快速业务通道

单一登录: Active Directory联合身份验证服务开发简介

作者 佚名技术 来源 NET编程 浏览 发布时间 2012-05-20
时,经销商发回的声明将指出她已不再是采购代表,因此,应用 程序将拒绝她的使用。或者说,假如她已经辞职离开了这家经销商公司,而且她的帐户已经被取消,那么 她也将无法使用 Fabrikam 的采购应用程序。通过实现与经销商的联合身份验证,Fabrikam 完全可以保 证能够收到有关用户身份的最直接、最及时的信息。

ADFS 是建立在像由Microsoft、IBM、Verisign、BEA 以及 RSA Security 所共同制定WS 联合身份验 证这样的标准上。当然,不同的组织所使用的软件也常常是大相径庭。假如 Fabrikam 在 Windows Server 2003 R2 上部署 ADFS,而经销商运行的却是 IBM WebSphere 或 BEA WebLogic,这也不成问题, 因为 WebSphere 和 WebLogic 都能够实现 WS 联合身份验证。

有了联合验证这样的技术,这对于 最终用户也是一件好事。对于经销商公司的采购代表来说,不用再去多记一个密码,只要用浏览器连接 Fabrikam 的应用程序,就可以马上开始工作了。如果经销商的身份验证系统支持通过浏览器集成登录, 犹如就像 Windows 用在 Internet Explorer® 一样,那么,系统甚至无需提示用户提供身份凭据; 用户的身份验证将自动完成,联合身份验证服务会将位于用户端里的用户身份标识信息转换为已签名的声 明并发送给 Fabrikam,就像我刚才说过的那样。这就是 Web 安全性的奥秘:能够跨越 Internet,跨越 组织和技术领域,实现单一登录。

ADFS 体系结构

接下来,我将向您介绍 ADFS 的各个组 成部分,并对一些术语做出解释。任何一个特定的联合身份验证关系都有两“端”,一端提供 用户(帐户),另一端提供应用程序(资源)。安装 ADFS 时,您需要使用 ADFS 管理单元来配置它的信 任策略,ADFS 管理单元包含在“管理工具”文件夹中,在设置信任策略时,您需要指出希望 与其建立联合身份验证关系的合作伙伴列表。帐户合作伙伴的用户将会使用由资源合作伙伴所提供的支持 ADFS 的应用程序。图 1 中的树状视图就是在 ADFS 管理单元中所显示的联合身份验证关系两端的 ADFS 信任策略。

单一登录: Active Directory联合身份验证服务开发简介

图 1 伙伴双方间的信任策略

每一端都运行着我们今天所讲述的主角 — 联合身份验证服务。每一个联合身份验证服务都会发 布一个 Web 应用程序,在建立登录时,用户的浏览器应该能够被重定向到这些应用程序。联合身份验证 服务很好地解决了帐户合作伙伴与资源合作伙伴之间的不匹配问题,因此,两方都不必使用相同的身份验 证或相同的操作系统技术。您的应用程序不必过多考虑联合身份验证服务的工作原理;ADFS 小组提供了 一个 Web 代理程序,这个代理能够以 HttpModule 的形式在 ASP.NET 管道中运行,帮助您处理中间繁重 的工作。您所要做的只是对应用程序进行配置,让它使用这个 Web 代理,然后提供一些配置设置,让代 理程序知道在哪里可以找到贵公司的联合身份验证服务。图 2 所显示的就是 ADFS 的基本结构,以及用 户浏览器是如何与 ADFS 的各个组件进行交互的。该图说明了联合身份验证服务的双方都安装了 ADFS 后 的工作模式。但是,也可能出现例外情况。比如说,帐户合作伙伴采用 WebSphere 和 IBM 目录服务来实 现 ADFS,从而所发布的是一个用 Java 语言编写的联合身份验证服务,这种情况也不难想象。

单一登录: Active Directory联合身份验证服务开发简介

图 2 ADFS 建筑构造

联合身份验证登录流程

假设 Alice 是 Fabrikam 的某个经销商的授权用户,当她第一次通过 浏览器使用 Fabrikam 的采购应用程序时,Web 代理注意到她没有 ADFS Cookie。此时的她还无法登录。 接下来,在采购应用程序还没看到她的请求前,Web 代理将她的浏览器重定向到 Fabrikam 的联合身份验 证服务。然后,Fabrikam 的联合身份验证服务会将浏览器重定向到这家经销商的联合身份验证服务,并 在请求上添加一个 F

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号