webdevqa.jp.net

ADAM、Active Directory、LDAP、ADFS、ID

ADAM、Active Directory、LDAP、ADFS、Windows Identity、カードスペースの違い/関係と、どのサーバー(Windows 2003、Windows 2008)が何を使用するか。

22
kayak

Active Directoryは、Windowsドメインを管理し、ユーザーの詳細などの関連情報を格納するためのサーバーコンポーネントです。これは、ネットワークプロトコルLDAP、DNS、CIFS、およびKerberosの実装を提供します。これは、Windows Server2003およびWindowsServer 2008の一部であり、後者の場合はいくつかの変更が加えられています。

[〜#〜] adam [〜#〜]は、ActiveDirectoryの弟のようなものでした。 LDAPの実装のみが含まれていました。 Windows Server 2008では、名前が[〜#〜] lds [〜#〜]、Lightweight DirectoryServicesに変更されました。 ADAM/LDSは、サーバー以外のバージョンのWindowsにもインストールできます。

[〜#〜] ldap [〜#〜]は、ディレクトリサービスのデータを管理するためのプロトコルです。ディレクトリサービス内のデータは、階層的な方法でツリーに格納されます。そのツリー内のエントリには、それぞれに名前と値を持つ属性のセットを含めることができます。この目的のために標準化されたスキーマがあり、アプリケーションによって広くサポートされているため、これらは主にユーザー名、パスワード、電子メールアドレスなどのユーザー関連情報を格納するために使用されます。

[〜#〜] adfs [〜#〜]は、IDフェデレーション内のWebアプリケーションのユーザーのシングルサインオンを可能にするテクノロジです。非常に短い形式で:ActiveDirectory内にユーザーデータが保存されている2つの組織を想像してみてください。ここで、各組織は、他の組織のユーザーにWebアプリケーションへのアクセスを許可したいと考えていますが、ユーザーデータ自体をコピーしたり、他の組織から完全にアクセスしたりすることはできません。これが、ADFSで解決できる問題です。完全に理解するまでに、1時間の読書と調査が必要になる場合があります。

30
free_easy

上記のギャップを埋めるためだけに:

[〜#〜] adfs [〜#〜]は、STS(セキュリティトークンサービス)の例です。 STSは、相互に信頼関係を持つように構成できます。内部ユーザーしかいない会社があり、外部ユーザーに拡大したいとします。つまり、すべての外部ユーザーは登録、ユーザー名、パスワードなどを取得する必要があります。おそらく、会社はこれらすべてのものを保存したくないでしょう。彼らは、ほとんどの外部ユーザーがすでにOpenIdアカウントを持っていることを認識しています。そのため、OpenId資格情報を受け入れるSTSとADFSをフェデレーション(信頼)します。

外部ユーザーが会社のWebサイトにアクセスする場合、ドロップダウンを介してどのようなユーザーであるかを尋ねられます。彼らはOpenIDを選択します。次に、OpenIdサイトに移動し、そこで認証します。次に、ユーザーは、OpenIdがユーザーを認証したことを示す署名付きトークンを使用して、会社のADFSにリダイレクトされます。信頼関係があるため、ADFSは認証を受け入れ、ユーザーにWebサイトへのアクセスを許可します。

OpenId資格情報はいずれも会社によって保存されていません。

事実上、認証を外部委託しています。

ADFSは現在、Windows Server 2008R2で実行されています。

Windows Identity(ADFSのコンテキスト)の場合 Windows Identity Foundation (WIF)について質問していると思います。これは基本的に、VSを使用してプロジェクトに追加される一連の.NETクラスであり、アプリケーションを「クレーム対応」にします。 FedUtil というVSツールがあり、アプリケーションをSTSにマップし、提供されるクレームを記述します。 (クレームは、名前、DOBなどの属性です。)ユーザーがアプリケーションにアクセスすると、WIFは、ユーザーがログインするマップされたSTSにユーザーをリダイレクトします。次に、WIFはアプリケーションに一連のクレームを提供します。これらに基づいて、アプリケーションはユーザーの主張に基づいてフローを変更できます。例えば。クレームタイプがRoleで、値がEditorのユーザーのみがページを変更できます。

WIFは、アクセスマネージャとしても機能します。編集者のみがこのページにアクセスできます。他のユーザーは単にエラーを受け取ります。

WIFでは、アプリケーションは「証明書利用者」(RP)と呼ばれます。

VS内のWIFには、VistaまたはWindows7が必要です。

STSは相互に統合できるため、各STSはクレームのグループを提供できます。

例えば。上記の例では、OpenId STSはユーザーの名前を提供できますが、会社のADFSはOpenIdに関係のない情報(会社での役割など)を提供できます。

Cardspaceは、デジタルIDを介して認証するメカニズムです。有効なアプリケーションは、「カード」の1つを選択することで、ログインを要求できます。個人のX509証明書。次に、アプリケーションはこれを保存した資格情報と照合します。

2011年2月、Microsoftは、WindowsCardSpace製品の開発を終了すると発表しました。

16
nzpcmad