理解ADFS相關概念

核心概念

Claims是？Token是？Security Token是？Security Token Server (STS)是?

聲明與令牌無關，但通過封裝在安全令牌中來進行網絡傳輸！

SSL證書是？

 

ADFS的是什么？又不是什么？(簡單來說就是就是給需要身份認證的應用頒發安全令牌Security Token，是一種Security Token Server)

ADFS支持哪些協議？（WS-Federation, SAML2P, OpenID and OAuth？）

ADFS Proxy是？

 

 

參考：為安全起見，ADFS服務器部署在內網，不直接對外網提供服務，而是通過部署在外圍網絡（屏蔽子網）的代理服務器進行轉發

信任（trust）是?信任的方向（Trust Direction）是One-way trust 或者Two-way trust？Trust Transitivity（信任的傳遞）是？

可傳遞信任?
可傳遞信任關系在域樹形成時向上流動，在域樹中的所有域之間創建可傳遞信任

 

非傳遞信任?
非傳遞信任是指僅限於建立信任關系的兩個域之間，它不會流向林中的任何其他域！

Federation？

參考：允許在組織邊界之外的可信合作伙伴之間共享身份信息，稱為聯合

聯合信任（federation trust)是?

參考：兩個組織之間建立的信任。

 

Account Store/Attribute store是？

參考：Active Directory Federation Services uses the term “attribute stores” to refer to directories or databases that an organization uses to store its user accounts and their associated attribute values

claims provider(CP) 是？

參考：聲明提供方，是聯合身份驗證服務，負責收集和驗證用戶，構建聲明，並將聲明打包為安全令牌（Security Token），ADFS本身就是典型的CP。

claims provider trust（CPT） 是？

參考：受ADFS信賴的其他CP，根據Claims Rules向ADFS發送聲明，受信任的CP用戶可以訪問ADFS配置（relying party trust）中的relying party。

 

relying party(RP)是？

參考：信賴方，即聲明的消費方，需要依賴ADFS進行用戶驗證的應用程序，信賴方向Claim Provider請求並接收claims provider傳過來的Claims（Claim需要根據Claim Rule進行轉換/映射）

 

relying party trust 是？

參考：可以理解為ADFS的“白名單”，受信任的RP才能向接收到ADFS發送的Token/Claims。

claims rule是？

參考：聲明的轉換規則(通過 Claim Engine執行)，規則即：如果服務器收到聲明A，則頒發聲明B，ADFS向外(relying party應用)發出的聲明受claim rule約束，需要在claim rules事先約定（需要進行轉換/映射）。

 

 

聲明引擎(Claims Engine)是聯合身份驗證服務中的唯一實體，負責在您配置的所有聯合信任關系中運行每個規則集(Claims Rule)，並將輸出結果移交給聲明管道(Claims Pipeline)

 

 

 

Federated Web Single Sign-On (SSO) / Federated Web SSO with Forest Trust /Web SSO 三種場景分別是？

Partner organization（多個組織）中的Account Partner Organization/Resource Partner Organization分別是？

參考：Account Partner contains the users  produces claims,Resource partner consume claims

 

 

SAML是(Assertions / Protocol / Binding )? identity provider (IdP) /service provider（SP）分別是？ 

 聲明的映射？

Claim mapping is the act of mapping, removing or filtering, or passing incoming claims into outgoing claims.

聲明映射是“映射，刪除或過濾或將傳入的聲明傳遞到傳出的聲明中”的動作。

AD FS聯合身份驗證服務在許多不同的實體之間建立信任。它旨在允許對包含任意值的聲明進行可信交換。然后，接收方（例如，資源伙伴）使用這些聲明來做出授權決策

聯合身份驗證服務可以在聲明到達聯合伙伴或從聯合伙伴進入時對其進行映射。

下圖顯示了聲明的映射過程

 

 

其他涉及的概念：

Light Directory Access Portocol（LDAP）是？

參考：ADFS使用LDAP協議與域控制器進行通信

這里寫的比較好 https://www.cnblogs.com/wilburxu/p/9174353.html

Active Directory Services Interface (ADSI)是？

Active Directory Lightweight Directory Services (AD LDS)是？

Federated Identity Management (FIM)是？

Windows Internal Database (WID)？

Fully Qualified Domain Name(FQDN)？

Subject or Subject Alternative Name (SAN)？

User Principal Name (UPN)？

perimeter network是？