安全性 - 使用ADFS跨组织验证用户

针对那些需要参与基于标准的身份联合验证的组织，Windows Server® 2003 引入了 Active Directory® 联合身份验证服务 (ADFS)。使用 ADFS 能够更轻松地验证来自其他组织的身份数据，从 而大大提高与合作伙伴之间的互操作性。在本文中，我将借助虚构的在线服务提供商（A. Datum 公司） 的经验，向您讲解 ADFS 的实际使用情况。该公司使用 ADFS 与真实的在线服务提供商 (UnderMyControl.com) 和虚构的客户 (Tailspin Toys) 进行交互。

在单个组织中使用 ADFS 提供 SSO

A. Datum 公司是一家在线服务提供商，向消费者提供两个 Web 应用程序。第一个 Web 应用程序可用 于实现在线文档共享和存储；第二个应用程序为独立的艺术家提供在线音乐发布。A. Datum 没有采用两 个单独的帐户存储（这要求用户记住每个应用程序的用户名和密码），而是使用 ADFS 和 ADAM（Active Directory 应用程序模式）创建单一帐户存储，用户只使用一组用户名和密码便可访问这两个应用程序。

在很多情况下，ADFS 服务器将充当帐户合作伙伴或资源合作伙伴的角色。充当帐户合作伙伴的 ADFS 服务器配置为与帐户存储（ADAM 或 Active Directory）交互，以验证用户。充当资源合作伙伴的 ADFS 服务器配置为支持那些 ADFS 感知应用程序。在这种情况下，ADFS 服务器同时提供对应用程序和帐户存 储的访问。

ADAM 与 ADFS 的配合使用可以提供单一登录 (SSO)，这样客户就无需记住多个密码。图 1 显示了 A. Datum 在其组织中部署此解决方案的方法。

图 1 单一登录解决方案

注意：Active Directory 服务器的出现只是因为 ADFS 服务器必须加入域。Active Directory 在此 情形下不用于任何其他目的。

（编辑：云计算网_宿迁站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!