adfs

百科解釋

   Active Directory Federation Services
活動(dòng)目錄聯(lián)合服務(wù)（ADFS）

　　Microsoft&＃039;s 推出的Windows Server 2003 R2最引人注目的新特點(diǎn)是活動(dòng)目錄聯(lián)合服務(wù) (ADFS). ADFS是一種能夠用于一次會(huì)話過(guò)程中多個(gè)Web應(yīng)用用戶認(rèn)證的新技術(shù)。在這篇文章中，我會(huì)解釋ADFS的重要特點(diǎn)和ADFS的工作原理。

　　什么是ADFS?
　　ADFS將活動(dòng)目錄拓展到Internet。要理解這一點(diǎn)，可以考慮一般活動(dòng)目錄設(shè)施的工作原理。當(dāng)用戶通過(guò)活動(dòng)目錄認(rèn)證時(shí)，域控制器檢查用戶的證書(shū)。證明是合法用戶后，用戶就可以隨意訪問(wèn)Windows網(wǎng)絡(luò)的任何授權(quán)資源，而無(wú)需在每次訪問(wèn)不同服務(wù)器時(shí)重新認(rèn)證。
　　ADFS將同樣的概念應(yīng)用到Internet. 我們都知道Web應(yīng)用訪問(wèn)位于SQL Server或其他類型后端資源上的后端數(shù)據(jù)。對(duì)后端資源的安全認(rèn)證問(wèn)題往往比較復(fù)雜�？梢杂泻芏嗖煌恼J(rèn)證方法提供這樣的認(rèn)證。例如，用戶可能通過(guò)RADIUS(遠(yuǎn)程撥入用戶服務(wù)認(rèn)證)服務(wù)器或者通過(guò)應(yīng)用程序代碼的一部分實(shí)現(xiàn)所有權(quán)認(rèn)證機(jī)制。
　　這些認(rèn)證機(jī)制都可實(shí)現(xiàn)認(rèn)證功能，但是也有一些不足之處。不足之一是賬戶管理。當(dāng)應(yīng)用僅被我們自己的員工訪問(wèn)時(shí)，賬戶管理并不是個(gè)大問(wèn)題。但是，如果您的供應(yīng)商、客戶都使用該應(yīng)用時(shí)，您會(huì)突然發(fā)現(xiàn)您需要為其他企業(yè)的員工建立新的用戶賬戶。不足之二是維護(hù)問(wèn)題。當(dāng)其他企業(yè)的員工離職，雇傭新員工時(shí)，您需要?jiǎng)h除舊的賬戶和創(chuàng)建新的賬戶。密碼也是一個(gè)問(wèn)題。一旦應(yīng)用配置完成，您要不斷的為那些甚至沒(méi)有為您公司工作的人員重新修改密碼。

　　ADFS能為您做什么?
　　如果您將賬戶管理的任務(wù)轉(zhuǎn)移到您的客戶、供應(yīng)商或者其他使用您Web應(yīng)用的人會(huì)怎樣?設(shè)想一下，如果您這樣，Web應(yīng)用為其他企業(yè)提供服務(wù)，而您再也不用為那些員工創(chuàng)建用戶賬戶或者重設(shè)密碼。如果這還不夠，使用這一應(yīng)用的用戶不再需要登錄應(yīng)用。這聽(tīng)起來(lái)是不是好得讓人難以置信?
　　通過(guò)技術(shù)您可以創(chuàng)建跨森林的信任和將這種信任拓展到Web應(yīng)用. 例如，假設(shè)您的供應(yīng)商需要訪問(wèn)您的Web應(yīng)用。您不用為您的供應(yīng)商建立和維護(hù)一系列用戶賬戶，他們可以在自己的活動(dòng)目錄下創(chuàng)建安全組。通過(guò)組維護(hù)所有需要訪問(wèn)您Web應(yīng)用的用戶。然后，您可以簡(jiǎn)單地對(duì)組授予權(quán)限。即使組存在于一個(gè)和您的Web應(yīng)用完全不同活動(dòng)目錄森林也能實(shí)現(xiàn)。這樣，當(dāng)供應(yīng)商網(wǎng)絡(luò)上的用戶想要訪問(wèn)您的Web應(yīng)用時(shí)，他們并不需要登錄，應(yīng)用自動(dòng)地通過(guò)組成員資格完成用戶認(rèn)證。
　　當(dāng)然，這只是您怎樣建立聯(lián)合信任的一個(gè)例子。Windows Server 2003 R2還未正式發(fā)布，目前關(guān)于ADFS配置過(guò)程的資料還不是很多。實(shí)際的配置過(guò)程可能和上文提到的略有不同，但是基本原理是不變的。

　　ADFS需要什么?
　　當(dāng)然，活動(dòng)目錄聯(lián)合服務(wù)還需要其它的一些配置才能使用，您需要一些服務(wù)器執(zhí)行這些功能。最基本的是聯(lián)合服務(wù)器，聯(lián)合服務(wù)器上運(yùn)行ADFS的聯(lián)合服務(wù)組件。聯(lián)合服務(wù)器的主要作用是發(fā)送來(lái)自不同外部用戶的請(qǐng)求，它還負(fù)責(zé)向通過(guò)認(rèn)證的用戶發(fā)放令牌。
　　另外在大多數(shù)情況下還需要聯(lián)合代理。試想一下，如果外部網(wǎng)絡(luò)要能夠和您內(nèi)部網(wǎng)絡(luò)建立聯(lián)合協(xié)議，這就意味著您的聯(lián)合服務(wù)器要能通過(guò)Internet訪問(wèn)。但是活動(dòng)目錄聯(lián)合并不很依賴于活動(dòng)目錄，因此直接將聯(lián)合服務(wù)器暴露在Internet上將帶來(lái)很大的風(fēng)險(xiǎn)。正因?yàn)檫@樣，聯(lián)合服務(wù)器不能直接和Internet相連，而是通過(guò)聯(lián)合代理訪問(wèn)。聯(lián)合代理向聯(lián)合服務(wù)器中轉(zhuǎn)來(lái)自外部的聯(lián)合請(qǐng)求，聯(lián)合服務(wù)器就不會(huì)直接暴露給外部。
　　另一ADFS的主要組件是ADFS Web代理。Web應(yīng)用必須有對(duì)外部用戶認(rèn)證的機(jī)制。這些機(jī)制就是ADFS Web代理。 ADFS Web代理管理安全令牌和向Web 服務(wù)器發(fā)放的認(rèn)證cookies。
　　正如上文所說(shuō)的, ADFS將極大地?cái)U(kuò)充Web應(yīng)用的能力。拭目以待R2的發(fā)布和ADFS在實(shí)際應(yīng)用中使用。

通信詞典解釋