Возможности понимания ADFS

Question

Извините, если это глупый вопрос. Я прочитал много статей о настройке ADFS и о том, что нет, но что я не понимаю (так как это не является моей основной областью работы или интереса), так это то, что он действительно способен обрабатывать то, что мне нужно.

То есть: у меня есть сервер Sharepoint в домене "domainA". Теперь мне сказали, что с помощью ADFS я могу «делегировать» разрешения другим внешним AD. Насколько я понимаю, я могу сказать, что этой другой компании, использующей "domainB", разрешено входить на мой сервер sharepoint? Это вообще правильно? Таким образом, пользователям доменов «domainA» и «domainB» разрешено входить в систему, и я могу устанавливать разрешения для sharepoint для пользователей обоих AD?

Answer 1

ADFS является экземпляром системы маркеров безопасности (STS).

SP 2010 имеет свой собственный STS, который можно объединить с экземпляром ADFS в домене A, который позволяет пользователям проходить аутентификацию через домен A AD. Эти пользователи настроены на получение набора заявок от домена A AD, который SP 2010 использует в качестве разрешений (т. Е. Авторизация).

Если у вас есть другой домен - домен B - обычная практика - установить еще один экземпляр ADFS в этом домене, а затем объединить две ADFS. Эти пользователи также получат набор претензий.

Теперь пользователи в Домене A проходят проверку подлинности в AD домена, а пользователи в Домене B проходят проверку подлинности в AD домена B, и оба имеют доступ к приложению SP2010.

Чтобы решить, где проходить аутентификацию, пользователю будет предложен экран Home Realm Discovery, который спросит его, где он хочет пройти аутентификацию. Это нестандартное поведение.

Для всего, что связано с ADFS, посмотрите здесь .