Есть ли у Microsoft Active Directory возможность быть поставщиком удостоверений?

Question

Я ищу интеграцию с SSO IdP (провайдер идентификации) и пытаюсь понять, может ли AD выполнять эту роль. Т.е. я настраиваю пользователей в AD, пользователи аутентифицируются на веб-странице, которая проверяет действительность их пароля с помощью AD, которая генерирует подписанный токен, который я могу использовать для входа в свое приложение.

Спасибо!

Answer 1

Да, AD можно легко использовать в качестве провайдера идентификации для единого входа по назначению.

Если вы этого добиваетесь, было бы неплохо добиться единого входа в систему (SSO) через Microsoft AD FS (службы федерации Active Directory) .

Я процитирую обзор из Статьи MSDN по службам федерации Active Directory :

Обзор

AD FS - это основанная на стандартах служба, которая позволяет безопасно обмениваться идентификационная информация между надежными деловыми партнерами (известная как федерация) через экстранет. Когда пользователю нужен доступ к сети приложение от одного из партнеров федерации, собственное организация несет ответственность за аутентификацию пользователя и предоставление личная информация в виде «претензий» к партнеру, который принимает веб-приложение. Хостинг-партнер использует свою политику доверия для сопоставления входящие претензии к претензиям, понятным его Сети приложение, которое использует претензии для принятия решений об авторизации.

AD FS - это реализация Microsoft пассивной федерации WS Протокол профиля запроса (пассивный указывает, что клиент требования - это только веб-браузер с поддержкой файлов cookie и JavaScript). AD FS реализует основанный на стандартах протокол WS-Federation и Язык разметки утверждений безопасности (SAML).

... // перейдите по ссылке, указанной выше, для получения дополнительной информации.