ADAM、Active Directory、LDAP、ADFS、Windows 身份、卡空间和哪个服务器(Windows 2003、Windows 2008)使用什么之间有什么区别/关系?
问问题
19026 次
2 回答
30
Active Directory是一个服务器组件,用于管理 Windows 域并存储相关信息,例如有关用户的详细信息。它提供了网络协议 LDAP、DNS、CIFS 和 Kerberos 的实现。它是 Windows Server 2003 和 Windows Server 2008 的一部分,在后一种情况下进行了一些修改。
ADAM有点像 Active Directory 的小兄弟。它仅包含 LDAP 的实现。在 Windows Server 2008 中,它被重命名为LDS,即轻量级目录服务。ADAM/LDS 也可以安装在 Windows 的非服务器版本上。
LDAP是一种用于管理目录服务数据的协议。目录服务中的数据以分层方式存储,即树。该树中的条目可以包含一组属性,其中每个属性都有一个名称和一个值。它们主要用于存储用户相关信息,如用户名、密码、电子邮件地址等,因为为此目的有标准化的模式,并且得到了应用程序的广泛支持。
ADFS是一种为身份联合中的 Web 应用程序用户启用单点登录的技术。简而言之:想象两个组织,它们的用户数据存储在一个活动目录中。现在,每个组织都希望为另一个组织的用户提供对其 Web 应用程序的访问权限,但限制是用户数据本身既不能被复制,也不能被另一个组织完全访问。这就是 ADFS 可以解决的问题。在完全理解之前可能需要一个小时的阅读和研究。
于 2011-01-07T23:58:53.577 回答
16
只是为了填补上面的空白:
ADFS是 STS(安全令牌服务)的一个示例。STS 可以配置为相互之间具有信任关系。想象一下,您有一家只有内部用户的公司,他们希望扩展到外部用户。这意味着所有外部用户都必须注册、获取用户名、密码等。也许公司不想存储所有这些东西。他们意识到他们的大多数外部用户已经拥有一个 OpenId 帐户。因此,他们将他们的 ADFS 与接受 OpenId 凭据的 STS 联合(信任)。
当外部用户想要访问公司网站时,系统会通过下拉菜单询问他们是哪类用户。他们选择 OpenID。然后他们被带到他们进行身份验证的 OpenId 站点。然后,用户将使用签名令牌重定向回公司 ADFS,该令牌表明 OpenId 已对用户进行身份验证。由于存在信任关系,ADFS 接受身份验证并允许用户访问网站。
公司不存储任何 OpenId 凭据。
实际上,您已经外包了身份验证。
ADFS 当前在 Windows Server 2008 R2 上运行。
对于Windows Identity(在 ADFS 的上下文中),我假设您询问的是Windows Identity Foundation (WIF)。这本质上是一组 .NET 类,它们使用 VS 添加到项目中,使应用程序“声明感知”。有一个名为FedUtil的 VS 工具,它将应用程序映射到 STS 并描述将提供的声明。(声明是一个属性,例如名称、DOB 等。)当用户访问应用程序时,WIF 将用户重定向到用户登录的映射 STS。然后 WIF 为应用程序提供一组声明。基于这些,应用程序可以根据用户声明更改流程。例如,只有声明类型为 Role 且值为 Editor 的用户才能更改页面。
WIF 也可以作为访问管理器,例如只有编辑才能访问此页面。其他用户只是收到一个错误。
在 WIF 中,应用程序被称为“依赖方”(RP)。
VS 中的 WIF 需要 Vista 或 Windows 7。
由于 STS 可以相互联合,每个 STS 可以提供一组声明。
例如,在上面的示例中,OpenId STS 可以提供用户名,而公司 ADFS 可以提供与 OpenId 无关的信息,例如公司中的角色。
Cardspace是一种通过数字身份进行身份验证的机制,例如,启用的应用程序可以通过选择您的一张“卡”来要求您登录,其中一张可能是您的个人 X509 证书。然后,应用程序将根据它存储的凭据检查这一点。
2011 年 2 月,微软宣布他们将不再开发 Windows CardSpace 产品。
于 2011-03-07T18:25:14.820 回答