ADFS

ADFS(Active Directory Federation Services)

活動目錄聯合服務（ADFS）

什麼是ADFS?

ADFS將活動目錄拓展到Internet。要理解這一點，可以考慮一般活動目錄設施的工作原理。當用户通過活動目錄認證時，域控制器檢查用户的證書。證明是合法用户後，用户就可以隨意訪問Windows網絡的任何授權資源，而無需在每次訪問不同服務器時重新認證。

ADFS將同樣的概念應用到Internet. 我們都知道Web應用訪問位於SQL Server或其他類型後端資源上的後端數據。對後端資源的安全認證問題往往比較複雜。可以有很多不同的認證方法提供這樣的認證。例如，用户可能通過RADIUS(遠程撥入用户服務認證)服務器或者通過應用程序代碼的一部分實現所有權認證機制。

這些認證機制都可實現認證功能，但是也有一些不足之處。不足之一是賬户管理。當應用僅被我們自己的員工訪問時，賬户管理並不是個大問題。但是，如果您的供應商、客户都使用該應用時，您會突然發現您需要為其他企業的員工建立新的用户賬户。不足之二是維護問題。當其他企業的員工離職，僱傭新員工時，您需要刪除舊的賬户和創建新的賬户。密碼也是一個問題。一旦應用配置完成，您要不斷的為那些甚至沒有為您公司工作的人員重新修改密碼。

ADFS能為您做什麼?

如果您將賬户管理的任務轉移到您的客户、供應商或者其他使用您Web應用的人會怎樣?設想一下，如果您這樣，Web應用為其他企業提供服務，而您再也不用為那些員工創建用户賬户或者重設密碼。如果這還不夠，使用這一應用的用户不再需要登錄應用。這聽起來是不是好得讓人難以置信?

通過技術您可以創建跨森林的信任和將這種信任拓展到Web應用. 例如，假設您的供應商需要訪問您的Web應用。您不用為您的供應商建立和維護一系列用户賬户，他們可以在自己的活動目錄下創建安全組。通過組維護所有需要訪問您Web應用的用户。然後，您可以簡單地對組授予權限。即使組存在於一個和您的Web應用完全不同活動目錄也能實現。這樣，當供應商網絡上的用户想要訪問您的Web應用時，他們並不需要登錄，應用自動地通過組成員資格完成用户認證。

當然，這只是您怎樣建立聯合信任的一個例子。Windows Server 2003 R2還未正式發佈，目前關於ADFS配置過程的資料還不是很多 。實際的配置過程可能和上文提到的略有不同，但是基本原理是不變的。

ADFS需要什麼?

當然，活動目錄聯合服務還需要其它的一些配置才能使用，您需要一些服務器執行這些功能。最基本的是聯合服務器，聯合服務器上運行ADFS的聯合服務組件。 聯合服務器的主要作用是發送來自不同外部用户的請求，它還負責向通過認證的用户發放令牌。

另外在大多數情況下還需要聯合代理。試想一下，如果外部網絡要能夠和您內部網絡建立聯合協議， 這就意味着您的聯合服務器要能通過Internet訪問。但是活動目錄聯合並不很依賴於活動目錄，因此直接將聯合服務器暴露在Internet上將帶來很大的風險。正因為這樣，聯合服務器不能直接和Internet相連，而是通過聯合代理訪問。聯合代理向聯合服務器中轉來自外部的聯合請求，聯合服務器就不會直接暴露給外部。

另一ADFS的主要組件是ADFS Web代理。Web應用必須有對外部用户認證的機制。這些機制就是ADFS Web代理。 ADFS Web代理管理安全令牌和向Web 服務器發放的認證cookies。

正如上文所説的, ADFS將極大地擴充Web應用的能力。拭目以待R2的發佈和ADFS在實際應用中使用。