Active Directory 聯合服務 (AD FS) 是 Windows Server(R) 2003 R2、Windows Server 2008 和 Windows Server 2008 R2 操作系統中的一項功能,可提供 Web 單一登錄 (SSO) 技術,這樣只需在一次聯機會話的有效期內,就可對一位用戶訪問多個相關 Web 應用程序進行身份驗證。AD FS 通過跨安全邊界和企業邊界安全地共享數字標識和權限(或“聲明”)來實現此功能。 微軟官方資料:http://technet.microsoft.com/zh-cn/library/cc755226%28WS.10%29.aspx
AD FS 中的功能
在 Windows Server 2008 和 Windows Server 2008 R2 中,AD FS 包含 Windows Server 2003 R2 中沒有的新功能。若要了解有關這些新功能的詳細信息,請參閱“Windows Server 2008 中 AD FS 中的新功能”(http://go.microsoft.com/fwlink/?LinkId=85684)(可能爲英文網頁)。
以下是 AD FS 的一些關鍵功能:
- 聯合身份驗證和 Web SSO
如果一個組織使用 Active Directory 域服務 (AD DS),那麼該組織在其安全或企業邊界限制範圍內使用 Windows 集成身份驗證時,能體驗到 SSO 功能的好處。AD FS 將此功能擴展到面向 Internet 的應用程序。這使客戶、合作伙伴和供應商在訪問組織的基於 Web 的應用程序時,有可能獲得相似、流暢的 Web SSO 用戶體驗。此外,聯合服務器可以部署在多個組織中,以便在夥伴組織之間進行企業對企業? (B2B) 的聯合交易。有關 AD FS 聯合身份驗證的詳細信息,請參閱瞭解聯合身份驗證設計。 - Web 服務 (WS)-* 互操作性
AD FS 提供的聯合身份管理解決方案可以與支持 WS-* Web 服務體系結構的其他安全產品進行互操作。AD FS 通過使用 WS-* 的聯合身份驗證規範(稱爲 WS-聯合身份驗證)實現此目的。WS-聯合身份驗證規範使得不使用 Microsoft(R) Windows(R) 標識模型的環境也可以與 Windows 環境進行聯合身份驗證。有關 WS-* 規範的詳細信息,請參閱AD FS 的資源。 - 可擴展體系結構
AD FS 提供支持安全聲明標記語言 (SAML) 1.1 令牌類型和 Kerberos 身份驗證(在具有林信任的聯合 Web SSO 設計中)的可擴展體系結構。AD FS 還可以執行聲明映射,例如,通過將自定義商業邏輯作爲訪問請求中的變量來修改聲明。組織可以使用此擴展性來修改 AD FS,以便與其現行安全結構和企業策略共存。有關修改聲明的詳細信息,請參閱瞭解聲明。
將 AD DS 擴展到 Internet
AD DS 在許多組織中充當主要的標識和身份驗證服務。通過使用 Windows Server 2003 Active Directory、Windows Server 2008 和 Windows Server 2008 R2 AD DS,可以在兩個或更多的 Windows Server 2003、Windows Server 2008 或 Windows Server 2008 R2 林之間創建林信任,以便提供訪問不同商業部門或組織中資源的權限。有關林信任的詳細信息,請參閱“域和林信任如何工作”(http://go.microsoft.com/fwlink/?LinkId=35356)(可能爲英文網頁)。
但是,有些設計中不能使用林信任。例如,跨組織訪問可能必須僅限於小部分個人,而不是林的每個成員。
使用 AD FS,組織可以將現有的 Active Directory 基礎結構擴展到通過 Internet 訪問受信任夥伴提供的資源。這些受信任的夥伴可以包括外部的第三方或同一組織中的其他部門或分支機構。
AD FS 支持通過 Internet 進行分佈式身份驗證和授權。AD FS 可以集成到組織或部門的現有訪問管理解決方案中,將組織中使用的聲明轉換爲在聯合身份驗證中同意的聲明。AD FS 可以創建、保護和驗證在組織之間傳遞的聲明。還可以審覈和監視組織和部門之間的通信活動,有助於確保交易的安全。
有關 AD FS 的詳細概述信息,請參閱下列主題:
