什么是 Active Directory 联合身份验证服务 (ADFS) 及其工作原理？

Active Directory 联合服务 (ADFS) 是 Microsoft 开发的软件组件，可为跨多个应用程序或系统的用户提供单点登录 (SSO) 功能。它使组织能够将其身份验证和授权服务扩展到企业网络之外的合作伙伴组织或基于云的服务。

什么是 Active Directory 联合身份验证服务 (ADFS)

Active Directory 联合服务 (ADFS) 是 Microsoft 开发的单点登录 (SSO) 解决方案，可为员工提供统一的身份验证体验，允许他们使用一组凭据访问多个应用程序。 ADFS 使用基于声明的访问控制授权模型，通过与身份相关的声明（打包到由身份提供商颁发的安全令牌中）来识别用户，从而确保安全性。 ADFS 授予对组织的 Active Directory 和批准的第三方系统内的域、设备、Web 应用程序和系统的安全访问。其联合性质集中了用户身份，使个人能够使用现有 AD 凭据访问企业网络内的应用程序以及通过受信任的外部源访问应用程序。 ADFS 有助于通过云远程访问 AD 集成应用程序，简化用户体验，同时维护严格的安全策略。

Active Directory 联合身份验证服务的工作原理

ADFS 的工作原理是验证用户身份并验证访问权限。在用户身份验证过程中，ADFS 依靠公司数据存储库中的信息，使用多种信息（例如全名、员工编号、电话号码、员工 ID 或电子邮件地址）来确认用户身份。此过程遵循基于声明的身份验证模型，其中 ADFS 生成一个安全令牌，其中包含与每个用户相关的访问权限或声明。当用户尝试访问系统时，ADFS 会根据已批准的系统和应用程序列表检查请求。对于第三方系统身份验证，ADFS 在 Active Directory 和外部应用程序之间使用代理服务。该服务结合了用户身份和声明规则，使用户能够绕过直接向每个应用程序验证其身份，这种功能称为联合信任或“各方信任”。

身份验证过程通常分为四个关键步骤。首先，用户访问ADFS服务提供的URL。然后，ADFS 服务通过组织的 AD 服务对用户进行身份验证。身份验证成功后，ADFS 服务将生成身份验证声明并发送给用户。最后，用户的浏览器将此声明传输到目标应用程序，目标应用程序根据已建立的联合信任服务，相应地授予或拒绝访问权限。

举个例子，假设您在一家商店想要买东西，但没有现金。收银员要求您出示一张信用卡，但您没有该银行的信用卡。收银员建议您去银行领取一个令牌，以便您可以使用信用卡付款。你去银行，他们会给你一个令牌。您将代币带回商店并将其交给收银员。收银员检查令牌并验证您的帐户中是否有足够的资金来支付购买费用。然后收银员会授权交易，您就可以将购买的商品带回家。

在此示例中，网站是收银员，ADFS 服务器是您的银行，令牌是信用卡。用户就是您，客户。就像收银员需要验证您是否有足够的钱来完成购买一样，网站需要验证用户是否具有访问他们所请求的信息的适当权限。令牌为网站提供了一种验证用户身份和权限的方法。

Active Directory 联合身份验证服务的组件

以下是 ADFS 的主要组件：

1. Entra ID (Azure AD)
2. Azure AD 连接
3. ADFS 网络服务器
4. 联合服务器
5. 联合服务器代理

1. Entra ID (Azure AD)：Entra ID（以前称为 Azure AD）是 Microsoft 专有的基于云的目录服务。它使网络管理员能够分配和管理所有网络资源的帐户权限。借助 Entra ID，组织可以有效地控制对其网络内各种软件应用程序和数据的访问。

2. Azure AD Connect：Azure AD Connect 是一个促进 Active Directory 和 Azure AD 之间连接的模块。它通常用于混合部署，允许组织将其本地 AD 基础设施与基于云的 Azure AD 服务集成。 Azure AD Connect 确保两个环境之间用户身份和属性的无缝同步。

3. ADFS Web 服务器：ADFS Web 服务器充当 ADFS Web 代理的主机，负责管理用于身份验证目的的安全令牌和身份验证 cookie。该专用服务器存储并维护这些安全令牌以及其他身份验证资产（例如 cookie）。 ADFS Web 服务器在安全验证用户凭据和授予对授权资源的访问权限方面发挥着至关重要的作用。

4.联合服务器：联合服务器有助于管理业务合作伙伴之间的联合信任。它处理来自外部用户的身份验证请求，并托管安全令牌服务，该服务根据 Active Directory 中的凭据验证颁发用于声明的令牌。此单点登录 (SSO) 工具使用基于托管组织的 Active Directory 的通用安全令牌，促进跨不同企业的多个系统的身份验证和访问服务。

5.联合服务器代理：联合服务器代理充当组织的 Active Directory 和外部目标之间的网关。它与联合服务器协调访问请求，联合服务器不直接暴露于互联网以防止安全风险。联合服务器代理部署在组织的外联网上，允许外部客户端连接并请求安全令牌。它将这些请求转发到联合服务器以进行身份验证和授权。

Active Directory 联合身份验证服务的优点

ADFS 是一种解决方案，旨在解决 Active Directory 和集成 Windows 身份验证 (IWA) 在对访问 AD 集成应用程序的用户进行身份验证方面的局限性。超过 90% 的组织使用 Active Directory，并且许多组织采用 ADFS，最终用户的好处包括：

安全性：ADFS 减少了对传统密码进行身份验证的依赖。通过使用 ADFS，组织可以实施强大的身份验证机制，例如多重身份验证 (MFA)，从而显着降低与密码相关的安全漏洞的风险。

简单性：ADFS 无需用户记住多个密码，从而降低了忘记密码和相关帐户锁定问题的风险。此外，ADFS 还简化了员工离开组织时停用用户帐户的流程。 IT 管理员可以快速轻松地禁用对与离职员工帐户关联的所有应用程序和资源的访问，从而确保组织的安全性和合规性。

体验：ADFS 在访问应用程序时为用户提供无缝、无忧的体验。通过消除多次登录和密码输入的需要，ADFS 提高了用户的工作效率和满意度。

效率：ADFS 使用户能够在应用程序和任务之间平稳过渡，而不会因密码提示而造成中断。这种流畅的移动提高了用户的整体效率和生产力，并最大限度地减少了与密码问题相关的 IT 支持请求的数量。

Active Directory 联合身份验证服务的缺点

以下是 ADFS 的一些缺点：

基础设施成本：ADFS 需要 Windows Server 许可证和专用服务器。这可能会导致大量的前期成本，特别是对于尚未部署 Windows Server 环境的组织而言。

运营和维护成本：ADFS 需要深厚的技术专业知识和支持才能有效运营和维护。对于没有必要的内部资源的组织来说，这可能是一个挑战。此外，ADFS 的配置、部署、操作以及与其他系统（例如 Azure AD）的集成可能很复杂，这可能会进一步增加与 ADFS 相关的成本。

其他限制：ADFS 不支持用户或组、打印服务器或大多数远程桌面连接之间的文件共享。此外，ADFS 不提供对 Active Directory 资源（例如组策略或用户帐户）的访问。

总之，Active Directory 联合服务 (ADFS) 充当组织内部网络和外部资源之间的桥梁，无缝地验证用户身份并提供对本地或云中托管的应用程序和服务的安全访问。 ADFS 通过使用行业标准协议和强大的加密方法来增强安全性，确保敏感数据在身份验证和授权过程中受到保护。通过实施 ADFS，组织可以改善整体安全状况，同时简化用户访问并增强整体用户体验。

如果您想了解 Lepide 如何帮助保护您的 Active Directory 环境，请与我们的一位工程师安排演示或立即开始免费试用。