Адам, Active Directory, LDAP, ADFS, идентичность
-
30-09-2019 - |
Вопрос
Какая разница / соотношение между ADAM, Active Directory, LDAP, ADFS, Identity Windows, CardSpace и на каком сервере (Windows 2003, Windows 2008) использует что?
Решение
Активный каталог это серверный компонент для объединения доменов Windows и хранение связанных с ними информации, таких как подробности о пользователях. Он предоставляет реализации сетевых протоколов LDAP, DNS, CIFS и Kerberos. Это часть Windows Server 2003, а также Windows Server 2008 с некоторыми модификациями в последнем случае.
АДАМ был несколько похож на маленький брат Active Directory. Он содержит только реализацию LDAP. С Windows Server 2008 он был переименован в Лидерство, Легкие службы каталогов. ADAM / LDS также может быть установлен на не-серверных версиях Windows.
Лишать это протокол для объединения данных службы каталогов. Данные в каталоге служб хранятся в иерархическом порядке, дерево. Записи внутри этого дерева могут содержать набор атрибутов, где каждый имеет имя и значение. Они в основном используются для хранения информации, связанных с пользователем, таких как имена пользователей, паролей, адресов электронной почты и т. Д., Поскольку для этой цели есть стандартизированные схемы, и она широко поддерживается приложениями.
ADFS. Это технология, которая позволяет одному находу для пользователей веб-приложений в федерации идентичности. В очень короткой форме: представьте, что два организация, которые имеют свои пользовательские данные, хранящиеся в Active Directory. Теперь каждая организация хочет дать пользователям другой организации доступ к своим веб-приложениям, но с ограничением того, что сам пользовательские данные не должны быть не скопированы, и не быть полностью доступными для другой организации. Вот вид проблемы ADFS может решить. Может потребоваться час чтения и исследования до полного понятого.
Другие советы
Просто чтобы заполнить пробелы выше:
ADFS. является примером STS (услуга безопасности безопасности). STS можно настроить, чтобы иметь доверительные отношения друг с другом. Представьте себе, что у вас есть компания, которая имеет только внутренние пользователи, и они хотят расширить к внешним пользователям. Это означает, что все внешние пользователи должны зарегистрироваться, получить имя пользователя, пароль и т. Д. Возможно, компания не хочет хранить все эти вещи. Они понимают, что большинство их внешних пользователей уже имеют учетную запись OpenID. Таким образом, они Федерали (доверием) свои ADFS с STS, которые принимают учетные данные OpenID.
Когда внешний пользователь хочет получить доступ к веб-сайту компании, их спрашивают, какой пользователь они через выпадение. Они выбирают OpenID. Затем они доставлены на сайт OpenID, где они аутентифицируются. Затем пользователь перенаправляется обратно в компанию ADFS с подписанным токеном, в котором говорится, что OpenID аутентифицировал пользователь. Поскольку есть доверительные отношения, ADFS принимает аутентификацию и позволяет пользователю доступа к веб-сайту.
Ни один из учетных данных OpenID не хранится компанией.
Эффективно, у вас есть аутентификация на аутсорсике.
В настоящее время ADFS работает на Windows Server 2008 R2.
Для Идентификация Windows (в контексте ADFS) я предполагаю, что вы спрашиваете о Фонд идентичности Windows (Wif). Это, по сути, это набор классов .NET, которые добавляются в проект, использующий VS, что делает приложение «Претензии в курсе». Существует VS инструмент под названием Федулит Это отображает приложение на STS и описывает претензии, которые будут предоставлены. (Претензия - это атрибут, например, имя, DUB и т. Д.) Когда пользователь обращается к приложению, Wif перенаправляет пользователь к сопоставленным STS, где пользователь входит в систему. Wif затем предоставляет приложение на набор претензий. На основании этого приложение может изменить потоки на основе претензий пользователя. Например, только пользователи с ролью претензий, ролью со значением редактора могут изменить страницы.
Wif также может выступать в качестве менеджера доступа, например, только редакторы могут получить доступ к этой странице. Другие пользователи просто получают ошибку.
В Wif заявление называется «полагающейся стороной» (RP).
WiF внутри VS требует Vista или Windows 7.
Поскольку STS может быть федерации друг с другом, каждый STS может предоставить группу претензий.
Например, в приведенном выше примере STS OpenID STS может предоставить имя пользователя, в то время как Компания ADFS может предоставить информацию, не имеющую отношение к OpenID, например, роль в компании.
CardSpace. Механизм для аутентификации с помощью цифровой идентичности, например, приложение с поддержкой может попросить войти, выбрав одну из ваших «карт», один из которых может быть, например, ваш личный сертификат X509. Затем приложение будет проверять это против учетных данных, которые он сохранил.
В феврале 2011 года Microsoft объявила, что они больше не будут разрабатывать продукт Windows CardSpace.