adfs(adfs单点登录)

张工 2022-06-29 18:29:26 阅读:28
  

  Active Directory联合身份验证服务(AD FS,active Directory Federation services)是微软自Windows服务器2003 R2以来提供的软件组件,其最新版本是集成在Windows服务器2012 R2中的AD FS 3.0。

  AD使用基于声明的访问控制验证模型来实现联合认证。它提供了Web单点登录技术,这样只要会话有效,用户访问的多个Web应用就可以一次通过验证。

  ADFS可以被理解为组织域中的用户和公共网络之外的用户之间的桥梁。我们编写的应用程序作为互联网服务部署在公共网络上。当应用程序需要对域中的用户进行身份验证时,可以通过AD FS服务器进行身份验证。AD FS服务提供了一个ADFS联合服务器代理,它类似于一个只提供登录界面的应用程序。我们将相关用户的认证过程委托给这个程序,它会提示用户输入认证凭证(这可以是浏览器中弹出的登录提示框或者跳转到登录页面的形式),然后它会将获取的凭证传递给AD FS联合认证服务。作为AD的一部分,AD FS有权(它拥有AD域管理员的权限)使用AD DS的标准方法对域中的用户进行身份验证。如果认证成功,AD FS会根据应用预置的信息需求,将安全令牌信息以声明的形式返回给我们的应用。

  如上所述,ADFS联合服务代理是用户通过因特网收集AD FS的客户端认证的凭证的接口,并且它将把获得的凭证传递给联合认证服务器进行验证。


Windows  2012部署ADFS,SSO单点登录(二)


  ADFS集成拓扑

  ADFS环境可以多次构建,主要是通过规则配置。这时候就需要相应的添加或者标注AD域的用户属性。

  标签列表如下:

  常规选项卡

  姓氏序号

  名称给定名称

  缩写首字母

  显示名称

  描述

  office physicaldeliveryoffice name

  电话号码电话号码

  电话号码:其他电话号码用英文分号隔开。

  电子邮件

  网页

  网页:其他网址用英文分号隔开。

  地址选项卡

  国家/地区例如中国CN、英国GB

  省/自治区St

  城市/县l

  街道地址

  邮政信箱

  邮政编码

  帐户选项卡

  用户登录userPrincipalName类似于:

  用户登录名(以前版本)sAMAccountName如下:S1

  登录时间登录时间

  登录用户工作站用逗号分隔。

  用户帐户控制(启用:512,禁用:514-512 2,密码永不过期:66048-65536 512,用户禁用:66050-65536 512 2)微软MSDN

  过期帐户过期

  “个人资料”选项卡

  配置文件路径

  登录脚本脚本路径

  主文件夹:本地路径主目录

  连接到homeDrive

  到主目录

  “电话”选项卡

  家庭电话(如果是其他,在前面加上其他。)

  寻呼机,如:otherhomePhone。

  如果多个手机用英文分号隔开。

  传真传真电话号码

  IP电话

  注释信息

  单位选项卡

  标题

  部门部门

  公司

  “属于”选项卡

  属于memberOf用户组的dn不需要引号,很多都用分号隔开。

  拨入选项卡远程访问权限(拨入或VPN) msNPAllowDialin

  允许的访问值:TRUE

  拒绝访问值:FALSE

  选项msRADIUSServiceType

  呼叫者设置或回拨值:4

  总是回叫msRADIUSCallbackNumber

  环境、会话、远程控制、终端服务配置文件和COM选项卡

  例子如下:


Windows  2012部署ADFS,SSO单点登录(二)


Windows  2012部署ADFS,SSO单点登录(二)


Windows  2012部署ADFS,SSO单点登录(二)


  引自:https://blog.csdn.net/seanzed/article/details/77609422

二维码