ADFS (एक्टिव डायरेक्टरी फेडरेशन सर्विसेज) क्या है?

77

इसलिए मुझे बताया गया है कि हमारे PHP एप्लिकेशन को ADFS का उपयोग करके प्रमाणीकरण का समर्थन करने की आवश्यकता हो सकती है।

  1. गैर-Microsoft व्यक्ति के लिए, ADFS क्या है?

  2. यह LDAP जैसी चीजों के लिए अलग कैसे है?

  3. यह कैसे काम करता है? ADFS सर्वर के लिए एक विशिष्ट अनुरोध में किस तरह की जानकारी शामिल होगी? क्या यह प्रमाणीकरण और प्राधिकरण दोनों के लिए डिज़ाइन किया गया है?

  4. क्या ADFS सर्वर आमतौर पर इंटरनेट से सुलभ हैं (जबकि कॉर्पोरेट AD डोमेन नियंत्रक नहीं होगा)?

मैंने कुछ तकनीकी डॉक्स पढ़ने की कोशिश की है, लेकिन यह माइक्रोसॉफ्ट-स्पीक से भरपूर है जो बेहद मददगार नहीं है।

विकिपीडिया बेहतर है (नीचे देखें), लेकिन शायद सर्वरफॉल्ट समुदाय में से कुछ अंतराल में भर सकते हैं।

सक्रिय निर्देशिका फ़ेडरेशन सर्विसेज (ADFS) Microsoft द्वारा विकसित एक सॉफ़्टवेयर घटक है जिसे उपयोगकर्ताओं को एकल संगठनात्मक सीमाओं पर स्थित सिस्टम और अनुप्रयोगों तक एकल साइन-ऑन एक्सेस प्रदान करने के लिए विंडोज सर्वर ऑपरेटिंग सिस्टम पर स्थापित किया जा सकता है। यह अनुप्रयोग सुरक्षा को बनाए रखने और फेडरेटेड पहचान को लागू करने के लिए दावा-आधारित अभिगम नियंत्रण प्राधिकरण मॉडल का उपयोग करता है।

दावा-आधारित प्रमाणीकरण एक विश्वसनीय टोकन में निहित अपनी पहचान के बारे में दावों के एक सेट के आधार पर एक उपयोगकर्ता को प्रमाणित करने की प्रक्रिया है।

ADFS में, दो सुरक्षा क्षेत्रों के बीच विश्वास स्थापित करके दो संगठनों के बीच पहचान संघ की स्थापना की जाती है। एक तरफ (फेडरेशन साइड) एक फेडरेशन सर्वर उपयोगकर्ता को सक्रिय निर्देशिका डोमेन सेवाओं में मानक साधनों के माध्यम से प्रमाणित करता है और फिर एक टोकन जारी करता है जिसमें उपयोगकर्ता के बारे में दावे की एक श्रृंखला होती है, जिसमें इसकी पहचान भी शामिल है। दूसरी तरफ, संसाधन पक्ष, एक अन्य फेडरेशन सर्वर टोकन को मान्य करता है और दावा किए गए पहचान को स्वीकार करने के लिए स्थानीय सर्वर के लिए एक और टोकन जारी करता है। यह एक प्रणाली को एक उपयोगकर्ता के लिए अपने संसाधनों या सेवाओं तक नियंत्रित पहुंच प्रदान करने की अनुमति देता है जो किसी अन्य सुरक्षा क्षेत्र से संबंधित है, उपयोगकर्ता को सिस्टम को सीधे प्रमाणित करने की आवश्यकता के बिना और दो प्रणालियों के बिना उपयोगकर्ता पहचान या पासवर्ड के डेटाबेस को साझा करने की आवश्यकता होती है।

व्यवहार में यह दृष्टिकोण आमतौर पर उपयोगकर्ता द्वारा निम्नानुसार माना जाता है:

  1. उपयोगकर्ता अपने स्थानीय पीसी में लॉग इन करता है (जैसा कि आमतौर पर सुबह काम शुरू करते समय)
  2. उपयोगकर्ता को भागीदार कंपनी की एक्सट्रैनेट वेबसाइट पर जानकारी प्राप्त करने की आवश्यकता है - उदाहरण के लिए मूल्य निर्धारण या उत्पाद विवरण प्राप्त करने के लिए
  3. उपयोगकर्ता पार्टनर कंपनी के एक्स्ट्रानेट साइट पर नेविगेट करता है - उदाहरण के लिए: http://example.com
  4. भागीदार वेबसाइट को अब टाइप करने के लिए किसी भी पासवर्ड की आवश्यकता नहीं है - इसके बजाय, उपयोगकर्ता क्रेडेंशियल ईएस एफएस का उपयोग करके पार्टनर एक्स्ट्रानेट साइट को दिया जाता है।
  5. उपयोगकर्ता अब भागीदार वेबसाइट में लॉग इन है और वेबसाइट 'लॉग इन' के साथ बातचीत कर सकता है

से https://en.wikipedia.org/wiki/Active_Directory_Federation_Services

active-directory  adfs 
साइमन पूर्व
स्रोत
मुझे ये लेख और यह वीडियो अवलोकन प्रदान करने में मददगार लगे।
साइमन ईस्ट
प्रतिक्रियाओं ने एक उत्कृष्ट उत्तर प्रदान किया। एकमात्र अतिरिक्त जानकारी जो मैं जोड़ूंगा वह यह है कि यह WS-फेडरेशन प्रोटोकॉल और सिक्योरिटी एश्योरेंस मार्कअप लैंग्वेज (SAML) को समझने के लिए भुगतान कर सकता है, जो कि ADFS लागू होते हैं। यहाँ कुछ वीडियो हैं जो मुझे इन (काफी जटिल) अवधारणाओं को समझने में उपयोगी लगे। दुर्भाग्य से उनमें इतनी सामग्री है कि मैं इसे यहाँ शामिल नहीं कर सकता। [[वीडियो थंबनेल समल और सिंगल साइन-ऑन 101 को YouTube पर समझना ] ( youtube.com/watch?v=gUmMcecHN9s ) [! [वीडियो थंबनेल] (http
साइमन ईस्ट
मुझे ADFS को समझने में भी परेशानी हुई। मुझे शुरू से ही स्पष्टीकरण की आवश्यकता थी (मैं एक एडी व्यक्ति नहीं हूं)। श्रृंखला में शामिल यह वीडियो जो यहां टिप्पणियों में उल्लिखित है, मेरे लिए बहुत मददगार था। यह वह जगह है जहां ADFS के साथ किसी भी नए, शून्य-अनुभव वाले व्यक्ति को शुरू करना चाहिए और फिर श्रृंखला के बाकी वीडियो के साथ जारी रखना चाहिए। मुझे उम्मीद है यह मदद करेगा। youtube.com/…
मौरिसियो ज़रागोज़ा
1
क्षमा करें दोस्तों, एक मॉडरेटर ने सहायक वीडियो के साथ मेरे उत्तर को हटा दिया और इसे ऊपर टिप्पणी की, लेकिन यह अब टूट गया है। निराशा होती।
साइमन ईस्ट

जवाबों:

97

गैर-Microsoft व्यक्ति के लिए, ADFS क्या है?

ADFS Microsoft के सिंगल साइन ऑन और वेब आधारित प्रमाणीकरण के लिए समाधान है।

यह मुख्य रूप से क्रेडेंशियल्स का एक सेट प्रदान करने के लिए उपयोग किया जाता है जो एक ही डोमेन के भीतर आवश्यक रूप से होस्ट नहीं किए गए विभिन्न साइटों तक पहुंच सकते हैं।

यह LDAP जैसी चीजों के लिए अलग कैसे है?

एलडीएपी:

  • पोर्ट 389 (या LDAPS के लिए पोर्ट 636) पर टीसीपी / यूडीपी का उपयोग करते हुए संचार करता है
  • उपयोगकर्ताओं, प्रोफाइल और अन्य निर्देशिका प्रविष्टियों को संशोधित / जोड़ने / हटाने / संशोधित करने / जोड़ने के लिए आदेश शामिल हैं
  • कर सकते हैं नहीं एक वेब ब्राउज़र द्वारा सीधे प्रदर्शन किया, हालांकि HTTP प्रमाणीकरण अपाचे के जैसी चीजों का उपयोग कर LDAP में अनुवाद किया जा सकता mod_authnz_ldap
  • जब तृतीय-पक्ष वेबसाइट प्रमाणीकरण के लिए उपयोग किया जाता है, तो आवश्यक है कि उपयोगकर्ता नाम और पासवर्ड तीसरे पक्ष को प्रदान किए जाएं, जो सुरक्षा के लिए आदर्श नहीं है।
  • एक खुले मानक से अधिक है और इसमें कई लिनक्स कार्यान्वयन हैं।

ADFS:

  • वेब के लिए बेहतर डिज़ाइन किया गया है क्योंकि यह मानक HTTPS पर संचार करता है
  • एक सुरक्षित, जहां मूल नाम / पासवर्ड संगठन के ADFS सर्वर (या किसी प्रॉक्सी, लेकिन करने के लिए सीधे प्रदान की जाती हैं OAuth के समान (लेकिन सटीक नहीं) प्रक्रिया इस प्रकार नहीं तीसरे पक्ष के) है, जो वैध है, एक अद्वितीय टोकन कि हो सकता है रिटर्न तृतीय-पक्ष वेबसाइट तक पहुंचने के लिए उपयोग किया जाता है।
  • हालाँकि यह कुछ खुले मानकों (HTTPS, SAML आदि) का उपयोग करता है, यह Microsoft-विशिष्ट है और इसके लिए इंटरनेट सूचना सेवाओं (IIS) की आवश्यकता होती है, जो केवल Windows सर्वर पर चलती है।

इस उत्तर को विषय पर भी देखें ।

यह कैसे काम करता है? ADFS सर्वर के लिए एक विशिष्ट अनुरोध में किस तरह की जानकारी शामिल होगी? क्या यह प्रमाणीकरण और प्राधिकरण दोनों के लिए डिज़ाइन किया गया है?

यह ADFS / ADFS प्रॉक्सी सर्वर को होस्ट करने वाली एकल साइट (साइट ए) होने से काम करता है, जिसकी पहुंच क्रेडेंशियल (आमतौर पर सक्रिय निर्देशिका डोमेन नियंत्रक के साथ संचार करके) तक होती है। इसके बाद अन्य साइट्स (साइट्स B & C) के बीच एक ट्रस्ट दिया जाता है, जिसे ADFS के माध्यम से प्रमाणित करने की आवश्यकता होती है।

जब कोई उपयोगकर्ता अपने ब्राउज़र में साइट बी का उपयोग करने का प्रयास करता है, तो साइट उपयोगकर्ता को ADFS-प्रॉक्सी वेबसाइट (साइट ए) पर पुनर्निर्देशित करती है जो उनके उपयोगकर्ता नाम और पासवर्ड के लिए पूछता है, उन्हें प्रमाणित करता है, उन्हें याद रखने के लिए कुकीज़ का एक सेट लौटाता है, और उन्हें पुनर्निर्देशित करता है। एक एक्सेस टोकन के साथ, साइट B पर वापस जाएं।

यदि उपयोगकर्ता तब साइट C पर जाने का प्रयास करता है, तो वे ADFS-प्रॉक्सी वेबसाइट से प्रमाणीकरण के लिए साइट A पर पुनर्निर्देशित हो जाएंगे। यदि सही कुकीज़ मौजूद हैं, तो उपयोगकर्ता को अपना पासवर्ड फिर से दर्ज करने की आवश्यकता नहीं होगी, लेकिन टोकन के साथ साइट सी पर तुरंत पुनः निर्देशित करें।

प्राधिकरण के प्रयोजनों के लिए ADFS को उपयोगकर्ता के लिए विशिष्ट दावों (या अनुमतियों) के साथ कॉन्फ़िगर किया जा सकता है। तो यह दोनों भूमिकाओं की सेवा कर सकता है। ( प्रमाणीकरण और प्राधिकरण के बीच अंतर पर ध्यान दें ।)

कुछ लोग प्राधिकरण के लिए इसका उपयोग नहीं करना पसंद करते हैं, लेकिन इसके बजाय अनुमति प्रबंधन को तृतीय-पक्ष वेबसाइट में रखते हैं। स्पष्ट नकारात्मक पहलू यह है कि साइट ए और बी दोनों को उपयोगकर्ता खातों पर नज़र रखने की आवश्यकता है, जबकि उस परिदृश्य में जहां एडीएफएस दोनों को संभालता है, केवल एडीएफएस को उपयोगकर्ताओं के बारे में पता होना चाहिए।

क्या ADFS सर्वर आमतौर पर इंटरनेट से सुलभ हैं (जबकि कॉर्पोरेट AD डोमेन नियंत्रक नहीं होगा)?

हाँ, लगभग हमेशा। ADFS इस धारणा पर आधारित है कि इसे मुख्य रूप से वेबसाइट प्रमाणीकरण के लिए उपयोग किया जाएगा। और IIS के आसपास बनाया गया है।

ADFS- प्रॉक्सी साइट वह है जो आमतौर पर इंटरनेट से सुलभ होती है। हालाँकि ADFS ही नहीं है। ADFS आमतौर पर ADFS-प्रॉक्सी से एक अलग सर्वर है।

  • ADFS सर्वर
    सर्वर जो क्रेडेंशियल्स से लिंक करता है, और इसमें दावे कॉन्फ़िगरेशन के साथ-साथ ट्रस्ट भी हैं। आम तौर पर सार्वजनिक रूप से सुलभ नहीं है।
  • ADFS प्रॉक्सी सर्वर
    सर्वर जो IIS उदाहरण को होस्ट करता है, जिसमें प्रमाणीकरण की आवश्यकता वाली वेबसाइटों के लिए लॉगिन पृष्ठ होते हैं। प्रमाणीकरण की आवश्यकता होने पर वापस ADFS में संचार करता है। आम तौर पर सार्वजनिक रूप से सुलभ।
Reaces
स्रोत
11
स्पष्ट करने के लिए: ADFS प्रॉक्सी सर्वर IIS (विंडोज) पर चलना चाहिए। हालाँकि, क्लाइंट वेबसाइट्स (B & C) लिनक्स सहित किसी भी OS और वेब सर्वर को चला सकती हैं।
ओली
बहुत मददगार, बस इसे बनाने के लिए एक खाता बनाया।
जुआन
@Reaces के जवाब का विस्तार करते हुए, विंडोज सर्वर 2016 पर ADFS 4.0 पूरी तरह से OAuth / OpenId कनेक्ट का समर्थन करता है।
मोहम्मद रजा सद्रेदिनी
@MohammadRezaSadreddini इस पर विस्तार करने के लिए उत्तर को संपादित करने के लिए स्वतंत्र महसूस करें।
प्रतिक्रिया
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.