ADAM, Active Directory, LDAP, ADFS, identità

Question

Qual è la differenza/relazione tra ADAM, Active Directory, LDAP, ADFS, identità Windows, spazio di memoria e quale server (Windows 2003, Windows 2008) utilizza cosa?

Answer 1

Active Directory è un componente server per l'amministrazione di domini Windows e la memorizzazione di informazioni correlate come i dettagli sugli utenti. Fornisce implementazioni dei protocolli di rete LDAP, DNS, CIFS e Kerberos. Fa parte di Windows Server 2003 e Windows Server 2008 con alcune modifiche in quest'ultimo caso.

ADAM era un po 'come il fratello minore di Active Directory. Conteneva solo un'implementazione di LDAP. Con Windows Server 2008 è stato rinominato in LDS, Servizi directory leggeri. ADAM/LDS può anche essere installato su versioni non server di Windows.

LDAP è un protocollo per l'amministrazione dei dati di un servizio di directory. I dati all'interno di un servizio di directory sono memorizzati in modo gerarchico, un albero. Le voci all'interno di quell'albero possono contenere un set di attributi in cui ognuno ha un nome e un valore. Vengono principalmente utilizzati per archiviare informazioni relative all'utente come nomi utente, password, indirizzi e-mail e così via, in quanto esistono schemi standardizzati per questo scopo ed è ampiamente supportato dalle applicazioni.

ADFS è una tecnologia che consente Single Sign-On per gli utenti di applicazioni Web all'interno di una federazione di identità. In una forma molto breve: immagina due organizzazioni che hanno i loro dati utente memorizzati in una directory attiva. Ora ogni organizzazione vuole offrire agli utenti delle altre organizzazioni l'accesso alle proprie applicazioni Web, ma con la restrizione che i dati dell'utente stesso non debbano essere né copiati né completamente accessibili all'altra organizzazione. Questo è il tipo di problema che ADFS può risolvere. Può richiedere un'ora di lettura della ricerca & prima di essere completamente compresa.

Answer 2

solo per riempire i vuoti di cui sopra:

ADFS è un esempio di uno STS (Security Token Service). Gli STS possono essere configurati per avere una relazione di fiducia reciproca. Immagina di avere un'azienda che ha solo utenti interni e che desiderano espandersi ad utenti esterni. Ciò significa che tutti gli utenti esterni devono registrarsi, ottenere un nome utente, una password, ecc. Forse la società non vuole archiviare tutte queste cose. Si rendono conto che la maggior parte dei loro utenti esterni ha già un account OpenId. Quindi federano (fiducia) il loro ADFS con un STS che accetta le credenziali OpenId.

Quando un utente esterno desidera accedere al sito Web dell'azienda, viene chiesto all'utente di tipo di utente tramite un menu a discesa. Selezionano OpenID. Vengono quindi portati al sito OpenId dove si autenticano. L'utente viene quindi reindirizzato all'azienda ADFS con un token firmato che dichiara che OpenId ha autenticato l'utente. Poiché esiste una relazione di trust, ADFS accetta l'autenticazione e consente all'utente l'accesso al sito web.

Nessuna delle credenziali OpenId viene memorizzata dall'azienda.

In pratica, l'autenticazione è esternalizzata.

ADFS è attualmente in esecuzione su Windows Server 2008 R2.

Per Identità Windows (nel contesto di ADFS) Presumo che si stia chiedendo di Windows Identity Foundation (WIF). Questo è essenzialmente un insieme di.Classi NET che vengono aggiunti a un progetto utilizzando VS che rende l'applicazione "attenta alle attestazioni". Esiste uno strumento VS chiamato FedUtil che associa un'applicazione a un servizio token di sicurezza e descrive le richieste che verranno fornite. (Un reclamo è un attributo ad esempio nome, DOB, ecc.) Quando un utente accede all'applicazione, WIF reindirizza l'utente al STS mappato in cui l'utente esegue l'accesso. WIF fornisce quindi all'applicazione una serie di attestazioni. Sulla base di questi, l'applicazione può modificare i flussi in base alle richieste dell'utente. Per esempio. solo gli utenti con un tipo di attestazione di ruolo con un valore di Editor possono modificare le pagine.

WIF può anche funzionare come gestore accessi, ad es. solo gli editori possono accedere a questa pagina. Gli altri utenti ricevono semplicemente un errore.

In WIF, un'applicazione viene denominata "Relying Party" (RP).

WIF all'interno VS richiede Vista o Windows 7.

Dal STS del possono essere federata con l'altro, ciascuno STS in grado di fornire un gruppo di crediti.

E.g. Nell'esempio sopra, OpenId STS può fornire il nome dell'utente mentre l'azienda ADFS può fornire informazioni non pertinenti a OpenId per esempio nel ruolo dell'azienda.

Cardspace è un meccanismo per l'autenticazione tramite un'identità digitale, ad es. un'applicazione abilitata può chiederti di accedere selezionando una delle tue "carte", una delle quali potrebbe essere ad es. il tuo certificato personale X509. L'applicazione dovrebbe quindi verificare ciò con le credenziali che ha memorizzato.

Nel febbraio 2011, Microsoft ha annunciato che non avrebbero più sviluppato il prodotto Windows CardSpace.