Тому мені сказали, що нашому додатку PHP може знадобитися підтримка автентифікації за допомогою ADFS.
Що таке особа, яка не належить Microsoft, що таке ADFS?
Чим він відрізняється від таких речей, як LDAP?
Як це працює? Яка інформація буде включена в типовий запит на сервер ADFS? Чи призначений він як для автентифікації, так і для авторизації?
Чи зазвичай сервери ADFS доступні з Інтернету (тоді як корпоративних контролерів домену AD не буде)?
Я спробував прочитати деякі документи Technet, але він повно Microsoft-говорять, що не дуже корисно.
Вікіпедія краще (див. Нижче), але, можливо, частина спільноти ServerFault може заповнити деякі прогалини.
Служби федерації Active Directory (ADFS) - це програмний компонент, розроблений Microsoft, який може бути встановлений на операційних системах Windows Server, щоб надати користувачам доступ до єдиного входу до систем та програм, розташованих через організаційні межі. Він використовує модель авторизації контролю доступу на основі претензій, щоб підтримувати захищеність програми та реалізувати об'єднану ідентичність.
Аутентифікація на основі претензій - це процес автентифікації користувача, заснований на наборі претензій щодо його ідентичності, що міститься в надійному маркері.
В ADFS федерація ідентичності встановлюється між двома організаціями шляхом встановлення довіри між двома сферами безпеки. Сервер федерації з одного боку (сторона облікових записів) аутентифікує користувача за допомогою стандартних засобів у службах домену Active Directory та видає токен, що містить низку претензій щодо користувача, включаючи його особу. З іншого боку, сторона ресурсів, інший сервер федерації перевіряє маркер і видає ще один маркер для локальних серверів, щоб прийняти заявлену ідентичність. Це дозволяє системі надавати контрольований доступ до своїх ресурсів або послуг користувачеві, який належить до іншої сфери безпеки, не вимагаючи від користувача аутентифікації безпосередньо в системі та без двох систем, що обмінюються базою даних ідентифікацій користувача або паролів.
На практиці такий підхід користувач зазвичай сприймає таким чином:
- Користувач заходить у свій локальний ПК (як зазвичай це робиться під час роботи вранці)
- Користувачеві необхідно отримати інформацію на веб-сайті екстранету компанії-партнера - наприклад, для отримання ціни та деталей продукту
- Користувач переходить на сайт додаткової мережі партнера - наприклад: http://example.com
- На веб-сайті-партнері зараз не потрібно вводити жодного пароля - натомість облікові дані користувачів передаються на веб-сайт партнеру за допомогою AD FS
- Тепер користувач увійшов на веб-сайт партнера і може взаємодіяти з веб-сайтом "увійшов"
З https://en.wikipedia.org/wiki/Active_Directory_Federation_Services