AD и LDAP содержат атрибуты пользователя, например, имя, фамилия, номер телефона.
Они также содержат логин и пароль пользователя и роли (группы), поэтому могут использоваться для аутентификации и авторизации.
Эта аутентификация в основном использует Kerberos.
В мире Microsoft AD является основным игроком, но если вам нужна «простая» AD, вы можете использовать ADAM / LDS, который по сути является LDAP.
ADFS (IDP) располагается поверх них и обеспечивает уровень федерации.
Федерация - это концепция, при которой пользователи из компании A могут проходить проверку подлинности в приложении в компании B, но используя свои учетные данные компании A.
Для этого используется один из трех протоколов федерации:
- SAML 2.0
- WS-Federation
- OpenID Connect
Результатом является токен SAML или JWT (OpenID Connect), который содержит набор атрибутов из AD для этого пользователя. Этот список предоставляемых атрибутов настраивается в ADFS с помощью правил утверждений, а атрибуты в токене называются утверждениями.