我要投搞

标签云

收藏小站

爱尚经典语录、名言、句子、散文、日志、唯美图片

当前位置:六合特肖 > 访问令牌 >

微软用户管理双雄:ADFS 20和FIM2010

归档日期:05-09       文本归类:访问令牌      文章编辑:爱尚语录

  微软提供了两个用户管理工具,ADFS 2.0和FIM 2010,让用户管理变得更便捷,下面,就来了解一下这两个工具都有哪些过人之处。

  当前在企业中管理用户访问就像交警在一个数百条公路交汇的路口指挥交通一样,从基于Web的应用程序到本地程序,再从桌面PC到最新的智能手机,IT管理员需要控制各种访问,让用户可以从任何地点和任意平台进行访问。

  更大的一个挑战是跨过公司或网络边界提供对应用程序和系统的无缝接入,虽然IT管理员在内部网络定义和管理用户名密码并没有什么困难,但是管理大量外部用户访问内部系统活让本地用户访问控制之外的外部系统却很困难,很多时候是不可行的。

  微软已经升级了Forefront身份管理器(FIM)2010和活动目录联合服务(ADFS),用于帮助IT管理员跨越域和企业界限实现身份管理。这两个工具都是为了扩展整个企业的用户访问控制,FIM采用了一个共同的平台将用户、证书、组、策略管理联系到一起,而ADFS在不同网络或组织之间提供信任账户。它们共同为跨域公司域或网络边界的扩展用户管理提供了一个强大的平台。

  ADFS(Active Directory Federation Services)首先出现在Windows Server 2003,现在是Windows Server 2008 R2中的一个服务器角色。ADFS单点登录技术,使用基于声明的验证方式来验证域间的用户身份。通常情况下,当一个用户账户在一个域而资源在另一个域,会需要资源的本地证书。ADFS消除了二级证书的要求,基于用户的主目录信息,用户的身份被验证,访问被许可。

  使用ADFS,可以让广泛的访问管理变得容易,它让用户可以方便的访问在其他公司网络内应用程序或者允许外部用户访问内部网络资源内的特定项目。其关键的优势在于,每一个域都不需要保留另一个域中的用户信息,用户信息不被共享,每一方只负责自己的用户管理。

  一个基于声明的系统,和其他的许多系统一样,使用包含用户信息的数字令牌,但不同于对AD的请求产生一个Kerberos令牌,被访问的资源并不会影响用户数据。相反,一个安全令牌服务(Security Token Service),比如ADFS,执行用户信息检查并创建一个基于查询结果的声明令牌,这个声明令牌包含访问特定服务所需的信息。

  在两个不同域间使用基于声明的验证需要每个域都具有一个安全令牌服务(Security Token Service),每个域的安全令牌服务必须信任另外的那个,并且基于这种信任,制定出对于特定资源的访问是允许还是拒绝的策略。例如,网络A中的一个用户试图访问网络B的一个Web门户,网络A的安全令牌服务会产生一个身份验证请求,在本地用户目录中确认用户声明后,网络A的安全令牌服务会向网络B的安全令牌服务提供一个令牌,让用户可以访问这个Web门户。在这其中有很多来来回回的过程,但是一旦远程域从用户的安全令牌服务获得“安全”的信号,用户将获得一个新的令牌,就好像是这个远程域的成员。

  在一个单域中,比如你希望扩展用户访问到一个云服务,不连接到AD或其他用户数据库进行身份验证,这时候只有一个安全令牌服务进行这项工作。除了支持声明感知(claims-aware)的用程序和Windows NT中基于令牌的应用程序,ADSF 2.0可以使用SAML 2.0与第三方服务以及运服务进行通讯。基于声明的身份验证,像ADFS 2.0,最大的特点是不会对任一个域中的用户进行更改,并且不会在域间发送机密信息。

  微软提供了两个用户管理工具,ADFS 2.0和FIM 2010,让用户管理变得更便捷,下面,就来了解一下这两个工具都有哪些过人之处。 当前在企业中管理用户访问就像交警在一个数百条公路交汇的路口指挥交通一样,从基于Web的应用程序到本...

本文链接:http://shawntierney.com/fangwenlingpai/374.html