सवाल एडीएफएस (सक्रिय निर्देशिका संघ सेवाएं) क्या है?


इसलिए मुझे बताया गया है कि हमारे PHP एप्लिकेशन को ADFS का उपयोग करके प्रमाणीकरण का समर्थन करने की आवश्यकता हो सकती है।

  1. गैर-माइक्रोसॉफ्ट व्यक्ति के लिए, एडीएफएस क्या है?

  2. यह एलडीएपी जैसी चीजों से अलग कैसे है?

  3. यह कैसे काम करता है? एक एडीएफएस सर्वर के लिए एक सामान्य अनुरोध में किस तरह की जानकारी शामिल की जाएगी? क्या यह प्रमाणीकरण और प्रमाणीकरण दोनों के लिए डिज़ाइन किया गया है?

  4. क्या एडीएफएस सर्वर आमतौर पर इंटरनेट से सुलभ होते हैं (जबकि कॉर्पोरेट एडी डोमेन नियंत्रक नहीं होंगे)?


65
2017-07-27 03:04


मूल


मुझे मिला इन  सामग्री तथा यह विडियो एक सिंहावलोकन प्रदान करने में सहायक। - Simon East
Reaces एक उत्कृष्ट जवाब प्रदान किया। एकमात्र अतिरिक्त जानकारी जो मैं जोड़ूंगा वह यह समझने के लिए भुगतान कर सकती है डब्ल्यूएस-फेडरेशन प्रोटोकॉल तथा सुरक्षा सम्मिलन मार्कअप भाषा (एसएएमएल) जो मानक हैं जो एडीएफएस लागू करता है। यहां कुछ वीडियो दिए गए हैं जिन्हें मैंने इन (काफी जटिल) अवधारणाओं को समझने में उपयोगी पाया। दुर्भाग्यवश उनमें इतनी सारी सामग्री है कि मैं इसे यहां शामिल नहीं कर सकता हूं। ! [वीडियो थंबनेल  एसएएमएल और सिंगल साइन-ऑन 101 को समझना यूट्यूब पर](youtube.com/watch?v=gUmMcecHN9s) [! [वीडियो थंबनेल] (http - Simon East
मुझे एडीएफएस को समझने में भी परेशानी थी। मुझे बहुत शुरुआत से एक स्पष्टीकरण की आवश्यकता थी (मैं एक एडी व्यक्ति नहीं हूं)। यह वीडियो जो यहां टिप्पणियों में उल्लिखित श्रृंखला में शामिल है, मेरे लिए बहुत उपयोगी था। यह वह जगह है जहां एडीएफएस के साथ कोई भी नया, शून्य अनुभव वाला व्यक्ति शुरू होना चाहिए और फिर श्रृंखला में शेष वीडियो के साथ जारी रखना चाहिए। मुझे उम्मीद है यह मदद करेगा। youtube.com/... - Mauricio Zaragoza
क्षमा करें दोस्तों, एक मॉडरेटर ने सहायक वीडियो के साथ अपना जवाब हटा दिया और इसे ऊपर टिप्पणी की लेकिन अब यह टूटा हुआ है। निराशा होती। - Simon East


जवाब:


गैर-माइक्रोसॉफ्ट व्यक्ति के लिए, एडीएफएस क्या है?

एडीएफएस एकल साइन ऑन और वेब आधारित प्रमाणीकरण के लिए माइक्रोसॉफ्ट का समाधान है।

इसका मुख्य रूप से क्रेडेंशियल का एक सेट प्रदान करने के लिए उपयोग किया जाता है जो कि विभिन्न डोमेन तक पहुंच सकता है जो आवश्यक रूप से उसी डोमेन के भीतर होस्ट नहीं किया जाता है।

यह एलडीएपी जैसी चीजों से अलग कैसे है?

एलडीएपी:

  • बंदरगाह 38 9 (या एलडीएपीएस के लिए पोर्ट 636) पर टीसीपी / यूडीपी का उपयोग कर संचार करता है
  • उपयोगकर्ताओं, प्रोफाइल और अन्य निर्देशिका प्रविष्टियों को खोजने / पुनर्प्राप्त / जोड़ने / हटाने / संशोधित करने के लिए आदेश शामिल हैं
  • कर सकते हैं नहीं सीधे एक वेब ब्राउज़र द्वारा किया जा सकता है, हालांकि अपाचे की तरह चीजों का उपयोग करके HTTP प्रमाणीकरण का अनुवाद एलडीएपी में किया जा सकता है mod_authnz_ldap
  • जब तृतीय-पक्ष वेबसाइट प्रमाणीकरण के लिए उपयोग किया जाता है, तो आवश्यक है कि उपयोगकर्ता नाम और पासवर्ड तीसरे पक्ष को प्रदान किया जाता है, जो सुरक्षा के लिए आदर्श नहीं है।
  • एक खुले मानक के अधिक है और इसमें कई लिनक्स कार्यान्वयन हैं।

ADFS:

  • वेब के लिए बेहतर डिज़ाइन किया गया क्योंकि यह मानक HTTPS पर संचार करता है
  • ओएथ को एक सुरक्षित प्रक्रिया (लेकिन सटीक नहीं) का पालन करता है जहां मूल उपयोगकर्ता नाम / पासवर्ड सीधे संगठन के एडीएफएस सर्वर (या प्रॉक्सी, नहीं तीसरी पार्टी), जो वैध है, एक अद्वितीय टोकन देता है जिसे किसी तृतीय-पक्ष वेबसाइट तक पहुंचने के लिए उपयोग किया जा सकता है।
  • हालांकि इसका उपयोग कुछ खुले मानकों (एचटीटीपीएस, एसएएमएल इत्यादि) का उपयोग करने के लिए किया जाता है, यह माइक्रोसॉफ्ट-विशिष्ट है और इसके लिए इंटरनेट इनफॉर्मेशन सर्विसेज (आईआईएस) की आवश्यकता होती है जो केवल विंडोज सर्वर पर चलती है।

यह भी देखें यह जवाब इस विषय पर।

यह कैसे काम करता है? एक एडीएफएस सर्वर के लिए एक सामान्य अनुरोध में किस तरह की जानकारी शामिल की जाएगी? क्या यह प्रमाणीकरण और प्रमाणीकरण दोनों के लिए डिज़ाइन किया गया है?

यह एक साइट (साइट ए) रखने के द्वारा काम करता है जो एडीएफएस / एडीएफएस प्रॉक्सी सर्वर होस्ट करता है, जिसमें क्रेडेंशियल्स तक पहुंच होती है (आमतौर पर एक सक्रिय निर्देशिका डोमेन नियंत्रक के साथ संचार करके)। इसके बाद इसे अन्य साइटों (साइट्स बी और सी) के बीच विश्वास दिया जाता है जिन्हें एडीएफएस के माध्यम से प्रमाणीकरण की आवश्यकता होती है।

जब कोई उपयोगकर्ता अपने ब्राउज़र में साइट बी तक पहुंचने का प्रयास करता है, तो साइट उपयोगकर्ता को एडीएफएस-प्रॉक्सी वेबसाइट (साइट ए) पर रीडायरेक्ट करती है जो उनके उपयोगकर्ता नाम और पासवर्ड की मांग करती है, उन्हें प्रमाणित करती है, उन्हें याद रखने के लिए कुकीज़ का एक सेट देता है, और उन्हें रीडायरेक्ट करता है एक पहुंच टोकन के साथ साइट बी पर वापस।

यदि उपयोगकर्ता साइट सी पर जाने का प्रयास करता है, तो उन्हें एडीएफएस-प्रॉक्सी वेबसाइट से प्रमाणीकरण के लिए साइट ए पर रीडायरेक्ट भी किया जाएगा। यदि सही कुकीज़ मौजूद हैं, तो उपयोगकर्ता को फिर से अपना पासवर्ड दर्ज करने की आवश्यकता नहीं होगी, लेकिन तुरंत टोकन के साथ साइट सी पर रीडायरेक्ट हो जाएंगे।

प्राधिकरण उद्देश्यों के लिए, उपयोगकर्ता के लिए ADFS को विशिष्ट दावों (या अनुमतियां) के साथ कॉन्फ़िगर किया जा सकता है। तो यह दोनों भूमिकाओं की सेवा कर सकते हैं। (ध्यान दें प्रमाणीकरण और प्रमाणीकरण के बीच अंतर।)

कुछ लोग इसे प्राधिकरण के लिए उपयोग नहीं करना पसंद करते हैं बल्कि इसके बजाय तीसरे पक्ष की वेबसाइट में अनुमति प्रबंधन रखें। स्पष्ट नकारात्मक बात यह है कि दोनों साइट ए और बी को उपयोगकर्ता खातों का ट्रैक रखने की आवश्यकता है, जबकि परिदृश्य में जहां एडीएफएस दोनों को संभालता है, केवल एडीएफएस को उपयोगकर्ताओं के बारे में पता होना चाहिए।

क्या एडीएफएस सर्वर आमतौर पर इंटरनेट से सुलभ होते हैं (जबकि कॉर्पोरेट एडी डोमेन नियंत्रक नहीं होंगे)?

हाँ, लगभग हमेशा। एडीएफएस इस धारणा पर आधारित है कि इसका मुख्य रूप से वेबसाइट प्रमाणीकरण के लिए उपयोग किया जाएगा। और आईआईएस के आसपास बनाया गया है।

एडीएफएस-प्रॉक्सी साइट वह है जो आमतौर पर इंटरनेट से सुलभ होती है। हालांकि एडीएफएस स्वयं नहीं है। एडीएफएस आमतौर पर एडीएफएस-प्रॉक्सी से एक अलग सर्वर है।

  • एडीएफएस सर्वर
    सर्वर जो प्रमाण-पत्र से लिंक करता है, और दावों के विन्यास के साथ-साथ ट्रस्ट भी है। आम तौर पर सार्वजनिक रूप से सुलभ नहीं है।
  • एडीएफएस प्रॉक्सी सर्वर
    सर्वर जो आईआईएस इंस्टेंस होस्ट करता है जिसमें वेबसाइटों के लिए लॉगिन पेज हैं प्रमाणीकरण की आवश्यकता है। प्रमाणीकरण की आवश्यकता होने पर एडीएफएस पर वापस संचार करता है। आम तौर पर सार्वजनिक रूप से सुलभ।

82
2017-07-27 07:26



स्पष्टीकरण देना: एडीएफएस प्रॉक्सी सर्वर आईआईएस (विंडोज) पर चलना चाहिए। हालांकि, ग्राहक वेबसाइट (बीएंडसी) लिनक्स समेत किसी भी ओएस और वेब सर्वर को चला सकती है। - Olli
बहुत उपयोगी, बस इसे थंबनेल के लिए एक खाता बनाया। - Juan