核心概念

Claims是?Token是?Security Token是?Security Token Server (STS)是?

聲明與令牌無關,但通過封裝在安全令牌中來進行網絡傳輸!

如何在adfs的場景下 配置 office 365 sso登錄客户端_身份驗證

SSL證書是?

 

ADFS的是什麼?又不是什麼?(簡單來説就是就是給需要身份認證的應用頒發安全令牌Security Token,是一種Security Token Server)

ADFS支持哪些協議?(WS-Federation, SAML2P, OpenID and OAuth?)

如何在adfs的場景下 配置 office 365 sso登錄客户端_ADFS_02

ADFS Proxy是?

如何在adfs的場景下 配置 office 365 sso登錄客户端_身份驗證_03

 

如何在adfs的場景下 配置 office 365 sso登錄客户端_ide_04

 

參考:為安全起見,ADFS服務器部署在內網,不直接對外網提供服務,而是通過部署在外圍網絡(屏蔽子網)的代理服務器進行轉發

信任(trust)是?信任的方向(Trust Direction)是One-way trust 或者Two-way trust?Trust Transitivity(信任的傳遞)是?

可傳遞信任?

可傳遞信任關係在域樹形成時向上流動,在域樹中的所有域之間創建可傳遞信任

如何在adfs的場景下 配置 office 365 sso登錄客户端_身份驗證_05

 

非傳遞信任?
非傳遞信任是指僅限於建立信任關係的兩個域之間,它不會流向林中的任何其他域!

Federation?

參考:允許在組織邊界之外的可信合作伙伴之間共享身份信息,稱為聯合

聯合信任(federation trust)是?

參考:兩個組織之間建立的信任。

如何在adfs的場景下 配置 office 365 sso登錄客户端_身份驗證_06

 

Account Store/Attribute store是?

參考:Active Directory Federation Services uses the term “attribute stores” to refer to directories or databases that an organization uses to store its user accounts and their associated attribute values

claims provider(CP) 是?

參考:聲明提供方,是聯合身份驗證服務,負責收集和驗證用户,構建聲明,並將聲明打包為安全令牌(Security Token),ADFS本身就是典型的CP。

claims provider trust(CPT) 是?

參考:受ADFS信賴的其他CP,根據Claims Rules向ADFS發送聲明,受信任的CP用户可以訪問ADFS配置(relying party trust)中的relying party。

 

relying party(RP)是?

參考:信賴方,即聲明的消費方,需要依賴ADFS進行用户驗證的應用程序,信賴方向Claim Provider請求並接收claims provider傳過來的Claims(Claim需要根據Claim Rule進行轉換/映射)

 

relying party trust 是?

參考:可以理解為ADFS的“白名單”,受信任的RP才能向接收到ADFS發送的Token/Claims。

claims rule是?

參考:聲明的轉換規則(通過 Claim Engine執行),規則即:如果服務器收到聲明A,則頒發聲明B,ADFS向外(relying party應用)發出的聲明受claim rule約束,需要在claim rules事先約定(需要進行轉換/映射)。

如何在adfs的場景下 配置 office 365 sso登錄客户端_ide_07

 

如何在adfs的場景下 配置 office 365 sso登錄客户端_身份驗證_08

 

聲明引擎(Claims Engine)是聯合身份驗證服務中的唯一實體,負責在您配置的所有聯合信任關係中運行每個規則集(Claims Rule),並將輸出結果移交給聲明管道(Claims Pipeline)

 

如何在adfs的場景下 配置 office 365 sso登錄客户端_身份驗證_09

 

 

Federated Web Single Sign-On (SSO) / Federated Web SSO with Forest Trust /Web SSO 三種場景分別是?

Partner organization(多個組織)中的Account Partner Organization/Resource Partner Organization分別是?

參考:Account Partner contains the users  produces claims,Resource partner consume claims

如何在adfs的場景下 配置 office 365 sso登錄客户端_ide_10

 

如何在adfs的場景下 配置 office 365 sso登錄客户端_ADFS_11

 

SAML是(Assertions / Protocol / Binding )? identity provider (IdP) /service provider(SP)分別是? 

如何在adfs的場景下 配置 office 365 sso登錄客户端_身份驗證_12

 聲明的映射?

Claim mapping is the act of mapping, removing or filtering, or passing incoming claims into outgoing claims.

聲明映射是“映射,刪除或過濾或將傳入的聲明傳遞到傳出的聲明中”的動作。

AD FS聯合身份驗證服務在許多不同的實體之間建立信任。它旨在允許對包含任意值的聲明進行可信交換。然後,接收方(例如,資源夥伴)使用這些聲明來做出授權決策

聯合身份驗證服務可以在聲明到達聯合夥伴或從聯合夥伴進入時對其進行映射。

下圖顯示了聲明的映射過程

如何在adfs的場景下 配置 office 365 sso登錄客户端_ide_13

 

 

其他涉及的概念:

Light Directory Access Portocol(LDAP)是?

參考:ADFS使用LDAP協議與域控制器進行通信

Active Directory Services Interface (ADSI)是?

Active Directory Lightweight Directory Services (AD LDS)是?

Federated Identity Management (FIM)是?

Windows Internal Database (WID)?

Fully Qualified Domain Name(FQDN)?

Subject or Subject Alternative Name (SAN)?

User Principal Name (UPN)?

perimeter network是?

百無一用是書生