ADAM、活动目录、LDAP、ADFS、身份

Question

ADAM、Active Directory、LDAP、ADFS、Windows Identity、cardspace 之间的区别/关系是什么？哪个服务器（Windows 2003、Windows 2008）使用什么？

Answer 1

活动目录 是用于管理Windows域和存储相关信息的服务器组件，例如有关用户的详细信息。它提供了网络协议LDAP，DNS，CIFS和Kerberos的实现。它是Windows Server 2003的一部分以及Windows Server 2008，在后一种情况下进行了一些修改。

亚当 有点像Active Directory的小兄弟。它仅包含LDAP的实现。使用Windows Server 2008，它被重命名为 LDS, ，轻量级目录服务。 Adam/LDS也可以安装在Windows的非服务器版本上。

LDAP 是用于管理目录服务数据的协议。目录服务中的数据以层次结构的方式存储。该树中的条目可以包含一组属性，每个属性都有一个名称和值。它们主要用于存储用户相关的信息，例如用户名，密码，电子邮件地址等，因为有标准化的模式用于此目的，并且该应用程序得到了应用程序的广泛支持。

ADFS 是一项技术，可以为身份联合会中的Web应用程序的用户提供单登录。以非常简短的形式：想象两个组织将其用户数据存储在Active Directory中。现在，每个组织都希望使其他组织的用户访问其Web应用程序，但是由于限制了用户数据本身既不应复制，也不应完全访问另一个组织。那就是ADF可以解决的问题。在完全理解之前，可能需要一个小时的阅读和研究。

Answer 2

只是为了填补上面的空白：

ADFS 是 STS（安全令牌服务）的一个示例。STS 可以配置为相互之间具有信任关系。想象一下，您有一家只有内部用户的公司，他们希望扩展到外部用户。这意味着所有外部用户都必须注册、获取用户名、密码等。也许公司不想存储所有这些东西。他们意识到大多数外部用户已经拥有 OpenId 帐户。因此，他们将 ADFS 与接受 OpenId 凭据的 STS 联合（信任）。

当外部用户想要访问公司网站时，系统会通过下拉菜单询问他们是什么类型的用户。他们选择 OpenID。然后他们会被带到 OpenId 站点并进行身份验证。然后，用户将使用签名令牌重定向回公司 ADFS，该令牌表明 OpenId 已对用户进行身份验证。由于存在信任关系，ADFS 接受身份验证并允许用户访问网站。

公司不存储任何 OpenId 凭据。

实际上，您已经外包了身份验证。

ADFS 目前在 Windows Server 2008 R2 上运行。

为了 Windows 身份 （在 ADFS 的背景下）我假设你问的是 Windows 身份基础 （WIF）。这本质上是一组使用 VS 添加到项目中的 .NET 类，使应用程序“声明感知”。有一个VS工具叫 联邦公用事业公司 将应用程序映射到 STS 并描述将提供的声明。（声明是一个属性，例如名称、出生日期等）当用户访问应用程序时，WIF 会将用户重定向到用户登录的映射 STS。然后，WIF 向应用程序提供一组声明。基于这些，应用程序可以根据用户声明更改流程。例如。只有声明类型为“角色”且值为“编辑者”的用户才能更改页面。

WIF 还可以充当访问管理器，例如只有编辑可以访问此页面。其他用户只会收到错误。

在 WIF 中，应用程序称为“依赖方”(RP)。

VS 内的 WIF 需要 Vista 或 Windows 7。

由于 STS 可以相互联合，因此每个 STS 都可以提供一组声明。

例如。在上面的示例中，OpenId STS 可以提供用户名，而公司 ADFS 可以提供与 OpenId 无关的信息，例如公司中的角色。

卡空间 是一种通过数字身份进行身份验证的机制，例如启用的应用程序可以要求您通过选择一张“卡”来登录，其中一张可能是例如您的个人 X509 证书。然后，应用程序将根据其存储的凭据进行检查。

2011 年 2 月，微软宣布将不再开发 Windows CardSpace 产品。