ADFS相关

ADFS的全称是Active Directory Federation Services

ADFS是基于Web的单点登录(Single Sign-On (SSO))的标准, 它通过实现了forest间的claim based authentication而开启了联合身份(federated identity)，简化了对系统和应用程序的访问， AD FS 可以帮助企业实现基于 Web 的单一登录 (SSO) ，避免多系统多用户名密码造成的记忆困难。
在ADFS中, 身份的联合(identity federation )是通过在两个组织的安全边界间建立信任关系来实现的. 在一端(account side)的federation server 负责通过在Active Directory domain services中的标准方式认证一个用户, 然后生成一个包含一系列包含有关这个用户的claims的token, 包括federation server的实体本身. 另一端(resource side), 另一个federation server会校验这个token, 然后生成另一个token供本地服务器接受claim identify所用. 这允许系统为它的资源提对另外一个安全边界的某用户供可控制的访问权限, 而不需要让这个用户直接登录系统, 也不需要两个系统共享
用户的identify和密码。

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png