Active Directory Federation Services (ADFS) to składnik usługi Active Directory (AD) — usługi katalogowej tożsamości dla użytkowników, komputerów i aplikacji. Opracowana i sprzedawana przez firmę Microsoft do użytku w domenach systemu Windows. AD FS zapewnia użytkownikom AD możliwość dostępu do zasobów spoza domeny (tj. usług opartych na sieci Web lub innej domeny). Dzieje się to przy użyciu ich poświadczeń z domeny AD. AD FS wykorzystuje koncepcję federacji tożsamości. Dzięki temu umożliwia użytkownikom jednej domeny dostęp do innej domeny bez konieczności oddzielnego uwierzytelniania w drugiej domenie.
Aby włączyć federację tożsamości, ustanawiana jest relacja zaufania między dwiema domenami. Między tą, w której uruchomiony jest AD FS, i zewnętrznym zasobem/domeną. Po ustanowieniu zaufania usługi AD FS mogą dostarczać poświadczenia o uwierzytelnionych tożsamościach użytkowników w domenie zewnętrznej, zamiast wymagać od użytkowników oddzielnego uwierzytelniania.
CZY AD FS JEST DOSTAWCĄ TOŻSAMOŚCI?
AD FS to składnik usługi Active Directory odpowiedzialny za federację tożsamości. Nie jest dostawcą tożsamości jako taki. Współpracuje z innymi składnikami AD, które zapewniają usługi tożsamości.
CO TO SĄ USŁUGI AD RMS?
Usługi zarządzania prawami dostępu w usłudze Active Directory (AD RMS) to system zarządzania prawami zaprojektowany w celu kontrolowania dostępu i uprawnień do dokumentów, takich jak firmowe wiadomości e-mail, dokumenty programu Microsoft Word i strony internetowe. Kontrolę uzyskuje się poprzez szyfrowanie dokumentu/treści i wymagane jest od użytkownika szukanie uprawnień i klucza deszyfrowania z AD RMS.
CO TO JEST FEDERACJA TOŻSAMOŚCI?
Federacja tożsamości ma miejsce, gdy dwie niezależnie zarządzane domeny ustanawiają między sobą zaufanie. Robią to, aby umożliwić systemowi zapewniającemu tożsamość jednej domeny poświadczenie drugiej, że pomyślnie uwierzytelniła tożsamość użytkownika. Druga domena zaakceptowała to poświadczenie zamiast wykonywania własnego uwierzytelniania.
CO TO JEST LOGOWANIE SINGLE SIGN ON AD FS?
AD FS umożliwia użytkownikowi uwierzytelnianie w jednej domenie i uzyskiwanie dostępu do innej domeny. Nie wymaga to dodatkowego uwierzytelniania, co tworzy efekt jednokrotnego logowania (SSO).
CZY AD FS TO TO SAMO CO SAML?
Program AD FS używa języka znaczników asercji zabezpieczeń (SAML) do dostarczania poświadczeń innym domenom, że tożsamość użytkownika została uwierzytelniona.
CO TO JEST ZARZĄDZANIE PRAWAMI DO INFORMACJI (IRM) FIRMY MICROSOFT?
Zarządzanie prawami do informacji (IRM) to składnik programów Microsoft Sharepoint i Exchange. Pomagają one zapobiegać drukowaniu, przesyłaniu dalej, zapisywaniu, edytowaniu lub kopiowaniu poufnych informacji przez nieupoważnione osoby.
Usługa IRM korzysta z usług zarządzania prawami dostępu w usłudze Active Directory do zarządzania dostępem i uprawnieniami do chronionej zawartości.
JAKI JEST CEL USŁUG DOMENOWYCH W USŁUDZE ACTIVE DIRECTORY?
Usługi domenowe w usłudze Active Directory (AD DS), znane również jako kontroler domeny, przechowują wszystkie informacje o użytkownikach i komputerach członków sieci domeny Windows, weryfikują ich poświadczenia i określają ich prawa dostępu. Gdy użytkownik chce zalogować się do komputera zarządzanego przez AD, uzyskać dostęp do sieci domeny lub dowolnego zasobu w sieci domeny, kontroler domeny jest kontaktowany w celu zweryfikowania poświadczeń użytkownika i uprawnień dostępu.
CZY PROGRAM ADFS KORZYSTA Z PROTOKOŁU LDAP, JAKA JEST RÓŻNICA MIĘDZY NIMI?
LDAP:
• Komunikuje się za pomocą protokołu TCP/UDP na porcie 389 (lub porcie 636 dla LDAPS)
• Zawiera polecenia do wyszukiwania/odzyskiwania/dodawania/usuwania/modyfikowania użytkowników, profili i innych wpisów w katalogu
• Nie można wykonać bezpośrednio przez przeglądarkę internetową. Jednak uwierzytelnianie HTTP można przetłumaczyć na LDAP za pomocą takich mechanizmów, jak mod_authnz_ldap Apache.
• W przypadku użycia do uwierzytelniania witryn internetowych przez stronę trzecią wymaga podania nazwy użytkownika i hasła stronie trzeciej. Nie jest to idealnym rozwiązaniem ze względów bezpieczeństwa.
• Jest bardziej otwartym standardem i ma wiele implementacji w systemie Linux.
ADFS:
• Lepiej zaprojektowany do pracy w Internecie, ponieważ komunikuje się za pośrednictwem standardowego protokołu HTTPS
• Wykorzystuje bezpieczniejszy proces podobny (ale nie dokładnie) do OAuth, w którym oryginalna nazwa użytkownika/hasło są dostarczane bezpośrednio do serwera ADFS organizacji (lub serwera proxy, ale nie do strony trzeciej), który, jeśli jest poprawny, zwraca unikalny token, który może być używany w celu uzyskania dostępu do strony internetowej strony trzeciej.
• Chociaż korzysta z niektórych otwartych standardów (HTTPS, SAML itp.), jest on specyficzny dla firmy Microsoft i wymaga Internetowych usług informacyjnych (IIS), które działają tylko na serwerach Windows.
