Active Directory 联合服务 (AD FS) 是 Windows Server(R) 2003 R2、Windows Server 2008 和 Windows Server 2008 R2 操作系统中的一项功能,可提供 Web 单一登录 (SSO) 技术,这样只需在一次联机会话的有效期内,就可对一位用户访问多个相关 Web 应用程序进行身份验证。AD FS 通过跨安全边界和企业边界安全地共享数字标识和权限(或“声明”)来实现此功能。
AD FS 中的功能
在 Windows Server 2008 和 Windows Server 2008 R2 中,AD FS 包含 Windows Server 2003 R2 中没有的新功能。若要了解有关这些新功能的详细信息,请参阅“Windows Server 2008 中 AD FS 中的新功能”(
以下是 AD FS 的一些关键功能:
-
联合身份验证和 Web SSO
如果一个组织使用 Active Directory 域服务 (AD DS),那么该组织在其安全或企业边界限制范围内使用 Windows 集成身份验证时,能体验到 SSO 功能的好处。AD FS 将此功能扩展到面向 Internet 的应用程序。这使客户、合作伙伴和供应商在访问组织的基于 Web 的应用程序时,有可能获得相似、流畅的 Web SSO 用户体验。此外,联合服务器可以部署在多个组织中,以便在伙伴组织之间进行企业对企业? (B2B) 的联合交易。有关 AD FS 联合身份验证的详细信息,请参阅了解联合身份验证设计。
-
Web 服务 (WS)-* 互操作性
AD FS 提供的联合身份管理解决方案可以与支持 WS-* Web 服务体系结构的其他安全产品进行互操作。AD FS 通过使用 WS-* 的联合身份验证规范(称为 WS-联合身份验证)实现此目的。WS-联合身份验证规范使得不使用 Microsoft(R) Windows(R) 标识模型的环境也可以与 Windows 环境进行联合身份验证。有关 WS-* 规范的详细信息,请参阅AD FS 的资源。
-
可扩展体系结构
AD FS 提供支持安全声明标记语言 (SAML) 1.1 令牌类型和 Kerberos 身份验证(在具有林信任的联合 Web SSO 设计中)的可扩展体系结构。AD FS 还可以执行声明映射,例如,通过将自定义商业逻辑作为访问请求中的变量来修改声明。组织可以使用此扩展性来修改 AD FS,以便与其现行安全结构和企业策略共存。有关修改声明的详细信息,请参阅了解声明。
将 AD DS 扩展到 Internet
AD DS 在许多组织中充当主要的标识和身份验证服务。通过使用 Windows Server 2003 Active Directory、Windows Server 2008 和 Windows Server 2008 R2 AD DS,可以在两个或更多的 Windows Server 2003、Windows Server 2008 或 Windows Server 2008 R2 林之间创建林信任,以便提供访问不同商业部门或组织中资源的权限。有关林信任的详细信息,请参阅“域和林信任如何工作”(
但是,有些设计中不能使用林信任。例如,跨组织访问可能必须仅限于小部分个人,而不是林的每个成员。
使用 AD FS,组织可以将现有的 Active Directory 基础结构扩展到通过 Internet 访问受信任伙伴提供的资源。这些受信任的伙伴可以包括外部的第三方或同一组织中的其他部门或分支机构。
AD FS 支持通过 Internet 进行分布式身份验证和授权。AD FS 可以集成到组织或部门的现有访问管理解决方案中,将组织中使用的声明转换为在联合身份验证中同意的声明。AD FS 可以创建、保护和验证在组织之间传递的声明。还可以审核和监视组织和部门之间的通信活动,有助于确保交易的安全。
有关 AD FS 的详细概述信息,请参阅下列主题: