Active Directory 联合身份验证服务概述.doc

Windows?Server?2003?R2 中的 Active Directory 联合身份验证服务概述 Microsoft Corporation 发布时间：2005 年 10 月 作者：Nick Pierson 编辑：Jim Becker 摘要 联合身份管理是一个基于标准的技术和信息技术流程，支持跨组织边界和平台边界进行分布式标识、身份验证和授权。各个联合系统跨组织边界进行互操作，并连接利用不同技术、标识存储、安全手段和编程模型的进程。在联合系统中，组织需要通过安全的标准化方法来表述可供受信任伙伴和客户使用的服务以及运营其业务所依据的策略（例如信任哪些其他组织和用户、接受哪些类型的凭据和请求及其隐私策略）。 Windows?Server?2003?R2 中的 Active Directory 联合身份验证服务 (ADFS) 解决方案通过使组织可以安全地共享用户的标识信息，帮助管理员解决这些问题。 目录 ADFS 概述 5 ADFS 简介 5 ADFS 的关键功能 5 将 Active Directory 扩展到 Internet 6 联合身份验证方案 6 联合 Web SSO 7 带林信任的联合 Web SSO 7 Web SSO 9 伙伴组织 9 帐户伙伴 10 资源伙伴 10 ADFS 服务器角色 11 联合身份验证服务器 12 联合身份验证服务器代理 12 Web 服务器 13 联合身份验证信任 13 联合身份验证服务 14 联合身份验证服务网页 15 联合身份验证服务代理 16 ADFS Web 代理 16 ADFS 中使用的术语 16 ADFS 资源 20 ADFS 概述 ADFS 简介 Active Directory 联合身份验证服务 (ADFS) 是 microsoft? Windows?server??2003?R2 中的一个组件，它提供 Web 单一登录 (SSO) 技术，可在单一联机会话生存期内，从多个 Web 应用程序对用户进行身份验证。ADFS 通过跨安全边界和企业边界安全地共享数字标识和权限（或“声明”）来实现此功能。 ADFS 不是： ? .NET Passport。 ? 员工或客户标识数据的数据库或储存库。 ? Active?directory? 目录服务架构的扩展。 ? 一种 Windows 域信任或林信任类型。 Windows?Server?2003?R2 中的 ADFS 支持 WS-Federation 被动请求方配置文件 (WS-F PRP)。 ADFS 的关键功能 以下是 Windows?Server?2003?R2 中的 ADFS 的一些关键功能： ? 联合身份验证和 Web SSO 组织使用 Active?directory? 目录服务时，现在在组织的安全边界或企业边界内，通过 Windows 集成的身份验证可以体验 SSO 功能的好处。ADFS 将此功能扩展到面向 Internet 的应用程序，使客户、伙伴和供应商在访问组织的基于 Web 的应用程序时，可以获得类似的最新式 Web SSO 用户体验。此外，联合身份验证服务器可以部署在多个组织中，以便在伙伴组织之间进行公司对公司 (B2B) 的联合交易。 ? Web 服务 (WS)-* 互操作性 ADFS 提供联合身份管理解决方案，可以与支持 WS-* Web 服务体系结构的其他安全产品进行互操作。ADFS 通过使用 WS-* 的联合身份验证规范（称为 WS-Federation）实现此目的。WS-Federation 规范使得不使用 Windows 标识模型的环境可以与 Windows 环境联合进行身份验证。 ? 可扩展体系结构 ADFS 提供支持安全声明标记语言 (SAML) 令牌类型和 Kerberos 身份验证（在带林信任的联合 Web SSO 方案中）的可扩展体系结构。ADFS 还可以执行声明映射，例如，通过将自定义商业逻辑作为访问请求中的变量来修改声明。组织可以使用此扩展性来修改 ADFS，以便与其现行安全基础结构和企业策略共存。 将 Active Directory 扩展到 Internet Active?Directory 在许多组织中充当主要的标识和身份验证服务。使用 Windows?Server?2003 Active?Directory，可以在两个或更多的 Windows?Server?2003 林之间创建林信任，以便访问不同商业部门或组织中的资源。有关林信任的详细信息，请参阅 Microsoft 网站上的 How Domain and Forest Trusts Work（域信任和林信任的工作方式）(/fwlink/?LinkId=35356)。 但是，有些方案中