ADFS是如何工作的

已于 2024-04-18 10:38:51 修改
阅读量649 收藏 4
点赞数 5
文章标签: ADFS
于 2024-04-18 09:36:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_33788547/article/details/137905056
版权

ADFS(Active Directory Federation Services)实现身份验证及单点登录(SSO,Single Sign-On)的过程涉及多个步骤,这些步骤确保用户只需一次登录就可以访问多个受信任的应用程序和服务。以下是ADFS实现单点登录的详细过程:

  1. 建立信任关系
    • ADFS首先与需要实现单点登录的应用程序或服务建立信任关系。这通常通过配置这些应用程序或服务的元数据来完成,这些元数据描述了它们如何与ADFS进行交互。
  2. 用户访问应用程序
    • 当用户尝试访问一个受ADFS保护的应用程序时,该应用程序会检测用户是否已经通过ADFS进行了身份验证。如果用户尚未登录,应用程序会将用户重定向到ADFS的登录页面。
  3. 身份验证
    • 在ADFS登录页面上,用户需要提供其Active Directory(AD)的凭据(通常是用户名和密码)。
    • ADFS验证这些凭据是否有效,并检查用户是否有权访问请求的应用程序。
  4. 发放安全令牌
    • 如果身份验证成功,ADFS会生成一个安全令牌。这个令牌通常是一个SAML(Security Assertion Markup Language)或WS-Federation令牌,包含了用户的身份信息和授权信息。
    • 令牌会被加密和签名,以确保其完整性和机密性。
  5. 令牌传递和验证
    • ADFS将令牌发送给最初用户尝试访问的应用程序。
    • 应用程序接收到令牌后,会验证令牌的有效性,并提取用户的身份信息和授权信息。
  6. 访问应用程序
    • 一旦应用程序验证了令牌并提取了用户信息,它就会允许用户访问其资源或执行相应的操作。
    • 用户现在可以在这个应用程序中自由操作,而无需再次输入用户名和密码。
  7. 会话管理和注销
    • ADFS和应用程序会管理用户的会话,确保会话的安全性,并在需要时结束会话。
    • 当用户完成与应用程序的交互并希望注销时,可以通过ADFS的注销功能来结束会话,同时清除ADFS和应用程序中的会话信息。

通过这个过程,ADFS提供了一个集中化的身份验证机制,使得用户只需在ADFS中进行一次登录,就可以无缝地访问多个受信任的应用程序和服务,极大地提升了用户体验和安全性。

实现层面,其他受信任的应用程序首次登入时检查ADFS中是否存在用户的会话,如果存在且有该应用程序的访问权限则可以直接访问该应用程序而不需再次登入.

windows Server提供ADFS管理工具(类似IIS)用于配置相关信息。

官方文档参考:AD FS OpenID Connect/OAuth 概念 | Microsoft Learn

Simon—欧阳
关注
第四章【ADFS集成Exchang实现OWA\ECP单点登录SSO】安装Active Directory联合身份验证服务(AD联合身份验证 ADFS
liuzhenhe1988的专栏
09-02 850
ADFS集成Exchang实现OWA\ECP单点登录SSO】安装Active Directory联合身份验证服务(AD联合身份验证 ADFS
使用winserver2019_st搭建和配置ad和adfs服务器
07-08
22. 安装完成后,ADFS服务器的配置工作也基本完成。 需要注意的是,在整个安装配置过程中可能会遇到一些警告或错误提示,这通常是因为前期某些配置尚未完成或存在冲突。需要根据实际情况仔细检查每个步骤,确保所有...
盘点认证协议 : 普及篇之ADFS , WS-Federation
black-ant
08-03 2753
首先分享之前的所有文章 , 欢迎点赞收藏转发三连下次一定 >>>> ???????????? 文章合集 : ???? https://juejin.cn/post/6941642435189538824 Github : ???? https://github.com/black-ant CASE 备份 : ???? https://gitee.com/antblack/case 纯约束型协议 : OAuth , SAML , OIDC , CAS 服务器
开源项目ADFS使用教程
gitblog_00147的博客
08-07 974
开源项目ADFS使用教程 ADFSADFS (Ali Distributed File System) is an evolutional version of Hadoop which delivers high availability, auick-restart and other features.项目地址:https://gitcode.com/gh_mirrors/ad/ADFS ...
ADFS 概念与基本开发介绍 (1)
热门推荐
Nista的空间
10-13 1万+
(如您转载本文,必须标明本文作者及出处。如有任何疑问请与我联系 me@nap7.com) ADFS 相关开发技术的中文资料相对匮乏,之前再弄这个东西的时候搞的比较辛苦,因此总结此文档,以解后人之忧。 本文会首先介绍与联合身份验证有关的概念及相关的系统设计意图,随后会对 ADFS 联合身份验证的配置过程、结构及处理流程进行阐述。然后会基于已有的系统提出一个支持多 ADFS 联合身份验证的改进实例,并
ADFS
ewigkeit的专栏
06-14 611
ADFS Introduction    Active Directory Federation Services (AD FS) 2.0 helps simplify access to applications and other systems with an open and interoperable claims-based model. The AD FS 2
adfs
xiangzhong_0502的博客
07-31 304
int sensors_poll_context_t::activate(int handle, int enabled) { int err = -1; NativeSensorManager& sm(NativeSensorManager::getInstance()); Mutex::Autolock _l(mLock); err = sm.activate(handle,
django-auth-adfs:用于Microsoft ADFS和AzureAD的Django身份验证后端
02-04
【标题】:“django-auth-adfs:用于Microsoft ADFS和AzureAD的Django身份验证后端” ...通过查看“django-auth-adfs-master”源代码,开发者可以深入了解其内部工作原理,自定义和扩展其功能以满足特定需求。
安装配置ADFS代理服务器.pdf
07-23
6. 配置完成后验证:配置完成后,需要验证操作状态以确保ADFS服务正常工作。此步骤可以通过检查服务器的状态进行,或尝试访问ADFS服务来进行确认。 7. 配置公共DNS:为了使得WAP能够被互联网上的用户访问,需要在...
PyPI 官网下载 | django-auth-adfs-1.1.2.tar.gz
01-10
**标题与描述解析** 标题"PyPI 官网下载 | django-auth-adfs-1.1.2.tar.gz"指的是从Python Package Index (PyPI) 官方网站上...通过理解其工作原理和配置过程,开发者可以有效地利用这一工具构建安全、可靠的Web应用。
adfs-ws-trust-client:ADFS WS-Trust客户端
05-11
ADFS(Active Directory Federation Services)是微软提供的一种身份验证服务,它允许用户使用单个身份在多个组织之间进行身份验证。而WS-Trust是Web Services Security(WSS)框架的一部分,用于建立和维护安全的...
什么是ADFS
yuzijiang11111的博客
03-04 1574
2003年,微软推出了Active Directory 联合身份验证服务(ADFS)作为 Windows Server 操作系统的扩展功能,允许企业拓展用户的单点登录(SSO),让用户能访问企业防火墙之外和跨企业边界的资源,灵活精简终端用户体验,同时改进 IT 管理员对其用户账号和第三方应用的控制。本文将讨论 ADFS 的含义、运作原理和相关使用案例,还将探究如今的 IAM 行业为什么要从ADFS 等独立拓展方案转向更全面的云 IAM 方案。
去中心化金融系统ADFS
教授玩币
03-12 343
金融永远是人类社会发展绕不开的问题,从传统的银行到互联网金融再到如今的DEFI去中心化金融,整个金融行业迎来了巨大的发展和变革。 我们知道,交易是建立在双方信任的基础上来完成的,但是传统金融的信任问题一直没有办法得到有效的解决,由于交易双方之间缺乏信任,往往需要中心化机构或者政府来从中间进行担保,需要大量的第三方机构来做价值评估和信用保证。 但即使有人或政府从中作担保,也并不能保证双方都会履约,或者中心机构及政府就一定能发挥正面作用,而且极大的浪费了时间和人力。 又因在传统的金融体系中,所有的管理都是人在操
什么是ADFS?
weixin_34409741的博客
05-07 1198
ADFS的全称是Active Directory Federation Services.   ADFS是基于Web的单点登录(Single Sign-On (SSO))的标准, 它通过实现了foreast间的claim based authentication而了开启了联合身份(federated identity).   Claim based authentication是一种认证用户的过...
ADFS简介
GAMELOFT9----纸上得来终觉浅,绝知此事要躬行
03-10 2298
ADFS将活动目录拓展到Internet。要理解这一点,可以考虑一般活动目录设施的工作原理。当用户通过活动目录认证时,域控制器检查用户的证书。证明是合法用户后,用户就可以随意访问Windows网络的任何授权资源,而无需在每次访问不同服务器时重新认证。 编辑摘要 ADFS( ADFS ActiveDirectoryFederationServices)活动目录联合服务。Microsoft&#
ADFS是什么?
教授玩币
03-10 1336
ADFS是A Decentralized Financial System的缩写。 ADFS是一个去中心化的金融系统。 ADFS去中心化的金融系统旨在创建一个全球、开放、自由、公平的区块链金融系统,允许用户能够不受种族、宗教、年龄、国籍、地理等任何限制,无需依靠任何中心化的情况下,轻松使用诸如,存储、借贷、支付、理财、保险等金融衍生品服务的去中心化金融服务系统。 关于ADFS大概就这么多 ...
2021年去中心化金融超级价值洼地—ADFS
教授玩币
03-15 193
2021年去中心化金融超级价值洼地—ADFSADFS去中心化金融系统的白皮书发布到现在,我一直是ADFS去中心化金融系统的长期关注者和支持者。 ADFS简介 ADFS是A Decentralized Financial System的缩写,简称ADFS, 中文意思是“一个去中心化金融系统” ADFS去中心化金融系统,旨在创建一个全球、开放、自由、公平的区块链金融系统,允许用户能够不受种族、宗教、年龄、国籍、地理等任何限制,无需依靠任何中心化的情况下,轻松使用诸如,存储、借贷、支付、理财、保险等金融衍生品
多林环境中的ADFS
weixin_30852367的博客
07-31 290
公司有两个或更多Active Directory林,但是只有一个ADFS,如何让ADFS支持多个域林呢?(一个ADFS只能部署在一个域中,不能跨域) 答案是:在部署ADFS的林和所有其他林之间建立双向信任! 那么如何建立域的双向信任?如何配置ADFS? 登陆账号怎么输入? 转载于:https://www.cnblogs.com/imust2008/p/11273736.html...
adfs 流程
最新发布
03-08
### ADFS工作原理和流程详解 #### 一、ADFS概述 Active Directory Federation Services (AD FS) 是一种基于标准的身份验证服务,允许跨不同信任域之间的安全令牌共享。通过这种方式,用户可以使用单一登录(SSO)机制访问多个应用程序和服务。 #### 二、应用场景 当企业内部部署的应用程序需要与外部合作伙伴或云服务提供商建立互信关系时,就可以利用AD FS来实现身份验证的桥接功能[^1]。 #### 三、具体工作流程如下: ##### (一)请求发起阶段 1. 用户尝试访问受保护资源(如Web应用),该应用位于联邦伙伴方。 2. 应用检测到未经过身份验证,则会重定向至客户端浏览器并指向AD FS服务器作为身份提供者(IdP)。 ##### (二)身份验证过程 3. 浏览器向IdP发送HTTP GET请求以获取必要的表单数据用于提交用户名密码等凭证信息给IdP进行本地Windows集成认证或其他形式的身份核验操作。 4. 如果成功完成上述步骤中的身份确认环节之后, IdP将会创建一个包含有关已验证主体声明的安全断言标记语言(SAML)Token 或 JSON Web Token(JWT),并将此token附带于返回给原始请求者的响应之中。 ##### (三)授权决策制定 5. 接收到SAML/JWT token后的依赖方(Relying Party, RP), 将其传递给自己所指定的信任策略处理引擎来进行解析评估;以此判断是否授予特定权限范围内的资源访问权能。 6. 若RP决定接受来自IdP签发的token,则允许最终用户的实际业务交互行为得以继续开展下去。 ```python # Python伪代码展示如何模拟简单的ADFS身份验证流程 class AdfsIdentityProvider: def authenticate_user(self, username, password): # 实现具体的用户身份验证逻辑 pass def adfs_login_flow(username, password): idp = AdfsIdentityProvider() if idp.authenticate_user(username, password): saml_token = generate_saml_token(username) return redirect_to_rp_with_token(saml_token) def generate_saml_token(user_identity): # 创建并签署SAML Token的过程 pass def redirect_to_rp_with_token(token): # 构建带有Token参数的目标URL,并执行跳转动作 pass ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值