Microsoft's 將推出的Windows Server 2003 R2最引人注目的新特點是活動目錄聯合服務 (ADFS). ADFS是一種能夠用于一次會話過程中多個Web應用用戶認證的新技術。在這篇文章中，我會解釋ADFS的重要特點和ADFS的工作原理。

什么是ADFS?

ADFS將活動目錄拓展到Internet。要理解這一點，可以考慮一般活動目錄設施的工作原理。當用戶通過活動目錄認證時，域控制器檢查用戶的證書。證明是合法用戶后，用戶就可以隨意訪問Windows網絡的任何授權資源，而無需在每次訪問不同服務器時重新認證。

ADFS將同樣的概念應用到Internet. 我們都知道Web應用訪問位于SQL Server或其他類型后端資源上的后端數據。對后端資源的安全認證問題往往比較復雜。可以有很多不同的認證方法提供這樣的認證。例如，用戶可能通過RADIUS(遠程撥入用戶服務認證)服務器或者通過應用程序代碼的一部分實現所有權認證機制。

這些認證機制都可實現認證功能，但是也有一些不足之處。不足之一是賬戶管理。當應用僅被我們自己的員工訪問時，賬戶管理并不是個大問題。但是，如果您的供應商、客戶都使用該應用時，您會突然發現您需要為其他企業的員工建立新的用戶賬戶。不足之二是維護問題。當其他企業的員工離職，雇傭新員工時，您需要刪除舊的賬戶和創建新的賬戶。密碼也是一個問題。一旦應用配置完成，您要不斷的為那些甚至沒有為您公司工作的人員重新修改密碼。

ADFS能為您做什么?

如果您將賬戶管理的任務轉移到您的客戶、供應商或者其他使用您Web應用的人會怎樣?設想一下，如果您這樣，Web應用為其他企業提供服務，而您再也不用為那些員工創建用戶賬戶或者重設密碼。如果這還不夠，使用這一應用的用戶不再需要登錄應用。這聽起來是不是好得讓人難以置信?

通過技術您可以創建跨森林的信任和將這種信任拓展到Web應用. 例如，假設您的供應商需要訪問您的Web應用。您不用為您的供應商建立和維護一系列用戶賬戶，他們可以在自己的活動目錄下創建安全組。通過組維護所有需要訪問您Web應用的用戶。然后，您可以簡單地對組授予權限。即使組存在于一個和您的Web應用完全不同活動目錄森林也能實現。這樣，當供應商網絡上的用戶想要訪問您的Web應用時，他們并不需要登錄，應用自動地通過組成員資格完成用戶認證。

當然，這只是您怎樣建立聯合信任的一個例子。Windows Server 2003 R2還未正式發布，目前關于ADFS配置過程的資料還不是很多 。實際的配置過程可能和上文提到的略有不同，但是基本原理是不變的。

ADFS需要什么?

當然，活動目錄聯合服務還需要其它的一些配置才能使用，您需要一些服務器執行這些功能。最基本的是聯合服務器，聯合服務器上運行ADFS的聯合服務組件。 聯合服務器的主要作用是發送來自不同外部用戶的請求，它還負責向通過認證的用戶發放令牌。

另外在大多數情況下還需要聯合代理。試想一下，如果外部網絡要能夠和您內部網絡建立聯合協議， 這就意味著您的聯合服務器要能通過Internet訪問。但是活動目錄聯合并不很依賴于活動目錄，因此直接將聯合服務器暴露在Internet上將帶來很大的風險。正因為這樣，聯合服務器不能直接和Internet相連，而是通過聯合代理訪問。聯合代理向聯合服務器中轉來自外部的聯合請求，聯合服務器就不會直接暴露給外部。

另一ADFS的主要組件是ADFS Web代理。Web應用必須有對外部用戶認證的機制。這些機制就是ADFS Web代理。 ADFS Web代理管理安全令牌和向Web 服務器發放的認證cookies。

正如上文所說的, ADFS將極大地擴充Web應用的能力。拭目以待R2的發布和ADFS在實際應用中使用。

加入收藏復制鏈接給好友我要報錯跳到頂部BBS討論