в качестве диспетчера доступа, например. только Редакторы могут получить доступ к этой странице. Другие пользователи просто получают сообщение об ошибке.

В WIF приложение упоминается как "Сторона-оппонент" (RP).

WIF внутри VS требует Vista или Windows 7.

Поскольку STS могут быть объединены друг с другом, каждая STS может предоставить группу претензий.

например. в приведенном выше примере OpenSD STS может предоставить имя пользователя, в то время как компания ADFS может предоставить информацию, не относящуюся к OpenId, например, роль в компании.

Cardspace - это механизм аутентификации через цифровой идентификатор, например. разрешенное приложение может попросить вас войти в систему, выбрав одну из ваших "карточек", одна из которых может быть, например, ваш персональный сертификат X509. Затем приложение проверит это на наличие учетных данных, которые он сохранил.

В феврале 2011 года Microsoft объявила, что больше не будет разрабатывать продукт Windows CardSpace.