ADAM, Active Directory, LDAP, ADFS, личность - PullRequest
22 голосов
/ 07 января 2011

В чем разница / отношение между ADAM, Active Directory, LDAP, ADFS, Windows Identity, карточным пространством и тем, какой сервер (Windows 2003, Windows 2008) использует что?

Ответы [ 2 ]

30 голосов
/ 08 января 2011

Active Directory - это серверный компонент для администрирования доменов Windows и хранения связанной информации, например сведений о пользователях. Он обеспечивает реализации сетевых протоколов LDAP, DNS, CIFS и Kerberos. Это часть Windows Server 2003, а также Windows Server 2008 с некоторыми изменениями в последнем случае.

ADAM был чем-то похож на младшего брата Active Directory. Он содержал только реализацию LDAP. В Windows Server 2008 он был переименован в LDS , Облегченные службы каталогов. ADAM / LDS также можно установить на несерверных версиях Windows.

LDAP - это протокол для администрирования данных службы каталогов. Данные внутри службы каталогов хранятся иерархическим образом, в виде дерева. Записи в этом дереве могут содержать набор атрибутов, каждый из которых имеет имя и значение. Они в основном используются для хранения связанной с пользователем информации, такой как имена пользователей, пароли, адреса электронной почты и т. Д., Поскольку для этой цели существуют стандартизированные схемы, и они широко поддерживаются приложениями.

ADFS - это технология, которая обеспечивает единый вход для пользователей веб-приложений в рамках федерации удостоверений. В очень краткой форме: представьте две организации, в которых пользовательские данные хранятся в активном каталоге. Теперь каждая организация хочет предоставить пользователям другой организации доступ к своим веб-приложениям, но с ограничением, что сами пользовательские данные не должны ни копироваться, ни быть полностью доступными для другой организации. Вот такую ​​проблему может решить ADFS. Может потребоваться час чтения и изучения, прежде чем полностью поняты.

16 голосов
/ 07 марта 2011

Просто чтобы заполнить пробелы выше:

ADFS является примером STS (службы маркеров безопасности).STS могут быть настроены на доверительные отношения друг с другом.Представьте, что у вас есть компания, в которой есть только внутренние пользователи, и они хотят расширяться для внешних пользователей.Это означает, что все внешние пользователи должны зарегистрироваться, получить имя пользователя, пароль и т. Д. Возможно, компания не хочет хранить все эти вещи.Они понимают, что большинство их внешних пользователей уже имеют учетную запись OpenId.Таким образом, они объединяют (доверяют) свои ADFS с STS, который принимает учетные данные OpenId.

Когда внешний пользователь хочет получить доступ к веб-сайту компании, его спрашивают, какой он пользователь, с помощью раскрывающегося списка.Они выбирают OpenID.Затем их переносят на сайт OpenId, где они проходят аутентификацию.Затем пользователь перенаправляется обратно в ADFS компании с подписанным токеном, в котором говорится, что OpenId аутентифицировал пользователя.Поскольку существуют доверительные отношения, ADFS принимает аутентификацию и предоставляет пользователю доступ к веб-сайту.

Ни одна из учетных данных OpenId не хранится компанией.

Фактически, вы используете аутсорсинговую аутентификацию.

ADFS в настоящее время работает на Windows Server 2008 R2.

Для Windows Identity (в контексте ADFS) Я предполагаю, что вы спрашиваете о Windows Identity Foundation (WIF).По сути, это набор классов .NET, которые добавляются в проект с использованием VS, что делает приложение «осведомленным о претензиях».Существует инструмент VS под названием FedUtil , который сопоставляет приложение с STS и описывает требования, которые будут предоставлены.(Заявка - это атрибут, например, имя, DOB и т. Д.) Когда пользователь обращается к приложению, WIF перенаправляет пользователя на сопоставленную STS, где пользователь входит в систему. Затем WIF предоставляет приложению набор утверждений.Основываясь на них, приложение может изменять потоки на основе утверждений пользователя.Например, только пользователи с типом заявки Role со значением Editor могут изменять страницы.

WIF также может выступать в качестве диспетчера доступа. Например, только редакторы могут получить доступ к этой странице.Другие пользователи просто получают сообщение об ошибке.

В WIF приложение называется «Проверяющая сторона» (RP).

WIF внутри VS требует Vista или Windows 7.

Поскольку службы STS могут объединяться друг с другом, каждая служба STS может предоставлять группу утверждений.

Например, в приведенном выше примере служба STI OpenId может предоставлять имя пользователя, в то время как ADFS компании может предоставлять информацию, не относящуюся кOpenId, например, роль в компании.

Cardspace - это механизм аутентификации с помощью цифрового удостоверения, например, включенное приложение может попросить вас войти в систему, выбрав один из ваших "карты ", одной из которых может быть, например, ваш личный сертификат X509.Затем приложение проверит это по сохраненным учетным данным.

В феврале 2011 года Microsoft объявила, что больше не будет разрабатывать продукт Windows CardSpace.

...